Linux eBPF解析( 二 ) _eBPF

接下来，我们再了解下 eBPF 的整体架构，具体如下图所示：

文章插图

基于上述架构图，我们可以看到，整个 eBPF 主要分为 2 部分组件：User Program （用户空间程序）和 Kernel （内核程序）。针对两部分组件，简要介绍如下：
User Program （用户空间程序）：负责加载 BPF 字节码至内核，基于特殊场景需求，也可能需要负责读取内核回传的统计信息或者事件详情。
Kernel （内核程序）：内核中的 BPF 字节码负责在内核中执行特定事件，基于特定场景需要，也会将执行的结果通过 Maps 或者 Perf-Event 事件发送至用户空间。
在此架构参考示意图中，用户空间程序与内核 BPF 字节码程序可以基于 Map 结构实现双向通信，这为内核中运行的 BPF 字节码程序提供了更加灵活的控制。
我们再看下 User Program （用户空间程序）与 Kernel （内核程序）的 BPF 字节码交互的流程，具体如下所示：
1、在User Program （用户空间程序）中，基于LLVM 或者 GCC 工具将编写的 BPF 代码程序编译成 BPF 字节码
2、使用加载程序 Loader 将字节码加载至内核，内核使用验证器（Verfier）组件保证执行字节码的安全性，以避免对内核造成灾难，在确认字节码安全后将其加载对应的内核模块执行；BPF 观测技术相关的程序类型可能是
Kprobes/Uprobes/Tracepoint/Perf_events 中的一个或多个。
针对 BPF 相关的程序类型进行简要解析，具体如下：
Kprobes：实现内核中动态跟踪。Kprobes 可以跟踪到 Linux 内核中的导出函数入口或返回点，但是不是稳定 ABI 接口，可能会因为内核版本变化导致，导致跟踪失效。
Uprobes：用户级别的动态跟踪。与 Kprobes 类似，只是跟踪用户程序中的函数。
Tracepoints：内核中静态跟踪。tracepoints 是内核开发人员维护的跟踪点，能够提供稳定的 ABI 接口，但是由于是研发人员维护，数量和场景可能受限。
Perf_events：定时采样和 PMC 。
3、内核中运行的 BPF 字节码程序可以使用两种方式将测量数据回传至用户空间，具体，Maps 方式可用于将内核中实现的统计摘要信息（比如测量延迟、堆栈信息）等回传至用户空间；Perf-event 则用于将内核采集的事件实时发送至用户空间，用户空间程序实时读取分析。
从本质上来讲，eBPF 催生了一种全新的软件开发方式。基于这种方式，我们不仅能够对内核行为进行编程，而且依据场景需求还能编写跨多个子系统的处理逻辑，而传统上这些子系统是完全独立、无法用一套逻辑来处理的。
当前，市面上eBPF 相关的知名的开源项目包括但不限于以下：
【Linux eBPF解析】1、Facebook 高性能 4 层负载均衡器 Katran 。
2、Cilium 为下一代微服务 ServiceMesh 所打造的具备 API 感知和安全高效的容器网络方案，底层主要使用 XDP 和 TC 等相关技术。
3、CloudFlare 公司开源的 eBPF Exporter 和 bpf-tools：eBPF Exporter 将 eBPF 技术与监控 Prometheus 紧密结合起来，而bpf-tools 可用于网络问题分析和排查。
4、IO Visor 项目开源的 BCC、 BPFTrace 和 Kubectl-Trace：BCC 提供了更高阶的抽象，可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序；BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序；Kubectl-Trace 则提供了在 kubernetes 集群中使用 BPF 程序调试的方便操作。
由于 eBPF 还在快速发展期，内核中的功能也日趋增强及完善，因此，在实际的业务场景中，我们一般推荐基于 Linux 4.4+ (4.9 以上效能会更佳) 内核的来使用 eBPF 。部分 Linux Event 和 BPF 版本支持见下图：

文章插图

除上述较为知名的 eBPF 相关的开源项目外，还有越来越多的新兴项目如雨后脆笋一样开始蓬勃发展，并逐步在各种社区布局、开发以及优化完善，成为一股暖流，冲向广阔的市场。
接下来，我们针对 eBPF 所涉及的各方面进行简要解析，主要从网络、安全、性能追踪以及观测及监控等4个维度进行，具体如下所示。
网络
其实，刚才前面针对网络这部分已经有所描述，现在对其进行简要概括，具体，eBPF 的两大特色：可编程和高性能，使它能满足所有的网络包处理需求。可编程意味着无需离开内核中的包处理上下文，就能添加额外的协议解析器或任何转发逻辑，以满足不断变化的需求。高性能的 JIT 编译器使 eBPF 程序能达到几乎与原生编译的内核态代码一样的执行性能。