ebpf简介

article/2025/10/4 8:35:59

目录

    • 什么是eBPF
    • eBPF架构
    • eBPF优势
    • eBPF相关工具

什么是eBPF

eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学,
最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计:

  • 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。
  • 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核,由内核虚拟机解释执行。

BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。
eBPF 则是对对BPF的一些扩展,将原本单一的数据包过滤事件逐步扩展到了内核态函数、用户态函数、跟踪点、性能事件(perf_events)以及安全控制等。eBPF 不仅扩展了寄存器的数量,引入了全新的 BPF 映射存储。
eBPF 程序架构强调安全性和稳定性,看上去更像内核模块,但与内核模块不同,eBPF 程序不需要重新编译内核,并且可以确保 eBPF 程序运行完成,而不会造成系统的崩溃。
eBPF 程序并不像常规的线程那样,启动后就一直运行在那里,它需要事件触发后才会执行。这些事件包括系统调用、内核跟踪点、内核函数和用户态函数的调用退出、网络事件,等等。借助于强大的内核态插桩(kprobe)和用户态插桩(uprobe),eBPF 程序几乎可以在内核和应用的任意位置进行插桩。

eBPF架构

eBPF 分为用户空间程序和内核程序两部分:

  • 用户空间程序负责加载 BPF 字节码至内核,如需要也会负责读取内核回传的统计信息或者事件详情
  • 内核中的 BPF 字节码负责在内核中执行特定事件,如需要也会将执行的结果通过 maps 或者 perf-event 事件发送至用户空间
  • 其中用户空间程序与内核 BPF 字节码程序可以使用 map 结构实现双向通信,这为内核中运行的 BPF 字节码程序提供了更加灵活的控制
    eBPF架构

交互流程如下所示:
通常我们借助 LLVM 把编写的 eBPF 程序转换为 BPF 字节码,然后再通过 bpf 系统调用提交给内核执行。内核在接受 BPF 字节码之前,会首先通过验证器对字节码进行校验(不能包含无限循环、不能导致内核崩溃、必须在有限时间内完成),只有校验通过的 BPF 字节码才会提交到即时编译器执行。
BPF 程序可以利用 BPF 映射(map)进行存储,而用户程序通常也需要通过 BPF 映射同运行在内核中的 BPF 程序进行交互。如下图所示,在性能观测中,BPF 程序收集内核运行状态存储在映射中,用户程序再从映射中读出这些状态。
请添加图片描述

eBPF优势

  1. 速度和性能。 eBPF 可以将数据包处理这项工作从内核空间转移到用户空间。同时,eBPF 还支持即时 (JIT) 编译器。在字节码被(JIT)编译完成后,会直接调用 eBPF,而不是对每个方法的字节码进行新的解释。
  2. 低侵入性。 当作为调试器时,eBPF 不需要停止程序来观察其状态。
  3. 安全。 程序被有效地沙箱化了,这意味着内核源代码仍然受到保护并保持不变。eBPF程序的验证步骤确保资源不会被运行无限循环的程序阻塞。
  4. 方便。 创建hook内核函数的代码比构建和维护内核模块的工作要少。
  5. 统一追踪。 eBPF 为我们提供了一个单一、强大且易于访问的流程跟踪框架,这增加了可见性和安全性。
  6. 可编程性。 使用 eBPF 有助于在不添加额外层的情况下增加环境的功能丰富性。由于代码直接在内核中运行,因此可以在 eBPF 事件之间存储数据,而不是像其他跟踪器那样转储数据。
  7. 表现力。 eBPF 具有丰富的表现力,能够执行通常只能在高级语言中才能找到的功能。

eBPF相关工具

  • BCC
    BCC 是 BPF 的编译工具集合,前端提供 Python/Lua API,本身通过 C/C++ 语言实现,集成 LLVM/Clang 对 BPF 程序进行重写、编译和加载等功能, 提供一些更人性化的函数给用户使用。BCC通常用在开发复杂的 eBPF 程序中,其内置的各种小工具也是目前应用最为广泛的 eBPF 小程序。请添加图片描述

