1、 编写说明 编写单位：浪潮电子信息产业股份有限公司、济南浪潮数据技术有限公司、阿里云计算有限公司、东南大学 参编组织：龙蜥社区 贡献专家：苏志远 浪潮电子信息产业股份有限公司 吴栋 济南浪潮数据技术有限公司 方浩 济南浪潮数据技术有限公司 甄鹏 浪潮电子信息产业股份有限公司 王传国 浪潮电子信息产业股份有限公司 梁媛 浪潮电子信息产业股份有限公司 黄吉旺 济南浪潮数据技术有限公司 彭彬彬 济南浪潮数据技术有限公司 毛文安 阿里云计算有限公司 程书意 阿里云计算有限公司 廖肇燕 阿里云计算有限公司 李光水 阿里云计算有限公司 冯富秋 阿里云计算有限公司 卢烈 阿里云计算有限公司 沈典 东南大学

2、杨彬 东南大学 前言 eBPF 的诞生是 BPF 技术的一个转折点，使得 BPF 不再仅限于网络栈，而是成为内核的一个顶级子系统。在内核发展的同时，eBPF 繁荣的生态也进一步促进了 eBPF 技术的蓬勃发展。随着内核的复杂性不断增加，eBPF 以安全、稳定、零侵入、方便的内核可编程性等特点成为实现内核定制与功能多样性的最佳选择，为内核提供了应对未来挑战的基础。本白皮书重点介绍 eBPF 技术的概念、技术实践以及发展趋势。本书首先梳理了eBPF 的架构和重要技术原理，然后分析了 eBPF 在多种典型应用场景的使用方案，并进一步对 eBPF 技术的发展趋势做了探讨。!目录目录 eBPF 简介.8

3、 eBPF 技术介绍.9 2.1 eBPF 架构.9 2.1.1 eBPF 加载过程.10 2.1.2 JIT 编译.11 2.1.3 挂载与执行.12 2.2 eBPF 常见的开发框架.19 2.2.1 BCC.19 2.2.2 bpfTrace.20 2.2.3 libbpf.20 2.2.4 libbpf-bootstrap.21 2.2.5 cilium-ebpf.21 2.2.6 Coolbpf.21 基于 eBPF 的技术创新与应用实践.25 3.1 基于 eBPF 的系统诊断.25 3.1.1 系统诊断面临挑战.25 3.1.2 基于 eBPF 的系统诊断方案.30 3.1.3

4、基于 eBPF 的 Profiling.36 3.2 基于 eBPF 的虚拟化 IO 全链路时延监测.44 3.2.1 虚拟化 IO 全路径分析主要面临的挑战.44 3.2.2 基于 bpftrace 虚拟化 IO 路径追踪解决方案.45 3.3 基于 eBPF 的 TCP 监控.50 3.3.1 TCP 监控面临的挑战.50 3.3.2 基于 eBPF 的 TCP 监控方案.52 3.4 基于 eBPF 的网络性能优化.55 3.4.1 Linux 网络性能优化面临的挑战.55 3.4.2 基于 eBPF 的 Linux 内核网络性能优化解决方案.58 3.5 基于 eBPF 的流量镜像.6

5、7 3.5.1 传统流量镜像面临的挑战.67 3.5.2 基于 eBPF 的流量镜像解决方案.67 3.5.3 应用实践.69 3.6 网络访问控制.70 3.6.1 传统网络访问控制面临的挑战.70 3.6.2 基于 eBPF 的网络访问控制解决方案.71 3.6.3 应用实践.72 3.7 优化基于 eBPF 的软件网络功能.73 3.7.1 基于 eBPF 实现网络功能的优势.73 3.7.2 eBPF 实现网络功能面临的技术挑战.74 3.7.3 基于标准库的优化 eBPF 网络功能技术方案.76 3.8 基于 eBPF 的安全实践.83 3.8.1 传统解决方案面临挑战.83 3.8

6、.2 基于 eBPF 的新一代安全解决方案.84 挑战与展望.98 eBPF 简介 eBPF 简介 eBPF 是一项起源于 Linux 内核的革命性技术，可以在特权上下文中(如操作系统内核)运行沙盒程序。它可以安全有效地扩展内核的功能，并且不需要更改内核源代码或加载内核模块。内核因具有监督和控制整个系统的特权，一直是实现可观察性、安全性和网络功能的理想场所。同时，由于对稳定性和安全性的高要求，内核发展相对缓慢，与内核之外实现的功能相比，创新速度较慢。eBPF 从根本上改变了上述情况，它允许在内核中运行沙箱程序，即通过运行eBPF 程序向正在运行中的操作系统添加额外的功能，并通过验证引擎和即时编