優(yōu)點(diǎn)知識eBPF開發(fā)實(shí)踐 全
編寫和編譯代碼
eBPF代碼通常是用“限制性C”編寫的,然后編譯成eBPF字節(jié)碼。Clang是事實(shí)上的編譯標(biāo)準(zhǔn)。
在編寫代碼時,可以引用bpf_helper函數(shù)來執(zhí)行各種常見操作,如內(nèi)存復(fù)制、檢索PID和時間戳屬性以及與其他應(yīng)用程序通信(需定義eBPF數(shù)據(jù)結(jié)構(gòu),eBPF maps)。因此,你通常不必從頭開始編寫大量自定義代碼。定制代碼僅限于你想要實(shí)現(xiàn)的特定功能。
檢驗(yàn)與加載
要部署已編譯的eBPF程序,首先調(diào)用bpf()系統(tǒng)調(diào)用,它將字節(jié)碼傳遞給內(nèi)核檢驗(yàn)器。內(nèi)核檢驗(yàn)器的工作是確保程序不會對內(nèi)核造成問題。如果驗(yàn)證成功,內(nèi)核JIT編譯器將把它轉(zhuǎn)換為可執(zhí)行的機(jī)器代碼。
運(yùn)行時(runtime)
加載并驗(yàn)證后,程序就可以執(zhí)行了。它將監(jiān)視你附加到的任何代碼流—無論是在內(nèi)核空間、用戶空間還是兩者都有。一旦它運(yùn)行,你就可以使用eBPF映射或預(yù)定義的文件描述符訪問程序輸入或輸出。
下面摘自Cilium的Golang eBPF框架的部分代碼片段應(yīng)該有助于說明這個過程(上面是eBPF代碼,下面是加載eBPF程序并與之通信的用戶空間應(yīng)用程序)。在編譯和運(yùn)行應(yīng)用程序時,它將計算系統(tǒng)上正在執(zhí)行的新程序的數(shù)量。很整潔!
標(biāo)簽: