在 Andorid 上使用 eBPF 程序

最新推荐文章于 2024-08-30 13:16:17 发布
原创 最新推荐文章于 2024-08-30 13:16:17 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #ebpf #linux #服务器

本文详述了在Android Studio Emulator中测试Android高版本内核对libbpf CO-RE技术的支持情况。通过构建Debian环境,尝试运行eunomia-bpf工具链,成功案例包括bootstrap和tcpstates,但也遇到如opensnoop因内核选项限制无法运行的问题。测试表明,Android内核对eBPF支持良好,但在Android系统上直接使用eBPF工具仍具挑战。

本文主要记录了笔者在 Android Studio Emulator 中测试高版本 Android Kernel 对基于 libbpf 的 CO-RE 技术支持程度的探索过程、结果和遇到的问题。
测试采用的方式是在 Android Shell 环境下构建 Debian 环境,并基于此尝试构建 eunomia-bpf 工具链、运行其测试用例。

背景

截至目前(2023-04),Android 还未对 eBPF 程序的动态加载做出较好的支持,无论是以 bcc 为代表的带编译器分发方案,还是基于 btf 和 libbpf 的 CO-RE 方案,都在较大程度上离不开 Linux 环境的支持,无法在 Android 系统上很好地运行1

虽然如此,在 Android 平台上尝试 eBPF 也已经有了一些成功案例,除谷歌官方提供的修改 Android.bp 以将 eBPF 程序随整个系统一同构建并挂载的方案2,也有人提出基于 Android 内核构建 Linux 环境进而运行 eBPF 工具链的思路,并开发了相关工具。

目前已有的资料,大多基于 adeb/eadb 在 Android 内核基础上构建 Linux 沙箱,并对 bcc 和 bpftrace 相关工具链进行测试,而对 CO-RE 方案的测试工作较少。在 Android 上使用 bcc 工具目前有较多参考资料,如:

其主要思路是利用 chroot 在 Android 内核上运行一个 Debian 镜像,并在其中构建整个 bcc 工具链,从而使用 eBPF 工具。如果想要使用 bpftrace,原理也是类似的。

事实上,高版本的 Android 内核已支持 btf 选项,这意味着 eBPF 领域中新兴的 CO-RE 技术也应当能够运用到基于 Android 内核的 Linux 系统中。本文将基于此对 eunomia-bpf 在模拟器环境下进行测试运行。

eunomia-bpf 是一个结合了 libbpf 和 WebAssembly 技术的开源项目,旨在简化 eBPF 程序的编写、编译和部署。该项目可被视作 CO-RE 的一种实践方式,其核心依赖是 libbpf,相信对 eunomia-bpf 的测试工作能够为其他 CO-RE 方案提供参考。

测试环境

  • Android Emulator(Android Studio Flamingo | 2022.2.1)
  • AVD: Pixel 6
  • Android Image: Tiramisu Android 13.0 x86_64(5.15.41-android13-8-00055-g4f5025129fe8-ab8949913)

