前言
自从DBdoctor率先将eBPF技术深度应用于数据库领域后,便迅速在业界引起了广泛的关注和讨论。阿里、美团、京东、字节跳动等众多头部企业纷纷主动与我们展开了深入的技术交流。与此同时,我们也收获了大量eBPF爱好者的关注,在第一篇关于uprobe的文章发布后,许多小伙伴都已按教程成功跑通代码并进行深入自学应用。
应广大读者的热情催促,现推出第二篇eBPF的纯技术分享文章——如何手码一个Kprobe函数来分析MySQL数据库的网络流量。旨在为大家提供更多关于eBPF的深入分析和实用指南,希望本文能对大家有所帮助,后续我们也将持续在此专题内发布更多技术文章,欢迎关注公众号!
什么是Kprobe
Kprobe是Linux内核提供的一种动态跟踪技术,它可以在运行时动态地在函数的开头、返回点或指令地址处插入探测点。利用kprobe技术,可以在内核函数中动态插入探测点,收集有关内核执行流程、寄存器状态、全局数据结构等详细信息,无需重新编译或修改内核代码,实现对函数的监控和分析。Kprobe极大地增强了内核调试和性能分析的灵活性,可应用于网络优化、安全控制、性能监控、故障诊断等场景,使得开发者能够更深入地理解内核的行为。特别是数据库性能诊断这块,Probe重新定义数据库可观测,可以快速准确找出潜在性能问题并优化。
Kprobe函数的选取
1)网络协议栈解析,获取MySQL SQL执行返回给客户端的函数
基于Kprobe的流量探测,需要对网络协议栈进行分析,下图是网络数据包的发送过程:
从上面的协议栈的函数调用可以看到,tcp_sendmsg函数是发送包的入口函数:
int tcp_sendmsg(struct sock *sk, struct msghdr *msg, size_t size)
{
int ret;
lock_sock(sk);
ret = tcp_sendmsg_locked(sk, msg, size);
release_sock(sk);
return ret;
}从函数的源码我们可以得知,该函数返回值即为我们需要的结果(即发送数据包的大小)。
因此,我们可以选取传输层中的tcp_sendmsg函数作为探测点,来统计数据库发送应用端每秒的数据包总量。
2)网络协议栈解析,找到MySQL从客户端接收数据包的函数
基于Kprobe的流量探测,需要对网络协议栈进行分析,下图是网络数据包的接收过程:
对于统计TCP接收的网络流量,应该选择tcp_cleanup_rbuf函数,而不是选择tcp_recvmsg。选用tcp_recvmsg函数会存在统计的重复和遗漏:
-
tcp_recvmsg()是一个在TCP接收路径上较高层的函数,它负责从TCP层向用户空间复制数据。当应用程序调用如recv()或read()这类函数来从TCP缓冲区读取数据时,tcp_recvmsg()会被触发。如果数据在TCP接收缓冲区中未被应用程序完全读取(例如,应用程序两次调用recv()读取同一数据段的不同部分),每次调用tcp_recvmsg()都会被触发。这可能导致在统计时同一数据被计算多次。
-
TCP数据可能由于内核的优化处理(
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