  • bpftrace
    bpftrace 在 eBPF 和 BCC 之上构建了一个简化的跟踪语言,通过简单的几行脚本,就可以实现复杂的跟踪功能。因此,在编写简单的 eBPF 程序,特别是编写的 eBPF 程序用于临时的调试和排错时,你可以考虑直接使用 bpftrace ,而不需要用 C 或 Python 去开发一个复杂的程序。
    请添加图片描述

  • libbpf
    libbpf是从内核中抽离出来的标准库,用它开发的 eBPF 程序可以直接分发执行,这样就不需要每台机器都安装 LLVM 和内核头文件了。不过,它要求内核开启 BTF 特性,需要非常新的发行版才会默认开启(如 RHEL 8.2+ 和 Ubuntu 20.10+ 等)。
    请添加图片描述

  • go libary
    使用这些 Go 语言开发库时需要注意,Go 开发库只适用于用户态程序中,可以完成 eBPF 程序编译、加载、事件挂载,以及 BPF 映射交互等用户态的功能,而内核态的 eBPF 程序还是需要使用 C 语言来开发的。
    请添加图片描述


http://chatgpt.dhexx.cn/article/iaXiBcPN.shtml

相关文章

函数栈EIP、EBP、ESP寄存器的作用

函数栈EIP、EBP、ESP寄存器的作用

这一篇文章咱们就来重新认识一下EIP、EBP、ESP这三个寄存器,寄存器又好几个,但是为什么我们要单独看这几个呢?因为在很多情况下我们在调试的时候最注意的就是这三个寄存器,其实这几个寄存器都是为“栈”而生,下面将结合…
阅读更多...
你了解函数调用过程吗?

你了解函数调用过程吗?

函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程: 对于程序运行机制中的数据结构和实现的了解,对自己开发程序有着启发作用碰到一些疑难杂症的时候&#x…
阅读更多...
ebp/栈帧/call stack

ebp/栈帧/call stack

一.什么是ebp? (1)ESP:栈指针寄存器(extended stack pointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。 (2)EBP:基址指针寄存器(extended base …
阅读更多...
栈帧详解

栈帧详解

一. 理解栈帧 栈帧是什么,我们基本的理解是栈帧是栈帧也叫过程 活动记录,是 编译器用来实现过程/ 函数调用的一种数据结构。通俗来说栈帧就时C语言函数在调用的过程中的调用原理,就是当我们执行一个函数操作的时候,它的内部是如何…
阅读更多...
EBP 和 ESP 详解

EBP 和 ESP 详解

基本概念: (1)ESP:栈指针寄存器(extended stack pointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。 (2)EBP:基址指针寄存器(extended base poin…
阅读更多...
基于生命周期的开发方法——迭代开发方法

基于生命周期的开发方法——迭代开发方法

迭代开发方法 上一篇原型方法只是一种需求验证的手段,如果将其思想运用到整个开发过程,使得每个阶段的任务经过反复多次,或者将分析、设计、实施的周期反复多次,通过一次次迭代,不断在原来的基础上完善和修正&#xf…
阅读更多...
2.迭代开发的过程是怎么样的

2.迭代开发的过程是怎么样的

敏捷开发系列文章目录 在讨论PO如何给团队讲好故事这个问题之前,先给大家了解一些基本的敏捷概念,然后讲讲我们敏捷团队构成与整个敏捷开发的过程。 当初敏捷老师讲课的时候就跟我们所过,敏捷没有什么具体的形式,每个敏捷团队可能…
阅读更多...
RUP之动态结构:迭代开发

RUP之动态结构:迭代开发

迭代过程一般分为四个阶段:初始、细化、构造和移交,简称为I,E,C和T。每个阶段以一个重要的里程碑(milestone)结束。 初始(Inception)阶段 确定最终产品的构想及其业务用例、并定义项目范围 初始阶段以生命周期目标(LCO)里程碑为结束点 细化(Elaborat…
阅读更多...
开发模式(敏捷开发,瀑布式开发,螺旋型开发,迭代开发,devOps开发)

