book

学习 eBPF

Name: 学习 eBPF
Author: Liz Rice
ISBN: 9798341657823

by Liz Rice

May 2025

Beginner to intermediate

236 pages

2h 52m

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

序言
本书适合人群本书内容前提知识示例代码和练习eBPF 只适用于 Linux 吗？本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
1.什么是 eBPF，为什么它很重要？
eBPF 的根源：伯克利数据包过滤器从 BPF 到 eBPFeBPF 向生产系统的演变命名很难Linux 内核为内核添加新功能内核模块动态加载 eBPF 程序eBPF 计划的高性能云本地环境中的 eBPF摘要
2. eBPF 的 "Hello World"
BCC 的 "世界你好"运行 "Hello World"BPF 地图哈希表地图Perf 和环形缓冲区映射功能调用尾部呼叫摘要练习
3.eBPF 计划剖析
eBPF 虚拟机eBPF 寄存器eBPF 说明网络接口的 eBPF "世界你好"编译 eBPF 对象文件检查 eBPF 对象文件将程序载入内核检查加载的程序BPF 计划标签翻译后的字节码JIT 编译的机器代码附加到事件全球变量分离程序卸载程序BPF 至 BPF 呼叫摘要练习
4.bpf() 系统调用
加载 BTF 数据创建地图加载程序从用户空间修改地图BPF 程序和地图参考资料别针BPF 链接eBPF 涉及的其他系统调用初始化运行缓冲区附加到 Kprobe 事件设置和读取 Perf 事件环形缓冲器从地图上读取信息查找地图阅读地图要素摘要练习
5.CO-RE、BTF 和 Libbpf
BCC 的可移植性方法CO-RE 概览BPF 类型格式BTF 用例使用 bpftool 列出 BTF 信息BTF 类型含 BTF 信息的地图函数和函数原型的 BTF 数据检查 BTF 地图和程序数据生成内核头文件CO-RE eBPF 计划标题文件定义地图eBPF 计划部门使用 CO-RE 访问内存许可证定义为 CO-RE 编制 eBPF 程序调试信息优化目标架构Makefile对象文件中的 BTF 信息BPF 搬迁CO-RE 用户空间代码用户空间 Libbpf 库BPF 骷髅Libbpf 代码示例摘要练习
6.eBPF 校验器
验证过程校验日志可视化控制流验证辅助函数辅助函数参数检查许可证检查内存访问在引用指针前检查指针访问上下文奔向终点循环检查返回代码无效指令无法获取的指令摘要练习
7. eBPF 计划和附件类型
程序上下文参数辅助函数和返回代码Kfuncs追踪Kprobes 和 Kretprobes进入/退出轨迹点启用 BTF 的示踪点用户空间附件LSMNetwork+插座交通管制XDP流量分配器轻型隧道C 组红外线控制器BPF 附件类型摘要练习
8. 用于 Network+ 的 eBPF
数据包丢失XDP 程序返回代码XDP 数据包解析负载平衡和转发XDP 卸载交通管制 (TC)数据包加密和解密用户空间 SSL 库eBPF 和 Kubernetes Network+ 联网避免使用 iptables协调网络计划网络政策执行加密连接摘要练习和进一步阅读
9. 安全的 eBPF
安全可观察性需要政策和背景使用系统调用处理安全事件Seccomp生成 Seccom 配置文件系统调用跟踪安全工具BPF LSM纤毛四角形连接内部内核函数预防性安全网络安全摘要

10. eBPF 编程
Bpftrace内核中 eBPF 的语言选择BCC Python/Lua/C++C 和 LibbpfGoGobpfEbpf-goLibbpfgoRustLibbpf-rsRedbpf绫Rust-bcc测试 BPF 程序多个 eBPF 计划摘要练习
11.eBPF 的未来发展
eBPF 基金会Windows 版 eBPFLinux eBPF 的演变eBPF 是一个平台，而不是一项功能结论
索引
关于作者

Content preview from 学习 eBPF

第 3 章. eBPF 计划剖析

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

在上一章中，你看到了一个使用 BCC 框架编写的简单 eBPF "Hello World "程序。本章将提供一个完全用 C 语言编写的 "Hello World "程序示例，让你了解 BCC 在幕后处理的一些细节。

本章还向你展示了 eBPF 程序从源代码到执行过程中所经历的各个阶段，如图 3-1 所示。

C (or Rust) source code is compiled into eBPF bytecode, which is either JIT-compiled or interpreted into native machine code instructions

eBPF 程序是一组 eBPF 字节码指令。可以直接用字节码编写 eBPF 代码，就像用汇编语言编程一样。人类通常认为高级编程语言更容易处理，至少在本文写作时，我认为绝大多数 eBPF 代码都是用 C 语言编写的¹编写，然后编译成 eBPF 字节码。

从概念上讲，这种字节码在内核中的 eBPF 虚拟机中运行。

eBPF 虚拟机

eBPF 虚拟机与其他虚拟机一样，是计算机的软件实现。它以 eBPF 字节码指令的形式接收程序，并将其转换为在 CPU 上运行的本地机器指令。

在 eBPF 的早期实现中，字节码指令是在内核中解释的，也就是说，每次运行 eBPF 程序时，内核都会检查指令并将其转换为机器码，然后执行机器码。由于性能原因，以及为了避免 eBPF 解释器中可能存在的一些与 Spectre 相关的漏洞，解释工作在很大程度上已被 JIT（即时编译）所取代。编译意味着只需在程序加载到内核时进行一次本地机器指令的转换。

eBPF 字节码由一组指令组成，这些指令作用于（虚拟）eBPF 寄存器。eBPF 指令集和寄存器模型的设计与常见的 CPU 架构完全一致，因此从字节码编译或解释为机器码的步骤相当简单。

eBPF 寄存器

eBPF 虚拟机使用 10 个通用寄存器，编号为 0 至 9。此外，寄存器 10 用作堆栈帧指针（只能读取，不能写入）。在执行 BPF 程序时，这些寄存器中会存储数值，以便跟踪状态。

需要了解的是，eBPF 虚拟机中的这些 eBPF 寄存器是通过软件实现的。你可以在 Linux 内核源代码的include/uapi/linux/bpf.h头文件中看到它们从BPF_REG_0 到BPF_REG_10 的枚举。

eBPF 程序的上下文参数在执行开始前被载入寄存器 1。函数的返回值存储在寄存器 0 中。

在调用 eBPF 代码中的函数之前，该函数的参数会被放入寄存器 1 至寄存器 5 中（如果参数少于 5 个，则不会使用所有寄存器）。

eBPF 说明

同一份linux/bpf.h头文件定义了一个名为bpf_insn 的结构，它代表一条 BPF 指令：

struct bpf_insn {
    __u8 code;          /* opcode */                       
    __u8 dst_reg:4;     /* dest register */               
    __u8 src_reg:4;     /* source register ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341657823

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills