eBPF介绍

最新推荐文章于 2024-05-28 18:05:23 发布
最新推荐文章于 2024-05-28 18:05:23 发布
阅读量319 收藏
点赞数
分类专栏: linux DPDK c++ 文章标签: 网络 服务器 bpftrace c++ linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lingshengxiyou/article/details/130092455
版权
eBPF(扩展Berkeley包过滤器)起源于1992年的网络数据包过滤框架,旨在减少无效的数据包拷贝。随着发展,eBPF功能扩展,支持多种事件类型,如XDP、Perf Event、kprobe等,同时引入Map机制,支持用户空间与内核空间通信。eBPF的使用包括网络监控、性能调优等,常用工具如bcc和bpftrace。本文详细介绍了eBPF的历史、工作原理、使用方法,以及适用于初学者和高级用户的教程资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.BPF起源

BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如下图所示。

image.png

提出bpf的原因其实也很简单,早期我们从网卡中接收到很多的数据包,我们要想从中过滤出我们想要的数据包,我们需要将网卡接收的数据包都要从内核空间拷贝一份到用户空间。然后,用户程序在对这些进行过滤。那么,我们可以从中就能够发现一个问题。数据包必须全部拷贝。然后再过滤出所需的数据包,那么对于那些不需要的数据包,我们拷贝的操作是无效的、浪费的。并且对于内存数据的拷贝是很费cpu系统的资源的。所以,这篇论文,就提出了一种新的框架,在内核中直接过滤,这也可以避免一些无用的、浪费的拷贝。

其背后的思想其实就是:与其把数据包复制到用户空间执行用户态程序过滤,不如把过滤程序灌进内核去。

这种新的框架,其实还是很容易理解的。大概的理解就是,当我们从网卡接收到一个数据包的时候,我们数据链路层,将数据包额外的拷贝一份。然后这个新的数据包就交给BPF程序进行处理,这个BPF根据用户编写的过滤规则对这个新的数据包进行匹配。如果符合此规则就将数据包放到接收队列中,那么用户事后就可以从接收队列中将这个数据包从内核空间拷贝到用户空间,这样就减少了无用的数据包的拷贝。

像tcpdump/wireshark等用户工具就是基于BPF框架实现的。其大概实现的过程就是,编写BPF指令集的过滤规则,然后创建raw/packet类型的套接字socket,将网卡设置为混杂模式。在通过setsockopt函数将BPF代码拷贝到内核,并attach到相关联的socket套接字上。当网卡接收到数据包的时候,因为设置的混杂模式,那么就会额外的拷贝一份新的数据包,然后在根据BPF的代码进行过滤,将符合规则的数据包接收到socket套接字的接收队列里面。最后用户程序就可以从这个接收队列获取到过滤后的数据包了。这类工具的实现流程就是大概这个样子。

2.伪机器码、BPF指令集、JIT

使用过tcpdump工具的应该都见过在tcpdump命令后面会加一些表达式,用来表示过滤规则。

如:sudo tcpdump -d -i lo tcp and dst port 7070

注意不要以为这个表达式就是BPF程序了,其实这不是的。这个表达式是要经过编译过后才会变成BPF程序的。在我们早期是生产这类编译器,那么是如何将这个表达式编译出BPF指令集的呢?

tcpdump的实现是基于libcap库的,tcpdump使用的过滤表达式是使用libcap库进行解析的,生成我们BPF指令集。那为什么没有单独做成一个这类的编译器?究其原因就是但是的BPF框架使用的功能较少,只用在了网络的数据包过滤方面。除此之外,当时的BPF指令集个数很少,所以没有必要花费大量的资源单独做一个编译器。但是随着BPF的发展,指令集的复杂、支持的BPF程序类型越来越多,就急需要一个编译器了。那这个就是我们后面将要提到的eBPF和clang/llvm编译器了。

伪机器码:假的机器码,机器码都是能够在物理机上直接执行的,伪机器码不能够直接执行,需要在虚拟机上执行。

BPF指令集:BPF指令集就是一个伪机器码,是不能够在物理机上直接执行的,需要一个虚拟机才能够执行。我们都知道不同的处理器体系结构有自己的不同指令集,这边的BPF指令集可以理解为在BPF虚拟机上执行的指令集。

