之前一个老板说“xxx组的同学是一定要把eBPF用到得心应手”,因为之前是做性能压测相关工作,个人感觉压测其实并不复杂,复杂的是压测后的问题定位,而eBPF则是定位问题的有效工具,我们可以透过eBPF去洞悉内核的运行状态,帮助我们去做故障诊断、网络优化、性能监控、以及安全控制等生产环境中的各种问题。
eBPF全称“Extended Berkeley Packet Filter”,翻译来就是“扩展的伯克利数据包过滤器”,所以:
在4.x以后的内核版本中,bpf已经成为了内核的一个顶级子程序,提供了更多强大的能力,具体可查
其实现在我们所提到的BPF即是eBPF,最早BPF只是简单的为非内核开发同学提供了一种安全的内核控制机制,可以在内核事件以及用户事件发生时安全的注入代码,但随着内核的发展,BPF的功能随之丰富以及扩展,从最早的数据包过滤扩展到了网络、内核、安全等,后被称为eBPF
# 创建和启动Ubuntu 21.10虚拟机
vagrant init ubuntu/impish64
vagrant up
# 登录到虚拟机
vagrant ssh
# 安装依赖以及工具s
sudo apt-get install -y make clang llvm libelf-dev libbpf-dev bpfcc-tools libbpfcc-dev linux-tools-$(uname -r) linux-headers-$(uname -r)
pbf系统在eBPF诞生后,成为了内核的一个顶级子系统
需要靠事件进行触发,且可以通过kprobe合uprobe在内核的任意位置插桩
添加描述
eBPF程序执行过程
BPF映射
一个完整的eBPFcase分三部分:内核态eBPF程序(c语言编写)、用户态程序(可用python的BCC库写)
建议两个程序对着看,内核态和用户态程序的每行代码基本都能对得上、包括参数、事件、等
root@ubuntu-impish:/home/ebpf-test# tree
.
├── hello.c
└── hello.py
0 directories, 2 files
hello.c
// 包含头文件
#include <uapi/linux/openat2.h>
#include <linux/sched.h>
// 定义数据结构
struct data_t {
u32 pid;
u64 ts;
char comm[TASK_COMM_LEN];
char fname[NAME_MAX];
};
// 定义性能事件映射
BPF_PERF_OUTPUT(events);
// 定义kprobe处理函数
int hello_world(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how)
{
struct data_t data = { };
// 获取PID和时间
data.pid = bpf_get_current_pid_tgid();
data.ts = bpf_ktime_get_ns();
// 获取进程名
if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)
{
bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);
}
// 提交性能事件
events.perf_submit(ctx, &data, sizeof(data));
return 0;
}
hello.py
from bcc import BPF
# 1) load BPF program
b = BPF(src_file="hello.c")
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 2) print header
print("%-18s %-16s %-6s %-16s" % ("TIME(s)", "COMM", "PID", "FILE"))
# 3) define the callback for perf event
start = 0
def print_event(cpu, data, size):
global start
event = b["events"].event(data)
if start == 0:
start = event.ts
time_s = (float(event.ts - start)) / 1000000000
print("%-18.9f %-16s %-6d %-16s" % (time_s, event.comm, event.pid, event.fname))
# 4) loop with callback to print_event
b["events"].open_perf_buffer(print_event)
while 1:
try:
b.perf_buffer_poll()
except KeyboardInterrupt:
exit()
sudo python3 hello.py
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。