eBPF编程与BCC工具实践指南

1、修改 hello - map.py，使 eBPF 代码能被多个系统调用触发。例如，openat() 通常用于打开文件，write() 用于向文件写入数据。可以先将 hello eBPF 程序附加到多个系统调用的 kprobe 上。然后尝试为不同的系统调用编写 hello eBPF 程序的修改版本，证明可以从多个不同的程序访问同一个映射。

可以按照以下步骤操作：

1. 先将 hello eBPF 程序附加到多个系统调用（如 openat() 和 write() ）的 kprobe 上。
2. 为不同的系统调用编写 hello eBPF 程序的修改版本。
3. 在这些不同版本的程序中访问同一个映射，以此证明可以从多个不同程序访问同一映射。

2、BCC的RAW_TRACEPOINT_PROBE宏有什么作用？如何在hello - tail.py中使用该宏来简化原始跟踪点的附加操作？

BCC的`RAW_TRACEPOINT_PROBE`宏能简化原始跟踪点的附加操作，它会告知用户空间的BCC代码自动将其附加到指定的跟踪点。在`hello-tail.py`中使用该宏简化操作的方法如下：

- 用`RAW_TRACEPOINT_PROBE(sys_enter)`替换`hello()`函数的定义；
- 从Python代码中移除显式的附加调用`b.attach_raw_tracepoint()`；

这样BCC会自动创建附加，程序的运行效果与之前相同，体现了BCC宏的便捷性。

3、请解释以下两条 ip link 命令的作用：$ ip link set dev eth0 xdp obj hello.bpf.o sec xdp；$ ip link set dev eth0 xdp off

• 第一个命令用于将标记为 xdp 节的 eBPF 程序从 hello.bpf.o 对象中读取出来，并将其附加到 eth0 网络接口；
• 第二个命令用于从 eth0 网络接口移除已附加的 XDP 程序。

4、运行一个BCC示例程序。在程序运行时，使用第二个终端窗口，通过bpftool检查已加载的程序。你还可以使用bpftool prog dump命令查看这些程序的字节码和机器码版本。

• 按照描述，先运行BCC示例程序
• 在其运行期间，打开第二个终端窗口
• 使用 bpftool 检查已加载程序
• 使用 bpftool prog dump 命令查看程序的字节码和机器码版本

5、运行指定目录下的hello - tail.py程序，在其运行时查看它加载的程序。你还可以使用bpftool prog dump xlated命令查看字节码指令。

可按以下步骤操作：

1. 运行指定目录下的 hello-tail.py 程序；
2. 在程序运行时，使用 bpftool prog list 查看它加载的程序；
3. 使用 bpftool prog dump xlated 查看字节码指令。

6、在XDP程序中返回0值对应XDP_ABORTED，会让内核中止对数据包的进一步处理。若修改程序返回0并将其附加到虚拟机的eth0接口，所有网络数据包会怎样？是否可以在容器内运行该程序，使XDP程序附加到仅影响该容器而非整个虚拟机的虚拟以太网接口？请给出相关示例链接。

在XDP程序里返回 0 值意味着 XDP_ABORTED ，会使内核停止处理数据包。
若将返回 0 的程序附加到虚拟机 eth0 接口，所有网络数据包会被丢弃。
可在容器内运行程序，让XDP程序关联到只影响容器的虚拟以太网接口，示例见 GitHub仓库 。

7、运行该示例程序的两个实例，这样会有两个名为config的映射。若运行bpftool map dump name config，输出将包含这两个不同映射的信息及其内容。在strace下运行此命令，并通过系统调用输出来跟踪不同文件描述符的使用情况。你能看出它在哪里检索映射信息，又在哪里检索存储在其中的键值对吗？

• 可以根据系统调用判断信息检索位置。
• 在查找映射时：
• 使用 BPF_MAP_GET_NEXT_ID 获取下一个映