編寫和編譯代碼

eBPF代碼通常是用“限制性C”編寫的，然后編譯成eBPF字節(jié)碼。Clang是事實(shí)上的編譯標(biāo)準(zhǔn)。

在編寫代碼時，可以引用bpf_helper函數(shù)來執(zhí)行各種常見操作，如內(nèi)存復(fù)制、檢索PID和時間戳屬性以及與其他應(yīng)用程序通信(需定義eBPF數(shù)據(jù)結(jié)構(gòu)，eBPF maps)。因此，你通常不必從頭開始編寫大量自定義代碼。定制代碼僅限于你想要實(shí)現(xiàn)的特定功能。

檢驗(yàn)與加載

要部署已編譯的eBPF程序，首先調(diào)用bpf()系統(tǒng)調(diào)用，它將字節(jié)碼傳遞給內(nèi)核檢驗(yàn)器。內(nèi)核檢驗(yàn)器的工作是確保程序不會對內(nèi)核造成問題。如果驗(yàn)證成功，內(nèi)核JIT編譯器將把它轉(zhuǎn)換為可執(zhí)行的機(jī)器代碼。

運(yùn)行時(runtime)

加載并驗(yàn)證后，程序就可以執(zhí)行了。它將監(jiān)視你附加到的任何代碼流—無論是在內(nèi)核空間、用戶空間還是兩者都有。一旦它運(yùn)行，你就可以使用eBPF映射或預(yù)定義的文件描述符訪問程序輸入或輸出。

下面摘自Cilium的Golang eBPF框架的部分代碼片段應(yīng)該有助于說明這個過程(上面是eBPF代碼，下面是加載eBPF程序并與之通信的用戶空間應(yīng)用程序)。在編譯和運(yùn)行應(yīng)用程序時，它將計算系統(tǒng)上正在執(zhí)行的新程序的數(shù)量。很整潔!