book

Observabilidad de Linux con BPF

by David Calavera, Lorenzo Fontana

October 2024

Intermediate to advanced

180 pages

5h 5m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Historia de BPFArquitecturaConclusión
Escribir programas BPFTipos de programas BPFProgramas de filtro de enchufesProgramas KprobeProgramas TracepointProgramas XDPProgramas de Eventos PerfProgramas de Socket CgroupProgramas Cgroup Open SocketProgramas opcionales de zócaloProgramas de mapas de zócalosProgramas de dispositivos CgroupProgramas de entrega de mensajes por socketProgramas Tracepoint en brutoProgramas de dirección de socket CgroupProgramas de reutilización de zócalosProgramas de disección de flujosOtros programas de BPFEl verificador BPFFormato Tipo BPFLlamadas de cola BPFConclusión
Crear mapas BPFConvenciones ELF para crear mapas BPFTrabajar con mapas BFPActualizar elementos de un mapa BPFLectura de elementos de un mapa BPFEliminar un elemento de un mapa BPFIterar sobre los elementos de un mapa BPFBuscar y borrar elementosAcceso simultáneo a los elementos del mapaTipos de mapas BPFMapas de tablas hashMapas de matricesProgramar mapas de matricesMapas de matrices de eventos PerfMapas Hash por CPUMapas de matrices por CPUMapas de seguimiento de pilaMapas de matrices CgroupHash LRU y mapas hash por CPUMapas de Trias LPMConjunto de mapas y Hash de mapasMapa del dispositivo MapasMapa CPU MapasMapas de zócalos abiertosMatrices de sockets y mapas HashAlmacenamiento Cgroup y mapas de almacenamiento por CPUMapas de tomas ReuseportMapas de colasMapas de pilaEl sistema de archivos virtual BPFConclusión
SondasSondas del núcleoTracepuntosSondas del espacio de usuarioTracepuntos definidos estáticamente por el usuarioVisualización de los datos de seguimientoGráficos de llamaHistogramasEventos PerfConclusión
BPFToolInstalaciónPantalla de funcionesInspeccionar los programas de BPFInspeccionar los mapas BPFInspeccionar programas adjuntos a interfaces específicasCargar comandos en modo LoteVisualización de la información de BTFBPFTraceInstalaciónReferencia lingüísticaFiltradoMapeo dinámicokubectl-traceInstalaciónInspeccionar nodos KubernetesExportador eBPFInstalaciónExportar métricas desde BPFConclusión
BPF y filtrado de paquetesExpresiones tcpdump y BPFFiltrado de paquetes para sockets sin procesarClasificador de control de tráfico basado en BPFTerminologíaPrograma clasificador de control de tráfico mediante cls_bpfDiferencias entre el Control del Tráfico y el XDPConclusión
Visión general de los programas XDPModos de funcionamientoEl procesador de paquetesXDP e iproute2 como cargadorXDP y BCCProbar programas XDPPruebas XDP con el marco de pruebas unitarias de PythonCasos de uso del XDPMonitoreoMitigación DDoSEquilibrio de cargaCortafuegosConclusión
CapacidadesSeccompErrores SeccompEjemplo de filtro Seccomp BPFGanchos BPF LSMConclusión

Sysdig eBPF Modo DiosMolino de flujo

Content preview from Observabilidad de Linux con BPF

Capítulo 6. Redes Linux y BPF

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Desde el punto de vista de las redes, utilizamos los programas BPF para dos casos de uso principales: la captura y el filtrado de paquetes.

Esto significa que un programa de espacio de usuario puede adjuntar un filtro a cualquier socket y extraer información sobre los paquetes que fluyen a través de él y permitir/no permitir/redirigir determinados tipos de paquetes según se vean a ese nivel.

El objetivo de este capítulo es explicar cómo los programas BPF pueden interactuar con la estructura del Búfer de Socket en diferentes etapas de la ruta de datos de red en la pila de red del núcleo Linux. Identificamos, como casos de uso común, dos tipos de programas:

Tipos de programas relacionados con los enchufes
Programas escritos para el clasificador basado en BPF para el Control del Tráfico

Nota

La estructura Socket Buffer, también llamada SKB o sk_buff, es la que en el núcleo se crea y utiliza para cada paquete enviado o recibido. Leyendo el SKB puedes pasar o dejar paquetes y rellenar mapas BPF para crear estadísticas y métricas de flujo sobre el tráfico actual.

Además, algunos programas BPF te permiten manipular el SKB y, por extensión, transformar los paquetes finales para redirigirlos o cambiar su estructura fundamental. Por ejemplo, en un sistema sólo IPv6, podrías escribir un programa que convirtiera todos los paquetes recibidos ...