开发模式(敏捷开发,瀑布式开发,螺旋型开发,迭代开发,devOps开发)

一. 敏捷开发 以人为核心、迭代、循序渐进的开发方式 简化文档,提取文档重点,主要在于人与人之间的沟通, 对开发产品进行迭代,最终完成开发。 迭代:迭代是指把一个复杂且开发周期很长的开发任务,分解为很…
阅读更多...
敏捷开发-快速迭代

敏捷开发-快速迭代

(转自:http://blog.csdn.net/xiaoxian8023/article/details/8883791) 今天跟大家分享的是“敏捷开发、快速迭代”。我们大都采用的是“瀑布开发模式”,有了问题,就得返工,虽然最终的产品会比较齐全完善,但是…
阅读更多...
一文搞定软件过程模型——瀑布模型、增量式开发/增量开发与迭代开发的区别

一文搞定软件过程模型——瀑布模型、增量式开发/增量开发与迭代开发的区别

软件开发比较经典的过程模型有: 瀑布模型:该模型将基本的过程活动、描述、开发、有效性验证和进化,看成是一些界限分明的独立的过程阶段,例如,需求描述阶段、软件设计阶段、实现阶段、测试阶段等。增量式开发&#xf…
阅读更多...
软件迭代开发流程

软件迭代开发流程

如果对python自动化测试、web自动化、接口自动化、移动端自动化、大型互联网架构技术、面试经验交流等等感兴趣的老铁们,可以关注我。我会在公众号(程序员阿沐)/群里(810119819)不定期的发放免费的资料链接&#xff0c…
阅读更多...
迭代开发流程

迭代开发流程

转载于:https://www.cnblogs.com/gispathfinder/p/8747869.html
阅读更多...
git 迭代开发分支流程规范

git 迭代开发分支流程规范

前言 Git 的名称太响了,相信大家都听说过,鼎鼎大名的同性交友网站 GitHub 就是基于 Git 作为唯一的版本库格式进行托管的平台。本篇不详细介绍 Git 的使用,仅介绍基于 Git 的开发分支流程规范,需要对 Git有一定的了解。 简述 G…
阅读更多...
迭代开发和增量开发

迭代开发和增量开发

(转自:http://blog.csdn.net/l12345678/article/details/5642851) “迭代”和“增量”是敏捷软件开发中的两个重要概念。弄清楚“迭代”和“增量”以及其依据,我们就可以在实际的操作中有章法可循。 为什么要迭代? 我们…
阅读更多...
转」最佳方案:迭代式开发

转」最佳方案:迭代式开发

前言 Fred Brooks 在 25 年前就曾写到:“不要指望一次成功,无论如何你都要这样。” 敏捷开发,小步快跑,持续迭代,不断改进,产品升级。 在用例需要之前,不要添加数据成员 在代码之前编写测试 …
阅读更多...
alert意为:警告、警报。

alert意为:警告、警报。

在JavaScript代码中&#xff0c;alert的作用是弹出一个浏览器对话框&#xff0c;"JS代码"为提示对话框的内容 <body><script type"text/JavaScript"> alert("提交成功&#xff01;我会尽快与你取得联系"); </script></body…
阅读更多...
JS中alert和alter

JS中alert和alter

JS中没有alter&#xff0c;只用alert&#xff0c;alert表示输出后面的语句
阅读更多...
js 的 alert函数问题

js 的 alert函数问题

alert是js人非常熟悉的东西&#xff0c;可以用来调试&#xff0c;写在这里是想警醒我自己&#xff0c;以后再遇到这样的问题的时候谨记这么修改。 看一个简单例子&#xff1a; <body><div οnmοuseοveralert((function(){return"abc";}()))>abc</…
阅读更多...
Alert 提示框的使用

Alert 提示框的使用

1. Alert 基本的使用 1.1 实现 /// 提示框 struct AlertBootcamp: View {State var showAlert: Bool falseState var alertType: MyAlerts? nilState var alertTitle: String ""State var alertMessage: String ""State var backgroundColor: Color …
阅读更多...
推荐文章

Copyright @ 2022~2023