JIT:just in time 的缩写,我们将编译好的BPF指令集需要在虚拟机上执行,虚拟机需要一条一条的解析为本机机器码才能够执行,所以这个执行效率会很低,但是如果我们的处理器有了JIT就能够将我们BPF直接直接编译为能够在机器直接执行的机器码,这样大大提高了执行的速度。

3.eBPF介绍

eBPF是extend BPF的简称,扩展的BPF。我们刚了解BPF了,都知道BPF的功能比较单一只能够作用于网路的数据包的过滤上,但是扩展后的BPF的功能得到了很大的丰富,可以这样说基本上可以使用在Linux各个子系统中。除了功能上的扩展,BPF程序的指令集也变得相当复杂了,所以就出现了专门用于编译BPF程序的clang/llvm编译。在框架上BPF的框架也发生了变化,所以扩展后的BPF不再是早期的BPF的可以比拟的。因而,早期的BPF被称为cBPF,扩展后的BPF被称为eBPF。

现在看下扩展后的BPF的框架,如下图所示:

image.png

注意:我们后面说的BPF指的是cBPF和eBPF的统称,除非特别说明。

虽然,框架发生变化,但是其基本的思想还没有发生变化的。都是将BPF程序进行编译后生成字节码,然后将BPF字节码注入到内核中,当发生事件触发的时候,我们就会执行相应的BPF程序。

现在,我们对cBPF和eBPF进行对比:

一、cBPF支持的功能比较单一,只能够作用于网络的数据包的过滤上。而eBPF除了能够支持网络的数据包的过滤上,也支持其他的事件类型,如上图中的XDP、Perf Event、kprobe、tracepoint等等。cBPF的功能在eBPF其实对应的就是Socket的部分。

二、引入Map机制。在cBPF我们通过接收队列将过滤后数据获取出来,但是在eBPF我们可以将数据放到Map空间中。Map空间是用户空间和内核空间共享的,所以一般是在内核中将数据存入到Map空间中,然后在用户空间取出数据。

