eBPF从程序员角度出发中文翻译
需积分: 5 126 浏览量
2023-03-20
16:50:48
上传
评论
收藏 661KB PDF 举报
eBPF - 程序员视角下的介绍
摘要:
eBPF 允许软件开发人员编写在内核中执行的程序,而不需要重新编译和系统重启。当
调用内核函数时,这些程序可以收集关键性能指标。在本文中,我们将使用 libbpf 描述和讨
论 eBPF 的体系结构以及其核心组件。我们将研究 eBPF 程序与典型用户空间 C 程序之间的
关键区别。最后,我们将探讨 eBPF 的一些真实世界用例。然而,本文不会讨论性能数据或
正式证明。本文仅是对阅读 eBPF 教材、博客文章、eBPF 样本和内核代码的无数小时的总
结。
1 致谢
我要向 Quentin Monnet 表示感谢,他在验证论文正确性以及提供有价值的反馈方面做
出了巨大贡献。
2 简介
BPF(Berkeley Packet Filter)于 1992 年出现,作为一种高效的网络数据包过滤器 [4, 11]。
网络数据包过滤器是一种网络安全机制,通过检查数据包在通过过滤器时的流动来控制网络
的流入和流出。BPF 的作者描述它比现有技术快 20 倍。BPF 与先前的系统不同之处在于,
在基于寄存器的 CPU 上构建的虚拟机中运行程序,并具有不需要复制所有信息以做出决策
的每个应用程序缓冲区 [4]。BPF 成为了当时最先进的技术,并被采用为网络数据包过滤的
首选技术。
Alexei Starovoitov 于 2014 年将 eBPF 作为 BPF 的现代硬件重新设计 [15, 4]。eBPF 虚拟
机更快,因为它更类似于现代处理器,因此允许 eBPF 指令与硬件指令集体系结构(ISA)紧
密映射[7]。在 2014 年 Alexei 的提交中 [15],eBPF 暴露给用户空间,随后,eBPF 不再限于
网络堆栈,并随着时间的推移变得更加广泛和通用。eBPF 使得在不需要重新编译内核和重
启系统的情况下更新内核行为成为可能,并提供了比模块编程更简单、更安全的接口。
eBPF 采用静态验证器构建,确保程序不能导致内核崩溃,并且始终能够终止。在程序编译
后,eBPF 验证器检查程序是否安全运行 [4,5]。
在内核运行 eBPF 程序之前,必须确定它的执行点。执行点由 eBPF 程序类型定义,在本文
后面将进行描述。eBPF 架构还包括映射,这是双向数据结构,允许 eBPF 程序与用户空间异
步共享数据 [4]。
在本文中,我们主要从 libbpf 的角度来看 eBPF。虽然存在其他方法,但使用 C 程序的
推荐方法是 libbpf。我们首先将介绍 eBPF 和 libbpf 的高级架构,然后转向一些实际示例和
实际用例。
剩余17页未读,继续阅读
资源评论
