eBPF(Extended Berkeley Packet Filter)是一种强大的内核技术,它允许用户在安全的前提下注入代码到内核中执行。用户编写的BPF程序通过编译生成字节码,并由加载器注入内核。这些程序挂载在特定事件上,当事件触发时执行。验证器确保BPF程序的安全性,而BPF虚拟机则负责执行,可能采用JIT编译提高效率。执行过程中的数据可存储在BPFMAP或perf缓冲区,供用户态程序获取。本文参考了Linux内核之旅的视频资料。
eBPF架构详解
如图所示为eBPF的技术架构图,左侧BPF工具处于用户态;右侧验证器、BPF虚拟机、触发事件、BPF MAP位于内核态。用户编写的BPF程序经过编译工具编译后生成BPF字节码,再通过加载器注入到内核中去。用户编写的BPF程序会挂载在某个事件下,通过事件触发回调函数,从而找到相应的BPF程序。BPF程序注入到内核之前会经过验证器,保证其是“内核安全的”。在运行BPF程序时,是将BPF程序放在BPF虚拟机上运行,如果安装了JIT,则使用JIT进行编译(JIT是一个及时编译器),否则使用Linux内核自带的解释器进行编译,JIT的效率要更高一些,最后生成机器玛执行。在执行过程中,生成的数据可以保存在perf缓冲区或者BPF MAP中,用户态程序可以通过此获取运行的相关数据。
1111
感谢
在此感谢Linxu内核之旅的陈老师和他的学生们,为Linux在中国的推广作出的贡献,本文参考了他们在B站上发布的视频。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