三、指令集变得更复杂了,与此同时,有了专门的用于编译BPF字节码的编译器clang/llvm。

四、还有在安全机制方面等等一些改变。

4.eBPF类型和Map机制

首先,看下eBPF支持的类型,其中BPF_PRO

最低0.47元/天 解锁文章
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2628
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1435
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
eBPF可观测之网络流量控制和管理traffic control浅尝
kingu_crimson的博客
05-28 1584
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
Flomesh 服务网格采用 eBPF 实现更高效的流量拦截和通信
dotNET跨平台
03-24 485
在不久前发布的Flomesh 服务网格 1.3.3[1]我们引入了 eBPF 功能,用以替代流量拦截方面的实现 iptables。由于 eBPF 对较新内核的依赖,iptables 的实现仍继续提供。同时,得益于 eBPF 网络方面的能力,我们也实现了同节点网络通信的加速。背景在服务网格中,iptables 和 eBPF 是两种比较常见的流量拦截方式。iptables 是一种基于 Linux ...
一文搞懂所有bpf程序分类
zhjwang的博客
06-01 4449
bpf的程序可以分为两大类:第一大类是tracing,可以帮助你更好的理解系统发生了什么,例如:cpu和内存的使用情况等。第二大类就是networking,主要可以帮助你检查和处理网络流量,它可以允许你filter或者reject网络数据包,不同的网络类型程序,可以发生在网络的不同阶段。 2.Socket Filter Programs BPF_PROG_TYPE_SOCKET_FILTER是第一个被添加到内核的程序类型。当你attach一个bpf程序到socket上,你可以获取到被socket处理的所有数
eBPF理解(三)
08-20 3199
使用例子第一条如:用户态 setsockopt(sock,SOL_SOCKET,SO_ATTACH_BPF,...)绑定BPF到具体的socket上。在网络驱动程序刚收到数据包时触发,无需通过网络协议栈,可用来实现高性能网络处理方案,常用于DDos防御,防火墙,4层负载均衡等场景。类型:BPF_PROG_TYPE_SCHED_CLS 和 BPF_PROG_TYPE_SCHED_ACT。这些类型的BPF程序都可以通过BPF系统调用的BPF_PROG_ATTACH进行挂载。用于过滤,观测或重定向套接字网络包。
泛读Linux内核观测技术BPF-02
qiubinwei的博客
09-09 404
整个第二章从编写一个BPF程序开始,先介绍BPF程序编译执行的过程,大致分C语言编写,LLVM编译成BPF字节码,在通过bfp调用变成BPF字节码,通过BPF验证器后使用JIT编译为机器码并执行。SO_REUSEADDR和SO_REUSEPORT都是内核中的端口重用参数(TCP和UDP),允许相同主机上多个进程绑定相同的端口,解决在高并发情况下,多线程并发处理时端口不足的问题,打开端口重用可以提高网络连接数量,获得较高单机性能。通过不同的程序类型,可以将程序附加到内核网络处理的不同阶段上。
介绍ebpf 检测系统的常用命令
01-03
ebpf(Extended Berkeley Packet Filter)是一种Linux内核技术,它允许用户在内核运行时动态加载、运行和管理程序。ebpf提供了一种机制,可以让开发者在内核中安全地注入自定义代码,以监控和操作运行时的行为,这...
awesome-ebpf:与eBPF相关的精选项目的精选列表
01-31
1. **教程与指南**:详尽的教程,如"BPF CO-RE介绍",帮助初学者理解eBPF的编译和加载过程。 2. **eBPF库和工具**:如libbpf和bcc,提供了方便的API和脚本语言,简化了开发eBPF程序的过程。 3. **实际应用示例**:...
eBPF技术介绍
m0_71540099的博客
01-19 1180
总结起来,bpf_attach_type结构体用于定义eBPF程序的附加类型,而bpf_prog_type枚举用于定义eBPF程序的类型。BPF_CGROUP_INET_SOCK_CREATE:将eBPF程序附加到指定的网络控制组,当创建新的套接字时执行程序。BPF_PROG_TYPE_SOCKET_FILTER:用于过滤套接字数据包的eBPF程序。BPF_PROG_TYPE_CGROUP_SOCK:用于控制组的eBPF程序。BPF_PROG_TYPE_CGROUP_SKB:用于控制组的eBPF程序。
BPF程序类型
金荣的个人技术博客
03-09 1266
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
XDP类型的BPF程序
魏言华的博客
10-11 1363
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在点的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
利用ebpf优化负载均衡器
06-12 1341
一 前言好久没写文章了,最近忙于抉择,搞的心好累,左右不知道哪条路对自己是最好的,风险与收益并存,是稳扎稳打还是冒一次险,换来的后面的顺畅,我不知道怎么选,左右想法一直在打架。言归正传,ebpf学了一段时间了,开始觉得自己还是了解一些,但是其实差距还有点大,这篇文章是学习ebpf的课程的一篇试验文章,主要是基于ebpf网络程序,难度比以前学的大,加之新学,只能从模仿试验...
