book

学习 eBPF

by Liz Rice

May 2025

Beginner to intermediate

236 pages

2h 52m

Chinese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

本书适合人群本书内容前提知识示例代码和练习eBPF 只适用于 Linux 吗？本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
eBPF 的根源：伯克利数据包过滤器从 BPF 到 eBPFeBPF 向生产系统的演变命名很难Linux 内核为内核添加新功能内核模块动态加载 eBPF 程序eBPF 计划的高性能云本地环境中的 eBPF摘要
BCC 的 "世界你好"运行 "Hello World"BPF 地图哈希表地图Perf 和环形缓冲区映射功能调用尾部呼叫摘要练习
eBPF 虚拟机eBPF 寄存器eBPF 说明网络接口的 eBPF "世界你好"编译 eBPF 对象文件检查 eBPF 对象文件将程序载入内核检查加载的程序BPF 计划标签翻译后的字节码JIT 编译的机器代码附加到事件全球变量分离程序卸载程序BPF 至 BPF 呼叫摘要练习
加载 BTF 数据创建地图加载程序从用户空间修改地图BPF 程序和地图参考资料别针BPF 链接eBPF 涉及的其他系统调用初始化运行缓冲区附加到 Kprobe 事件设置和读取 Perf 事件环形缓冲器从地图上读取信息查找地图阅读地图要素摘要练习
BCC 的可移植性方法CO-RE 概览BPF 类型格式BTF 用例使用 bpftool 列出 BTF 信息BTF 类型含 BTF 信息的地图函数和函数原型的 BTF 数据检查 BTF 地图和程序数据生成内核头文件CO-RE eBPF 计划标题文件定义地图eBPF 计划部门使用 CO-RE 访问内存许可证定义为 CO-RE 编制 eBPF 程序调试信息优化目标架构Makefile对象文件中的 BTF 信息BPF 搬迁CO-RE 用户空间代码用户空间 Libbpf 库BPF 骷髅Libbpf 代码示例摘要练习
验证过程校验日志可视化控制流验证辅助函数辅助函数参数检查许可证检查内存访问在引用指针前检查指针访问上下文奔向终点循环检查返回代码无效指令无法获取的指令摘要练习
程序上下文参数辅助函数和返回代码Kfuncs追踪Kprobes 和 Kretprobes进入/退出轨迹点启用 BTF 的示踪点用户空间附件LSMNetwork+插座交通管制XDP流量分配器轻型隧道C 组红外线控制器BPF 附件类型摘要练习
数据包丢失XDP 程序返回代码XDP 数据包解析负载平衡和转发XDP 卸载交通管制 (TC)数据包加密和解密用户空间 SSL 库eBPF 和 Kubernetes Network+ 联网避免使用 iptables协调网络计划网络政策执行加密连接摘要练习和进一步阅读
安全可观察性需要政策和背景使用系统调用处理安全事件Seccomp生成 Seccom 配置文件系统调用跟踪安全工具BPF LSM纤毛四角形连接内部内核函数预防性安全网络安全摘要

Bpftrace内核中 eBPF 的语言选择BCC Python/Lua/C++C 和 LibbpfGoGobpfEbpf-goLibbpfgoRustLibbpf-rsRedbpf绫Rust-bcc测试 BPF 程序多个 eBPF 计划摘要练习
eBPF 基金会Windows 版 eBPFLinux eBPF 的演变eBPF 是一个平台，而不是一项功能结论

Content preview from 学习 eBPF

第 11 章 eBPF 的未来发展

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

eBPF 尚未完成！和大多数软件一样，它在 Linux 内核中也在持续开发中，而且还在不断被添加到 Windows 操作系统中。在本章中，我们将探讨这项技术未来可能的发展方向。

自从在 Linux 内核中引入以来，BPF 已经发展成为自己的子系统，拥有自己的邮件列表和维护者。¹随着 eBPF 越来越受欢迎，Linux 内核社区对它的兴趣也越来越浓厚，因此成立一个中立机构来协调相关各方的工作就显得尤为重要。这个机构就是 eBPF 基金会。

eBPF 基金会

eBPF 基金会于 2021 年由谷歌、Isovalent、Meta（当时名为 Facebook）、微软和 Netflix 在 Linux 基金会的支持下成立。该基金会作为一个中立机构，可以持有资金和知识产权，以便各商业公司可以相互合作。

其意图是不改变任何有关 Linux 内核社区和 Linux BPF 子系统贡献者开发 eBPF 技术的方式。基金会的活动由 BPF 指导委员会指导，该委员会完全由构建该技术的技术专家组成，包括 Linux 内核 BPF 维护者和其他核心 eBPF 项目的代表。

eBPF 基金会专注于作为技术平台的 eBPF 以及支持 eBPF 开发的工具生态系统。建立在 eBPF 基础之上、寻求中立所有权的项目可能会在其他基金会找到更好的归宿。例如，Cilium、Pixie 和 Falco 都是 CNCF 的一部分，这是有道理的，因为它们都打算用于云原生环境。

除了现有的 Linux 维护者之外，推动这一合作的关键因素之一是微软有意在 Windows 操作系统中开发 eBPF。这就需要为 eBPF 定义一个标准、²这样，为一种操作系统编写的程序就可以在另一种操作系统上使用。这项工作正在 eBPF 基金会的支持下进行。

Windows 版 eBPF

微软支持Windows eBPF 的工作正在顺利进行。当我在 2022 年的最后几个月写这篇文章时，已经有功能演示显示 Cilium 第 4 层负载均衡和基于 eBPF 的连接跟踪在 Windows 上运行。

我曾经说过，eBPF 编程就是内核编程，乍一看，一个写在 Linux 内核中运行并能访问 Linux 内核数据结构的程序，无论如何都能在一个完全不同的操作系统中运行，这似乎有些不直观。但实际上，特别是在网络方面，所有操作系统都有很多共同点。不管是在 Windows 还是 Linux 机器上创建的网络数据包，其结构都是一样的，网络堆栈的各层也必须以同样的方式处理。

您还会记得，eBPF 程序由一组字节码指令组成，这些指令由内核中的虚拟机（VM）处理。虚拟机也可以在 Windows 中实现！

图 11-1显示了 eBPF for Windows 的架构概览，摘自该项目的 GitHub repo。从图中可以看出，Windows 版 eBPF 重用了现有 eBPF 生态系统中的一些开源组件，如libbpf，以及 Clang 中用于生成 eBPF 字节码的支持。Linux 内核采用 GPL 许可，而 Windows 则是专有的，因此 Windows 项目无法重复使用 Linux 内核实现校验器的任何部分。³取而代之的是使用PREVAIL 校验器和uBPF JIT编译器（两者都获得了许可，因此可以被更多项目和组织使用）。