龙蜥社区&浪潮信息：2023年eBPF技术实践白皮书（64页）.pdf

1、 编写说明编写说明 编写单位编写单位：浪潮电子信息产业股份有限公司、阿里云计算有限公司 参编组织参编组织：龙蜥社区 编写组成员编写组成员：苏志远、吴栋、方浩、王传国、梁媛、黄吉旺、毛文安、程书意、甄鹏、李宏伟、彭彬彬 前言 eBPF 的诞生是 BPF 技术的一个转折点，使得 BPF 不再仅限于网络栈，而是成为内核的一个顶级子系统。在内核发展的同时，eBPF 繁荣的生态也进一步促进了 eBPF 技术的蓬勃发展。随着内核的复杂性不断增加，eBPF 以安全、稳定、零侵入、方便的内核可编程性等特点成为实现内核定制与功能多样性的最佳选择，为内核提供了应对未来挑战的基础。本白皮书重点介绍 eBPF 技术的

2、概念、技术实践以及发展趋势。本书首先梳理了eBPF 的架构和重要技术原理，然后分析了 eBPF 在多种典型应用场景的使用方案，并进一步对 eBPF 技术的发展趋势做了探讨。目录目录 eBPF 简介.6 eBPF 技术介绍.7 2.1 eBPF 架构.7 2.1.1 eBPF 加载过程.8 2.1.2 JIT 编译.9 2.1.3 挂载与执行.10 2.2 eBPF 常见的开发框架.17 2.2.1 BCC.17 2.2.2 bpfTrace.18 2.2.3 libbpf.18 2.2.4 libbpf-bootstrap.19 2.2.5 cilium-ebpf.19 2.2.6 Coolb

3、pf.19 eBPF 的应用场景与实践.23 3.1 基于 eBPF 的系统诊断.23 3.1.1 系统诊断面临挑战.23 3.1.2 基于 eBPF 的系统诊断方案.28 3.2 基于 eBPF 的虚拟化 IO 全链路时延监测.34 3.2.1 虚拟化 IO 全路径分析主要面临的挑战.34 3.2.2 基于 bpftrace 虚拟化 IO 路径追踪解决方案.36 3.3 基于 eBPF 的网络性能优化.41 3.3.1 Linux 网络性能优化面临的技术挑战.41 3.3.2 基于 eBPF 的 Linux 内核网络性能优化解决方案.44 3.4 基于 eBPF 的主机安全.53 3.4.1

4、 传统解决方案面临挑战.53 3.4.2 基于 eBPF 的新一代主机安全解决方案.54 挑战与展望.63 eBPF 简介 eBPFeBPF 简介简介 eBPF 是一项起源于 Linux 内核的革命性技术，可以在特权上下文中(如操作系统内核)运行沙盒程序。它可以安全有效地扩展内核的功能，并且不需要更改内核源代码或加载内核模块。内核因具有监督和控制整个系统的特权，一直是实现可观察性、安全性和网络功能的理想场所。同时，由于对稳定性和安全性的高要求，内核发展相对缓慢，与内核之外实现的功能相比，创新速度较慢。eBPF 从根本上改变了上述情况，它允许在内核中运行沙箱程序，即通过运行eBPF 程序向正在运

5、行中的操作系统添加额外的功能，并通过验证引擎和即时编译器保证安全性和执行效率，由此衍生出了一系列的产品和项目，涉及下一代网络、可观察性和安全技术。如今，eBPF 在多种应用场景中起到重要作用：在现代数据中心和云原生环境中提供高性能网络和负载均衡，以低开销提取细粒度的安全可观察性数据，帮助应用程序开发人员跟踪应用程序的运行状态，高效进行性能故障定位，保证应用程序和容器运行时安全等。eBPF 引领的创新才刚刚开始，一切皆有可能。eBPF 技术介绍 eBPFeBPF 技术介绍技术介绍 2.1 eBPFeBPF 架构架构 eBPF 包括用户空间程序和内核程序两部分，用户空间程序负责加载 BPF 字节码

6、至内核，内核中的 BPF 程序负责在内核中执行特定事件，用户空间程序与内核 BPF程序可以使用 map 结构实现双向通信，这为内核中运行的 BPF 程序提供了更加灵活的控制。eBPF 的工作逻辑如下：1、eBPF Program 通过 LLVM/Clang 编译成 eBPF 定义的字节码；2、通过系统调用 bpf()将字节码指令传入内核中；3、由 Verifier 检验字节码的安全性、合规性；4、在确认字节码程序的安全性后，JIT Compiler 会将其转换成可以在当前系统运行的机器码；5、根据程序类型的不同，把可运行机器码挂载到内核不同的位置/HOOK 点；6、等待触发执行，其中不同的程序