Linux网络和eBPF

已于 2022-03-23 14:52:33 修改
阅读量2.1k 收藏 7
点赞数 3
分类专栏: Linux操作系统相关 文章标签: eBPF Linux 网络 性能优化 内核
于 2022-03-23 14:49:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43574962/article/details/123637414
版权
本文深入探讨了Linux系统中eBPF(Extended Berkeley Packet Filter)在网络层的应用,包括套接字选项、消息传递、映射、过滤器和流量控制程序。eBPF提供数据包捕获、过滤、流量控制等能力,可在service mesh和云原生环境中发挥重要作用。文章介绍了如何使用BPF程序实现套接字操作,如SOCK_OPS、SK_MSG、SK_SKB,以及如何利用BPF实现套接字重定向和内核级负载均衡。此外,还讨论了流量控制分类器如socket过滤器和TC子系统的BPF程序,展示了它们在数据包调度和流量整形中的功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

关于本文

Linux 现在已经支持了很多种和网络相关的 eBPF 程序了,这些程序可以附加到任何套接字上,可以提取流经数据包的相关信息,可以检测和控制系统的网络流量,可以对网络接口的数据包进行过滤,可以对数据包进行放行、禁止或重定向等,可以修改网络连接状态…这些能力在 service mesh,云原生[2][3]等场景下有极大的作用,本文会介绍一些 eBPF 程序在网络上的应用。

如何实现

从网络的角度来看,使用 BPF 程序主要有两个用途: 数据包捕获过滤 [1]。
它这些能力的实现主要取决与以下两种类型的程序:

  • 套接字相关程序
  • 基于 BPF 分类器和流量控制程序

网络相关的 eBPF 程序通常会需要传一个参数 struct __sk_buff,我们先来看看他的结构[4][5]:

struct __sk_buff {
   
	__u32 len; /* 整个数据区域的长度, 这个 len 只计算有效的协议长度,如果在 l3 时, 不会计算 l2 的协议头长度*/
	__u32 pkt_type; /*标记帧的类型*/
	__u32 mark;
	__u32 queue_mapping;
	__u32 protocol; /*协议类型*/
	__u32 vlan_present;
	__u32 vlan_tci;
	__u32 vlan_proto;
	__u32 priority;
	__u32 ingress_ifindex;
	__u32 ifindex;
	__u32 tc_index; /* traffic control index */
	__u32 cb[5]; /* 保存与协议相关的控制信息, 每个协议可以独立使用这些信息*/
	__u32 hash;
	__u32 tc_classid;
	__u32 data; // 数据开始指针
	__u32 data_end; // 数据结束指针
	__u32 napi_id;

	/* Accessed by BPF_PROG_TYPE_sk_skb types from here to ... */
	__u32 family;
	__u32 remote_ip4;	/* Stored in network byte order */
	__u32 local_ip4;	/* Stored in network byte order */
	__u32 remote_ip6[4];	/* Stored in network byte order */
	__u32 local_ip6[4];	/* Stored in network byte order */
	__u32 remote_port;	/* Stored in network byte order */
	__u32 local_port;	/* stored in host byte order */
	/* ... here. */

	__u32 data_meta;
	__bpf_md_ptr(struct bpf_flow_keys *, flow_keys);
	__u64 tstamp;
	__u32 wire_len;
	__u32 gso_segs;
	__bpf_md_ptr(struct bpf_sock *, sk);
	__u32 gso_size;
	__u32 :32;		/* Padding, future use. */
	__u64 hwtstamp;
};

它是对内核网络核心结构 struct sk_buff 的用户可访问字段的镜像。BPF 程序中对 struct __sk_buff 字段的访问,将会被 BPF 校验器转换成对相应的 struct sk_buff 字段的访问[7]。而 sk_buff 是 Linux 网络协议栈里最重要的结构体,它用来管理和控制接受或发送数据包,在内核中各个协议之间传输时,不需要拷贝 sk_buff 的数据,只需要改协议头和移动数据指针,当数据从 L4 到 L2 时,数据段只用移动 sk_buff 里的 data 指针即可 。
BPF 程序通过访问 __sk_buff 中暴露的这些数据 ,可以选择放行(PASS)或丢弃(DROP)数据包; 可以将当前流量信息保存到 BPF 映射 来统计流量数据。甚至在一部分 BPF 程序里,可以对这些数据包进行重定向或改变其基本结构[1]。
可以说 __sk_buff