mount 网络_Kubernetes网络 — Cilium eBPF模式
weixin_32900811的博客
01-12 1163
Cilium 是一个基于eBPF和XDP的高性能容器网络方案,是Kubernetes第一个基于BPF的CNI,支持 L3/L4/L7 安全策略,支持三层平面网络(如Overlay,VXLAN和Geneve等),提供基于BPF的负载均衡,提供便利的监控和排错能力,为大规模集群环境而设计。Cilium的卖点并不是eBPF,相对于固化的iptables或ipvs而言,Cillium真正的卖点是...
实现基于XDP/eBPF的快速路由转发功能
TCP/IP
11-11 1万+
周末用eBPF实现了学习型网桥的XDP快速转发路径之后,再来用eBPF实现一个快速路由转发。同样很有意思。 关于eBPF和XDP的前置基础知识,我在前面实现网桥转发路径前已经概览过了,所以本文不再赘述。 当我们面对各种网络技术的时候,路由和交换技术是最基本的。路由和交换有什么区别,为什么不能像实现交换机那样实现IP路由,很有必要说一说。 简单点来说,路由和交换的实现技术有以下的区别: 交换:精...
Linux内核 eBPF基础: 探索USDT探针
RToax
05-18 4302
目录 Motivation Tracing System Overview Terminology术语 Evoluction of Linux Tracing Linux Tracing Technical Stack Event Sources Tracing Frameworks ftrace perf_event eBPF perf_event profiling vs. eBPF profiling SystemTap LTTng ktap dtrace4linux
eBPF技术应用云原生网络实践:kubernetes网络 | 凌云时刻
云布道师
04-20 1355
凌云时刻 · 洞见导读:eBPF起源于 Linux 网络子系统,由于其灵活性和高性能等特点,被迅速应用在不同领域。事实上网络领域中,eBPF由于其高性能支持更高的吞吐率、平均每GB带宽消...
实现一个基于XDP/eBPF的学习型网桥
TCP/IP
11-17 1万+
eBPF技术风靡当下,eBPF字节码正以星火燎原之势被HOOK在Linux内核中越来越多的位置,在这些HOOK点上,我们可以像编写普通应用程序一样编写内核的HOOK程序,与以往为了实现一个功能动辄patch一整套逻辑框架代码(比如Netfilter)相比,eBPF的工作方式非常灵活。 我们先来看一下目前eBPF的一些重要HOOK点: 将来这个is_XXX序列肯定会不断增加,布满整个内核(有点密集...
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
linux ebpf
最新发布
01-07
### Linux eBPF 使用教程与案例 #### 什么是eBPFeBPF(Extended Berkeley Packet Filter)是一项允许在Linux内核中运行沙盒程序的技术,这些程序可以在特定事件发生时执行而不会影响系统的稳定性或安全性[^2]。 #### 安装bcc工具集 对于希望快速上手并利用现成工具来探索eBPF功能的人来说,安装`bcc`是一个不错的选择。这是一个基于Linux eBPF的新一代网络分析工具集合,适用于性能监控、网络跟踪以及安全分析等多个领域。可以通过访问项目主页获取更多详情和安装指南[^1]: ```bash pip install bcc ``` #### Go语言开发eBPF入门 如果倾向于使用Go语言进行eBPF应用的构建,则可以从官方文档开始学习如何设置环境,并编写简单的eBPF程序。这不仅限于理论介绍,还包括实际操作指导,帮助开发者掌握必要的技能: - **第一步**: 获取所需的依赖项和其他资源。 - **第二步**: 编写用户空间应用程序接口(API),用于配置和管理内核中的eBPF代码。 #### 实践案例:HTTP流量控制 为了更直观地理解eBPF的应用场景,考虑一个具体的例子——基于TC(Traffic Control)机制实现HTTP请求过滤的功能。此过程中涉及到内核态C代码编写及用户态Go代码交互的设计思路[^3]。 ##### 用户态Go文件示例: ```go package main import ( "fmt" ebpf "github.com/cilium/ebpf" ) func main() { // 加载已编译好的eBPF对象文件 obj, err := ebpf.LoadCollectionSpec("http_filter.bpf.o") if err != nil { fmt.Printf("Failed to load BPF object: %v\n", err) return } } ``` #### 构建支持eBPF的静态库 当需要将多个eBPF组件集成到更大的软件系统中时,创建一个包含常用函数和支持结构的静态库(`libbpf.a`)会很有帮助。下面展示了怎样从源码树下提取必要部分并打包为静态库[^4]: ```bash cd /path/to/kernel/source/tools/lib/bpf/ sudo ar rcs libbpf.a *.o ``` #### 性能优化技巧 针对某些具体应用场景下的性能瓶颈问题,比如频繁读写的I/O密集型任务,可以借助eBPF捕获感兴趣的文件描述符活动,并进一步挖掘潜在的调优机会。例如,通过关联socket信息来追踪TCP连接状态变化等[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值