使用 Docker Desktop进行 BPF 开发

简介: Docker Desktop 是 Windows 和 Mac 上最为流行 Docker 开发环境。是否有办法在Docker Desktop中,利用容器来使用eBPF呢?

![](https://ata2-img.oss-cn-zhangjiakou.aliyuncs.com/neweditor/b1f5d318-c2ed-4d08-8170-270644c62d41.jpeg) Docker Desktop 是 Windows 和 Mac 上最为流行 Docker 开发环境。我平时很多日常开发和测试也是以 Docker Desktop 为主。之前开发测试eBPF应用大多是直接在Linux上面完成的,是否有办法在Docker Desktop中,利用容器来使用eBPF呢?本文参考了部分 https://github.com/singe/ebpf-docker-for-mac 相关实现,来帮助大家尝试一下。 ## bcc & bpftrace Docker Desktop for Mac 通过一个虚拟机,来运行基于[Linuxkit](https://github.com/linuxkit/linuxkit)构建的操作系统支持Docker环境。我们无法直接访问Virtual Machine,我们需要在 Docker容器中运行 eBPF 工具, 这需要有如下的前提条件: - /usr/src/ 需要包含内核源代码 - debugfs 被正确挂载。 ```mount -t debugfs debugfs /sys/kernel/debug``` - /lib/modules/ 需要挂载 host 宿主机上相关目录 - 需要在特权方式运行,比如 ```docker run --privileged ...``` - 需要使用宿主机 PID 名空间,比如 ```docker run --pid=host ... ``` 我们首先获取当前宿主机内核版本信息 ``` $ docker run -it --rm --privileged --pid=host justincormack/nsenter1 # uname -r 5.10.47-linuxkit ``` 在Docker Hub上,Docker 在 [docker/for-desktop-kernel](https://hub.docker.com/r/docker/for-desktop-kernel/tags) 仓库中发布了 Docker Desktop 所包含的 linuxkit 内核代码的容器镜像。大家根据上面的内核版本信息就能定位相应的镜像 tag。 然后,我们来构建属于自己的 Docker 镜像,比如我希望构建一个Docker镜像包含,[bcc](https://github.com/iovisor/bcc) 和 [bpftrace](https://github.com/iovisor/bpftrace) 等eBPF开发工具。我们创建如下 Dockerfile.tools 来构建相应镜像 ``` FROM docker/for-desktop-kernel:5.10.47-0b705d955f5e283f62583c4e227d64a7924c138f AS ksrc FROM ubuntu:20.04 AS bpftrace COPY --from=ksrc /kernel-dev.tar / RUN tar xf kernel-dev.tar && rm kernel-dev.tar # Use Alibaba Cloud mirror for ubuntu RUN sed -i 's/archive.ubuntu.com/mirrors.aliyun.com/' /etc/apt/sources.list # Install LLVM 10.0.1 RUN apt-get update && apt install -y wget lsb-release software-properties-common && wget https://apt.llvm.org/llvm.sh && chmod +x llvm.sh && ./llvm.sh 10 ENV PATH "$PATH:/usr/lib/llvm-10/bin" # Build/Install bpftrace RUN apt-get install -y bpftrace # Build/Install bcc WORKDIR /root RUN DEBIAN_FRONTEND="noninteractive" apt install -y kmod vim bison build-essential cmake flex git libedit-dev \   libcap-dev zlib1g-dev libelf-dev libfl-dev python3.8 python3-pip python3.8-dev clang libclang-dev && \   ln -s $(which python3) /usr/bin/python RUN git clone https://github.com/iovisor/bcc.git && \     mkdir bcc/build && \     cd bcc/build && \     cmake .. && \     make && \     make install && \     cmake -DPYTHON_CMD=python3 .. && \     cd src/python/ && \     make && \     make install && \     sed -i "s/self._syscall_prefixes\[0\]/self._syscall_prefixes\[1\]/g" /usr/lib/python3/dist-packages/bcc/__init__.py CMD mount -t debugfs debugfs /sys/kernel/debug && /bin/bash ``` 运行如下命令,构建镜像 (执行时间较长,可以出去喝喝咖啡,吃吃饭) ``` $ docker build -t ebpf-for-mac -f ./Dockerfile.tools . [+] Building 6097.8s (16/16) FINISHED ... ``` 或者可以直接拉取以构建好的镜像, ``` $ docker pull registry.cn-hangzhou.aliyuncs.com/denverdino/ebpf-for-mac $ docker tag registry.cn-hangzhou.aliyuncs.com/denverdino/ebpf-for-mac ebpf-for-mac ``` 运行如下命令,来通过Docker镜像运行 bcc 测试应用。 ``` $ docker run -it --rm \   --name ebpf-for-mac \   --privileged \   -v /lib/modules:/lib/modules:ro \   -v /etc/localtime:/etc/localtime:ro \   --pid=host \   ebpf-for-mac    # wget https://raw.githubusercontent.com/singe/ebpf-docker-for-mac/main/hello_world.py # python3 hello_world.py b'      kube-proxy-5454    [003] d... 10679.347316: bpf_trace_printk: Hello world' b'' b'      kube-proxy-5469    [002] d... 10679.355387: bpf_trace_printk: Hello world' b'' b'         dockerd-1807    [001] d... 10680.178545: bpf_trace_printk: Hello world' b'' b'            runc-95361   [003] d... 10680.191472: bpf_trace_printk: Hello world' b'' ... ``` bpftrace 是IO Visor开发的eBPF的追踪工具。它允许开发者用简洁的DSL(Domain Specific Language)编写eBPF程序,而不必在内核中手动编译和加载它们。## 在Kubernetes上调度 bpftrace 应用 Docker Desktop也内置了Kubernetes集群开发环境。为了帮助国内开发者解决由于无法访问 gcr.io 镜像仓库,导致无法开启 Kubernetes 的问题,阿里云团队维护了一个简单的 helper 工具可以解决相应问题,请参考: https://github.com/AliyunContainerService/k8s-for-docker-desktop 。 kubectl-trace 是可以让用户在Kubernetes集群中安排执行bpftrace程序的kubectl插件。它的架构图如下,当通过 ```kubectl trace``` 命令创建一个trace应用时,kubectl-trace插件会在Kubernetes集群上,通过API创建一个被称作“trace-runner”的临时任务来执行bpftrace应用,可以调度到指定的节点或者Pod对其进行追踪。 ![](https://ata2-img.oss-cn-zhangjiakou.aliyuncs.com/neweditor/cad1045e-75c8-468b-ab86-75a712d9977b.png) kubectl-trace的安装过程比较简单,请参考 [Installing](https://github.com/iovisor/kubectl-trace#installing) 进行操作。然而其默认带的 trace-runner 镜像是不支持 Docker Desktop,执行会自动退出。我们来根据上文原理,hack 一个扩展的版本。其中的代码实现在 https://github.com/denverdino/trace-runner-for-docker-desktop 项目中。 其实现与上文类似,在  /usr/src/ 中添加内核源代码,并挂载 debugfs , 然后就可以愉快的玩耍了。具体实现可以参见项目中 Dockerfile 与 main.go ,此处不在赘述。其运行效果如下: ``` $ kubectl trace run docker-desktop --imagename=registry.cn-hangzhou.aliyuncs.com/denverdino/kubectl-trace-runner -e "tracepoint:syscalls:sys_enter_* { @[probe] = count(); }" trace 7b64f4b4-226e-4aaf-83b1-94858c72f91f created $ kubectl trace attach 7b64f4b4-226e-4aaf-83b1-94858c72f91f Attaching 327 probes... ^C first SIGINT received, now if your program had maps and did not free them it should print them out @[tracepoint:syscalls:sys_enter_getrlimit]: 1 @[tracepoint:syscalls:sys_enter_newstat]: 1 @[tracepoint:syscalls:sys_enter_fsync]: 1 @[tracepoint:syscalls:sys_enter_rt_sigsuspend]: 2 ... ``` 或者利用别名来简化命令使用 ``` $ alias kubectl-trace-run="kubectl trace run --imagename=registry.cn-hangzhou.aliyuncs.com/denverdino/kubectl-trace-runner" $ kubectl-trace-run docker-desktop -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args->filename)); }' trace 96209723-f439-4fb8-8bdc-d32e41e53e35 created $ kubectl trace attach 96209723-f439-4fb8-8bdc-d32e41e53e35 Attaching 1 probe... sntpc /etc/services sntpc /dev/urandom sntpc /dev/urandom ... ``` Have fun and Happy Halloween!