最低0.47元/天 解锁文章
traffic control
fengcai_ke的博客
07-27 791
tc介绍
Linux内核eBPF基础篇
qq_43840665的博客
10-21 2640
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就!!!!,后续继续完善扩充👍(●’◡’●)
基于ebpf统计docker容器网络流量
xyin_kevin的博客
12-10 5179
Linux统计网络带宽的工具很多,但大部分是按网卡、进程、IP维度进行统计统计容器维度的网络流量,虽然可在容器的namespace查看,或者由cgroup提供的net_cls做标记再配合iptable统计,但使用起来并不方便,这里介绍一种基于ebpf统计容器维度网络流量的办法,以及使用时遇到的坑。 原理与实现 ebpf的原理不再介绍了,用来做流量统计,最大的优势是十分灵活,能够根据需求对统计项目进行定制。基本原理就是记录内核中各网络相关函数的参数,再按不同维度,如 cgroupID, 进程,IP地
如何使用ebpf统计某个端口的流量
c_cppcoder的博客
01-04 1380
如何使用ebpf统计某个端口的流量
Linux】软件工程师的屠龙技—eBPF(编辑中)
最新发布
bandaoyu的note
03-07 761
eBPF(extended Berkeley Packet Filter),即“增强版伯克利数据包过滤器”或“伯克利数据包过滤器扩展版”,是一种在Linux内核中运行沙盒程序的技术。
使用 ebpf 深入分析容器网络 dup 包问题
flynetcn的专栏
09-10 939
| 导语我们日常工作中都会遇到内核网络相关问题,包括网络不通、丢包、重传、性能问题等等,排查解决非常困难,而容器更加重了这种复杂度,涉及2、3层转发,iptable,ipvs,namespace等,即使是网络专家,面对如此复杂的环境也非常的头大的。我们基于eBPF开发了skbtracer工具,不用修改内核代码,不用编写内核模块而能够使Linux主机网络变成一个彻底的白盒,能够看到一个数据包从产生发出去的全部过程,包括不限于数据流、namespace、路由信息跟踪,丢包原因,netfilter处...
Linux网络流量实时监控工具大全
weixin_34327223的博客
10-14 169
为什么80%的码农都做不了架构师?>>> ...
BPF_PROG_TYPE_SOCKET_FILTER 功能实现
already_skb的专栏
02-20 2053
BPF_PROG_TYPE_SOCKET_FILTER,从宏字面意思比较容易想到实现的是socket filter功能,它区别于sockopstracepoint等功能,需要额外借助setsockopt能力将功能函数socket绑定,功能才能真正生效。 如何定该类型 在内核态功能函数中定义SEC("socketxxxx"),则会被解析为BPF_PROG_TYPE_SOCKET_FILTER类型功能。 比如内核中实现的三个example程序: samples/bpf/sockex1_kern.c -
eBPF 之 ProgramType、AttachTypeInputContext
风神韵
02-17 1313
本文列举了eBPF中 ProgramType、AttachType InputContext 的定义,以及三者之前的关系。因为这些定义都会随着Linux版本变化,因此本文对每个定义都标明了在Linux源码中的出处,在实际开发过程中可以根据自身内核版本来找对应的定义。
Linux内核eBPF实践入门篇
qq_43840665的博客
11-22 1452
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就!!!!,后续继续完善扩充👍(●’◡’●)
linux内核eBPF基础及应用调研
qq_43840665的博客
09-24 1435
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件eBPF技术实现集群中流量其他网络指标的实时观测。
Linux eBPF网络、系统监控安全领域的创新
望获实时Linux系统
05-29 1559
eBPF利用其在网络监控拦截方面的优势,可实现动态可定义的内核网络安全:eBPF可以在内核态实时监控网络流量数据包,并且根据事先定义的规则进行拦截处理。随着时间的推移,eBPF的功能应用场景不断扩展,如今已成为网络、系统监控安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用返回的参数、返回值等信息,从而实现对内核行为的监控分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测分析。
[译] Cilium:基于 BPF+EDT+FQ+BBR 更好地带宽网络管理
u012516914的专栏
11-01 1307
