《云原生网络数据面可观测性最佳实践》—— 一、容器网络内核原理——4.eBPF技术

简介: 《云原生网络数据面可观测性最佳实践》—— 一、容器网络内核原理——4.eBPF技术

eBPF是Linux内核提供可以在不借助内核模块的场景下,对内核进行观测,注入来实现高阶功能的机制。

 

eBPF技术作为内核当前最为突破性的技术,具有轻量级,无侵入的特性,在排查网络问题上可以提供很多帮助,在当前的eBPF生态中,bpftrace和bcc都提供了很多出色的功能协助我们进行观测,本章节会简单介绍eBPF的实现原理以及eBPF在云原生场景下的应用的简单介绍。

 

eBPF能够在实现接近内核模块的功能的基础上,具备上述的有点,得益于内核为eBPF提供的多个改变:

 

提供了高效jit,eBPF代码在内核中会被编译为机器码从而向真正内核代码一样被执行

bpf()系统调用和map机制以及bpf helper辅助函数提供,让内核操作更加便捷

内核在高频通用代码中提供了安全注入点,让eBPF程序只需要关注于代码逻辑

 

下图是eBPF程序的生命流程概述。

 image.png

 

对于一个eBPF程序来说,他的完整的生命流程包括:

 

使用eBPF兼容C语言子集进行代码开发,然后通过clang进行编译

通过各种开发框架进行初步检查,然后通过bpf()系统调用进行加载,在这个过程中会完成map创建和替换以及符号重定位

加载到内核过程中,内核verifier会对程序进行校验,如果通过了校验,则可以被JIT编译为字节码然后被添加到指定位置

当内核代码执行到某个位置,内核会自动执行已经完成加载和attacheBPF程序,例如socket读取和写入会触发sockops这个执行点eBPF程序执行,完成流量统计或者劫持动作

 

eBPF在在安全,网络和可观测行上都有很广泛的应用,也诞生了许多影响力较大的开源项目。

 image.png

 

Linux内核为提升可观测性而提供了多个可执行的点,我们常用的包括:

kprobe,kretprobe,fentry,fexit 通过执行到某个函数是,触发INT3中断,使得eBPF程序可以在进程现场状态下观测到信息

tracepoint 内核debugfs子系统提供可供执行点,内核在固定tracepoint会执行注册eBPF程序

 

我们可以通过一些开源的项目很快体验到eBPF的价值,例如通过bpftrace,我们能够很快看到所有经过内核的数据报文在netfilter中的返回值:

bpftrace -e 'kretprobe:nf_hook_slow {printf("%d %s\n",retval,comm)}'

 

此外,eBPF在容器网络中也扮演着越来越关键的角色,包括cilium,terway,calico等多个知名的网络插件都开始使用eBPF来取代传统的netfilter框架等机制的作用,达到更加高效的抽象。

相关文章
|
7月前
|
Kubernetes Linux 网络安全
基于eBPF的微服务网络安全
基于eBPF的微服务网络安全
101 2
|
4月前
|
运维 持续交付 虚拟化
深入解析Docker容器化技术的核心原理
深入解析Docker容器化技术的核心原理
94 1
|
5月前
|
存储 监控 Shell
docker的底层原理二:容器运行时环境
本文深入探讨了Docker容器运行时环境的关键技术,包括命名空间、控制组、联合文件系统、容器运行时以及分离的进程树,这些技术共同确保了容器的隔离性、资源控制和可移植性。
83 5
|
7月前
|
XML Java 数据格式
Spring5入门到实战------2、IOC容器底层原理
这篇文章深入探讨了Spring5框架中的IOC容器,包括IOC的概念、底层原理、以及BeanFactory接口和ApplicationContext接口的介绍。文章通过图解和实例代码,解释了IOC如何通过工厂模式和反射机制实现对象的创建和管理,以及如何降低代码耦合度,提高开发效率。
Spring5入门到实战------2、IOC容器底层原理
|
6月前
|
Kubernetes Linux 虚拟化
一文详解容器技术简介和基本原理
本文全面阐述了容器技术的发展历程、关键技术、架构和当前的行业生态,特别是容器技术在云环境中的应用和演进。
|
9月前
|
弹性计算 监控 Cloud Native
构建多模态模型,生成主机观测指标,欢迎来战丨2024天池云原生编程挑战赛
本次比赛旨在如何通过分析 ECS 性能数据和任务信息,综合利用深度学习、序列分析等先进技术,生成特定机器的性能指标。参赛者的解决方案将为云资源管理和优化决策提供重要参考,助力云计算资源的高效稳定运行和智能化调度。
696 24
|
10月前
|
自然语言处理 监控 Cloud Native
对话阿里云云原生产品负责人李国强:推进可观测产品与OpenTelemetry开源生态全面融合
阿里云宣布多款可观测产品全面升级,其中,应用实时监控服务 ARMS 在业内率先推进了与 OpenTelemetry 开源生态的全面融合,极大丰富了可观测的数据类型及规模,大幅增强了 ARMS 核心能力。本次阿里云 ARMS 产品全面升级的背景是什么?为什么会产生围绕 OpenTelemetry 进行产品演进的核心策略?在云原生、大模型等新型应用架构类型层出不穷的今天,又将如何为企业解决新的挑战?阿里云云原生应用平台产品负责人李国强接受采访解答了这些疑问,点击本文走进全新升级的阿里云可观测产品。
42092 23
|
7月前
|
Kubernetes 监控 Cloud Native
eBPF技术大揭秘:一张全景图彻底改变Kubernetes问题排查,助你成为云原生时代的超级英雄!
【8月更文挑战第8天】在云原生时代,Kubernetes作为容器编排的标准,其问题排查变得日益复杂。eBPF技术无需改动内核即可编写高效、安全的内核程序,实现系统细粒度观测与控制。近期发布的基于eBPF的Kubernetes问题排查全景图,展示了如何利用eBPF监控资源使用、网络性能及调度策略等,例如通过eBPF程序监控CPU使用率。此全景图有助于快速定位如高CPU使用率等问题所在Pod,进而优化配置或调整调度。
149 8
|
8月前
|
存储 监控 Cloud Native
kubevela可观测体系问题之KubeVela云原生时代可观测性挑战的问题如何解决
kubevela可观测体系问题之KubeVela云原生时代可观测性挑战的问题如何解决

热门文章

最新文章