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
4月前
|
NoSQL Redis Docker
【从零开始】Docker Desktop:听说你小子要玩我
本文旨在帮助读者重新掌握Docker知识,特别是在Windows 10环境下安装与使用Docker Desktop的过程。文章详细介绍了从下载安装到配置镜像源的具体步骤,并通过Redis实例演示了如何拉取镜像和启动容器。
2162 0
【从零开始】Docker Desktop:听说你小子要玩我
|
1月前
|
监控 前端开发 Java
【技术开发】接口管理平台要用什么技术栈?推荐:Java+Vue3+Docker+MySQL
该文档介绍了基于Java后端和Vue3前端构建的管理系统的技术栈及功能模块,涵盖管理后台的访问、登录、首页概览、API接口管理、接口权限设置、接口监控、计费管理、账号管理、应用管理、数据库配置、站点配置及管理员个人设置等内容,并提供了访问地址及操作指南。
|
1月前
|
缓存 监控 开发者
掌握Docker容器化技术:提升开发效率的利器
在现代软件开发中,Docker容器化技术成为提升开发效率和应用部署灵活性的重要工具。本文介绍Docker的基本概念,并分享Dockerfile最佳实践、容器网络配置、环境变量和秘密管理、容器监控与日志管理、Docker Compose以及CI/CD集成等技巧,帮助开发者更高效地利用Docker。
|
2月前
|
缓存 运维 Docker
容器化运维:Docker Desktop 占用磁盘空间过大?教你轻松解决!
Windows Docker Desktop 使用过程中,因镜像、容器数据及构建缓存的累积,可能导致磁盘空间占用过高。通过删除无用镜像与容器、压缩磁盘以及清理构建缓存等方法,可有效释放空间。具体步骤包括关闭WSL、使用`diskpart`工具压缩虚拟磁盘、执行`docker buildx prune -f`清理缓存等。这些操作能显著减少磁盘占用,提升系统性能。
549 4
|
2月前
|
数据可视化 数据挖掘 Docker
Docker Desktop 安装 ClickHouse 超级简单教程
Docker Desktop 安装 ClickHouse 超级简单教程
63 1
|
2月前
|
存储 持续交付 开发者
掌握Docker容器化:提升开发效率与应用部署
【10月更文挑战第4天】在现代软件开发中,Docker容器化技术因其轻量级、可移植和快速部署的特点,成为提升开发效率和简化部署流程的关键工具。本文介绍了Docker的基本概念、核心组件及其优势,并探讨了如何在开发环境中搭建、微服务架构及CI/CD流程中有效利用Docker,助力软件开发更加高效便捷。
|
2月前
|
网络虚拟化 Docker 容器
docker Desktop报错 error pulling image configuration 处理
docker Desktop报错 error pulling image configuration 处理
53 0
|
3月前
|
持续交付 开发者 Docker
掌握 Docker:容器化技术在现代开发中的应用
Docker 是一个开源容器化平台,使开发者能够将应用程序及其依赖项封装在轻量级容器中,确保跨平台的一致性。本文介绍了 Docker 的基本概念、核心组件及优势,并展示了其在快速部署、一致性、可移植性和微服务架构中的应用。通过示例说明了 Docker 在本地开发环境搭建、服务依赖管理和 CI/CD 流程中的作用,以及多阶段构建、资源限制和网络模式等高级特性。掌握 Docker 可大幅提升开发效率和应用管理能力。
|
4月前
|
容器 C# Docker
WPF与容器技术的碰撞:手把手教你Docker化WPF应用,实现跨环境一致性的开发与部署
【8月更文挑战第31天】容器技术简化了软件开发、测试和部署流程,尤其对Windows Presentation Foundation(WPF)应用程序而言,利用Docker能显著提升其可移植性和可维护性。本文通过具体示例代码,详细介绍了如何将WPF应用Docker化的过程,包括创建Dockerfile及构建和运行Docker镜像的步骤。借助容器技术,WPF应用能在任何支持Docker的环境下一致运行,极大地提升了开发效率和部署灵活性。
151 1
|
4月前
|
机器学习/深度学习 Kubernetes Docker
机器学习开发的灵药:Docker容器
机器学习开发的灵药:Docker容器
下一篇
DataWorks