译者序本文翻译自 KubeCon+CloudNativeCon Europe 2022 的一篇分享:Better Bandwidth Management with eBPF。作者 Daniel Borkmann, Christopher, Nikolay 都来自 Isovalent(Cilium 母公司)。翻译时补充了一些背景知识、代码片段链接,以方便理解。由于译者水平有限,本文不免存在遗漏或...
Linux eBPF内核源码sample/bpf全网最细解析(一)
尧fighting的博客
09-28 3821
本文重点讲解samples/bpf/sockex1_kern.csamples/bpf/sockex1_user.c这两个文件,并剖析了它们调用的其他外部函数。
链路层的输出
weixin_30379973的博客
05-11 327
网络层发包 将通过dev_queue_xmit 将数据包发送到 输出设备层中, 调用dev_queue_xmit 函数输出数据包,前提是必须启用中断,只有启用中断之后才能激活下半部。 1.设备在调用这个函数之前,必须设置设备优先级 缓冲区buffer 2.如果此函数发送失败,会返回一个负数的Error number,不过即使返回正数,也不一定保证发送成功,封包也许会被网络拥塞给d...
tc流量管理简介
qk_zhu的专栏
06-16 1335
http://www.turbolinux.com.cn/turbo/wiki/doku.php?id=traffic-control:tc%E6%B5%81%E9%87%8F%E7%AE%A1%E7%90%86%E7%AE%80%E4%BB%8B 一.tc的简介 tc,即traffic control,顾名思义,tc是linux进行流量控制的工具.通过tc,你可以控制网络
ebpf原理分析
热门推荐
hjkfcz的博客
03-17 1万+
ebpf原理解析
linux fq队列,理解fq_codel之概述
weixin_39838362的博客
05-16 3188
fq_codel这个新的机制进入内核已经有一段时间了,主要是在Linux的Wi-Fi子系统中使用。但是目前好像并没有像样的中文的介绍。正好之前参与开源组织合作开发Airtime fairness(ATF)的时候,有比较深入的去了解它的大致原理,这里试着缕一缕它的大致逻辑。目录I. fq-codel 的由来II. fq-codel的基本原理I. fq-codel 的由来如果不做些search,可能很...
ebpf 网络过滤器实践
qq_32783703的博客
12-18 1164
ebpf 网络过滤器的实践
调试linux网络怎么用ebpf
11-06
Linux系统中,eBPF(Extended Berkeley Packet Filter)技术可以用来调试监控网络行为。对于网络调试,bpftool工具是常用的辅助工具之一。`bpftool net show dev ens33 -p`命令[^1]可用于查看特定设备(如ens33)上的eBPF hook点,这些hook点允许在关键路径上插入自定义的代码。 具体来说,要使用eBPF进行网络调试,你可以编写eBPF程序来追踪系统调用,比如当一个进程试图加载一个新的eBPF程序时。在Linux内核中,所有eBPF操作都依赖于系统调用`SYS_BPF`。在这个例子中,开发者定义了一个名为`tracepoint_sys_enter_bpf`的tracepoint,该tracepoint会在`sys_enter_bpf`(进入BPF系统调用时)触发。当这个系统调用发生时,会捕获相关信息并发送事件。 下面是一个简单的概念性示例,展示了如何在`sys_enter_bpf`时创建一个事件: ```c SEC("tracepoint/syscalls/sys_enter_bpf") int tracepoint_sys_enter_bpf(struct syscall_bpf_args *args) { struct bpf_context_t *bpf_context = make_event(); if (!bpf_context) return 0; bpf_context->cmd = args->cmd; get_common_proc(&bpf_context->procinfo); send_event(args, bpf_context); return 0; } ``` 这段代码说明了在`sys_enter_bpf`时,它会创建一个`bpf_context`结构体,存储传入的参数(`args->cmd`),获取进程信息,然后发送一个事件。这只是一个基本框架,实际应用可能需要更复杂的逻辑以满足特定的监控需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Randy__Lambert

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值