环境搭建3

  1. eadb 仓库 的 releases 页面获取 debianfs-amd64-full.tar.gz 作为 Linux 环境的 rootfs,同时还需要获取该项目的 assets 目录来构建环境;
  2. 从 Android Studio 的 Device Manager 配置并启动 Android Virtual Device;
  3. 通过 Android Studio SDK 的 adb 工具将 debianfs-amd64-full.tar.gzassets 目录推送到 AVD 中:
    • ./adb push debianfs-amd64-full.tar.gz /data/
最低0.47元/天 解锁文章
云微123
关注
1.4 Android下使能eBPF
从0到1,突破自己
05-31 1396
由于eBPF可运行用户提供的eBPF程序来扩展内核,这些程序可以附加到内核中的探测点或事件,用于收集有用的内核统计信息,监控和调试。eBPF使用bpf(2)系统调用加载到内核中,并作为eBPF机器指令的二进制块由用户来提供。Android构建系统支持使用本文所述的build文件语法将C程序编译为eBPF程序。并且Android包含了一个eBPF加载器和库,这样Android可以在启动初始化阶段加载eBPF程序
android平台eBPF初探
新程序圆
08-14 253
eBPF 是 extended BPF 的缩写,而 BPF 则是 Berkeley Packet Filter 的简称。熟悉 Linux 网络的朋友可能对 BPF 有所了解,它通过特定语法规则,使用基于寄存器的虚拟机来定义数据包过滤行为。最常见的应用就是通过过滤实现流量统计,像 tcpdump 工具就是基于 BPF 实现的。eBPF 在此基础上进行了扩展,以实现更广泛的功能。允许使用 C 语言编写代码,并通过 LLVM 编译成 eBPF 字节码。
软件性能工程(8)-eBPF on Android
Gracker的专栏
06-30 1741
做些铺垫本文假设读者已掌握如下内容熟悉 Linux 内核编译方法阅读过博文 eBPF 架构优势及其应用方向上的畅想熟悉 Git 操作熟悉 CMake,LLVM,Clang 等编译工具在博...
eBpfAndroid上的集成和调试
内核工匠
05-12 3239
eBPF(Extended Berkeley Packet Filter )是一种新兴的linux内核功能扩展技术,可以无需修改内核代码,在保证安全的前提下,灵活的动态加载程序,实现对内核功能的扩展。Android平台上也引入了对eBpf技术的支持,本文以一些典型使用场景,贯穿eBpfandroid上的使用流程,展示如何在手机上集成和调试eBpf程序。如下图示,为bpf的基本部署流程,在andr...
Android eBPF
greatwgb的博客
08-13 379
BPF与eBPF理解Android eBPFUbuntu下bpf纯c程序的编写与运行Linux 内核观测技术BPF深入理解 BPF:一个阅读清单
android手机上ebpf环境搭建资源
11-03
3. **安装交叉编译工具链**:由于Android设备上的编译环境与桌面环境不同,你需要一个针对Android的交叉编译工具链,如Android NDK,来编译EBPF程序。 4. **安装内核头文件**:EBPF程序需要内核头文件来编译,可以...
Androidebpf 的集成和调试
私房菜
08-27 2843
在 2013 年,Alexei Starovoitov 对 BPF 进行彻底地改造,这个新版本被命名为eBPF(extended BPF),与此同时,将以前的 BPF 变成 cBPF (classic BPF)。新版本出现了如映射和尾调用 (tail call)这样的新特性,并且 JIT 编译器也被重写了。新的语言比 cBPF 更接近于原生机器语言。并且,在内核中创建了新的附着点。bpf(2)
3.6 Android gpu_mem ebpf程序设计原理(二)
从0到1,突破自己
10-14 602
本篇我们继续以gpu_mem为例详细拆解eBPF程序组成。
Android平台编译eBPF程序
qq_33974611的博客
02-13 894
简单来说,eBPFLinux 内核中一个非常灵活与高效的类虚拟机(virtual machine-like)组件,能够在许多内核 hook 点安全地执行字节码(bytecode)。很多内核子系统都已经使用了 BPF,例如常见的网络、跟踪与安全。当然,这是 linux 内核中比较新的特性,可能需要较新的手机才搭载了比较完美支持 eBPF 的内核。
eBPFandroid上的使用
Peter的专栏
01-29 3674
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的...
Android中的 eBPF 流量监控
Peter的专栏
06-03 2965
eBPF 网络流量工具结合使用内核与用户空间实现来监控设备自上次启动以来的网络使用情况。它提供了额外的功能(如套接字标记、分离前台/后台流量,以及按 UID 划分的防火墙),以根据手机状...
Android中的eBPF程序简介
weixin_42136255的博客
08-30 485
Android中的eBPF程序简介
AndroideBPF使用原理以及 kprobe dmabuf_setup实例
weixin_42136255的博客
11-14 1536
AndroideBPF使用原理以及实例
Android linux eBPF网络相关原理分析
内核工匠
02-11 5465
一、eBPF相关概述随着android的版本不断升级,android 9之后,内核版本均为4.X以及更高的5.X,linuxeBPF设计在android系统中应用也越来越多。对于BPF以...
Android使用 eBPF 扩展内核
Peter的专栏
06-02 2085
Android 包含一个 eBPF 加载器和库,它可在 Android 启动时加载 eBPF 程序以扩展内核功能。这可用于从内核收集统计信息,进行监控或调试。eBPF 简介扩展型柏克莱封...
3.11 Android eBPF Hello World调试(五)
从0到1,突破自己
01-03 984
HelloWorld程序的目标是跟踪当前core最近得到调度的任务ID;有同学遇到这样一个情况?明明cpu的核心只有8个核,但从map中却遍历了1024条数据。为什么会出现从eBPF map中读取的数据都是1024个条目的情况呢?那是因为不同的eBPF map类型有着不同的香味。例如,BPF_MAP_TYPE_ARRAY类型的map总是有一个固定的大小,并且索引是从0开始的连续整数。如果你创建了一个大小为1024的ARRAY map,那么读取时总会返回1024个结果,无论这些条目是否真的有数据被写入。
3.8 Android eBPF Hello World调试(二)
从0到1,突破自己
11-04 585
我们开发eBPF程序的初衷就是再不改动内核的情况下,将内核监控数据传递给到用户态;像应用进程开发一样开发内核监控程序Android开机的时候eBPF程序被加载器加载到内核中,但此时它并没有被附加到内核函数上去,也就是ebpf程序并不会执行,我们可以理解为,它仅仅被安装到了内核当中。那么,如果要将ebpf程序运行起来还需要进行attach。attach就是为了把ebpf程序hook到对应的内核监控点上,如tracepoint等类型。attach成功,ebpf程序才算真正的在内核中运行起来。
如何在 Android 上启用 eBPF 支持?
最新发布
07-13
### 启用 Android 系统中的 eBPF 支持 在 Android 上启用 eBPF 功能需要满足多个条件,包括内核支持、系统配置以及适当的工具链。以下为实现这一目标的关键步骤和注意事项。 #### 内核版本与功能要求 Android 自 9.0 版本起,其内核普遍升级至 Linux 4.x 或更高版本,这为 eBPF 的运行提供了基础保障。eBPF 在现代 Android 设备中已经具备较为全面的支持能力,尤其是在较高版本的 Android 内核中可以发现对 BTF(BPF Type Format)调试信息以及基于 CO-RE(Compile Once – Run Everywhere)机制的 eBPF 程序的良好兼容性[^1]。 要确保设备内核启用了 eBPF 子系统,可以通过检查 `/proc/config.gz` 或直接访问内核源码中的 `CONFIG_BPF` 和 `CONFIG_BPF_SYSCALL` 配置项是否被设置为 `y` 来确认。如果使用的是自定义内核,则需手动开启这些选项以激活 eBPF 支持。 #### 系统级配置 当 Android 启动时,它会自动从 `/system/etc/bpf/` 目录加载所有 eBPF 对象文件,并创建相应的映射结构。随后,这些程序及其关联的映射将被固定到 BPF 文件系统中(通常是 `/sys/fs/bpf/` 路径下),从而允许后续与 eBPF 程序进行交互或读取映射数据[^3]。 为了使能此流程,应确保该目录存在且包含正确的 eBPF ELF 格式对象文件(如 `.o` 文件)。此外,还需正确配置 SELinux 策略规则,避免因权限问题导致加载失败。对于非官方固件或者开发者定制ROM的情况,可能还需要修改 init 脚本以确保加载过程顺利执行。 #### 用户空间工具链准备 尽管 `bpftool` 并非专为 Android 打造,但通过构建适用于 Android 架构的交叉编译环境,仍然可以在设备上部署并利用这一强大工具来管理 eBPF 程序和映射。由于大多数操作涉及内核资源访问,因此通常需要 root 权限才能成功运行相关命令[^1]。 除了 `bpftool` 外,还推荐安装 libbpf 库以及其他必要的开发组件,以便于编写用户态应用程序eBPF 程序通信。例如,可借助 libbpf 提供的 API 实现高效的 map 操作及事件处理逻辑。 #### 安全性和稳定性考量 考虑到 eBPF 程序直接运行于内核上下文中,不当的代码可能导致系统崩溃甚至安全漏洞。因此,在部署任何新的 eBPF 程序之前务必进行全面测试,并遵循最小特权原则限制程序所能访问的资源范围。同时注意监控系统日志输出,及时发现潜在异常行为。 ```bash # 示例:使用 bpftool 查看当前加载的所有 eBPF 程序 bpftool prog show ``` 最后,请记住不同厂商可能会根据自身需求调整默认内核配置,这意味着即使同属相同 Android 版本系列的不同机型也可能表现出差异化的 eBPF 兼容表现。遇到具体问题时建议查阅对应设备的技术文档获取更精确的信息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值