BPF和eBPF简介

照片由 Taylor Vick 拍摄，来源于 Unsplash

引言

Berkeley Packet Filter (BPF) 及其扩展版本 eBPF，因其在 Linux 操作系统中的灵活性和强大能力，变得越来越受欢迎。本文将介绍 BPF 和 eBPF，涵盖它们的历史、演变、架构、组件和常见用例。本文的目的是为你提供理解这一多功能技术和其在现代计算中潜力的坚实基础。

BPF 的简要历史及 eBPF 的演变

Berkeley Packet Filter (BPF) 最初是在 1990 年代初开发的，作为一种用于网络数据包捕获和分析的数据包过滤机制。它旨在高效、轻量和安全，只允许根据过滤规则捕获特定的数据包。BPF 实现了更快的数据包处理，并减少了从内核复制不必要数据包到用户空间的开销。

随着时间的推移，开发人员认识到 BPF 不仅仅限于数据包过滤的潜力。凭借其安全和高效的内核内执行模型，BPF 可以扩展到处理其他任务，例如系统调用过滤、跟踪和监控。这导致了 eBPF（扩展 Berkeley Packet Filter）的发展，eBPF 是 BPF 的一个更强大和灵活的版本，可用于更广泛的应用。

eBPF 架构和组件

eBPF 架构由多个组件构成，这些组件协同工作，在 Linux 内核内安全高效地执行自定义代码。这些组件包括：

1. eBPF 字节码：eBPF 程序使用一种限制性的类似 C 的语言编写，并编译成平台无关的字节码。该字节码旨在安全和高效，具有有限的指令集和严格的限制，以防止未授权访问或内核崩溃。
2. eBPF 虚拟机 (VM)：eBPF VM 是一个小型的内核内解释器，负责加载和执行 eBPF 字节码。它通过执行检查以确保 eBPF 程序安全运行，例如验证程序没有无限循环或非法内存访问。
3. eBPF 映射：eBPF 程序可以使用称为映射的键值数据结构来存储和检索数据。映射在 eBPF 程序和用户空间之间共享，允许高效的数据交换和存储。
4. eBPF 钩子和事件：eBPF 程序附加在特定的内核钩子上，例如系统调用、网络数据包的出入或跟踪点。当事件发生时，eBPF 程序会执行，允许它检查、修改或丢弃数据包，收集统计信息，或执行其他操作。

eBPF 的常见用例

eBPF 在现代 Linux 系统中找到了广泛的应用，包括：

1. 网络：eBPF 可用于实现高级数据包过滤、路由和操作，使得更复杂的网络安全和监控解决方案成为可能。
2. 安全：eBPF 允许在内核中强制实施自定义安全策略，例如阻止未授权的系统调用或根据特定标准过滤网络流量，从而提供增强的防御能力。
3. 性能分析和跟踪：eBPF 可用于在内核和用户空间的应用程序中进行动态跟踪、分析和性能分析，帮助开发人员识别瓶颈、优化代码和排除问题。
4. 可观察性和监控：eBPF 程序可以收集和汇总各种系统和应用程序指标，使得监控和可观察性解决方案更加全面。

结论

本文提供了对 BPF 和 eBPF 的高层次介绍，包括它们的历史、架构和常见用例。随着你继续探索 eBPF，你将发现它在改善系统性能、安全性和可观察性方面的巨大潜力。在本系列即将发布的文章中，我们将深入探讨 eBPF 编程、工具和框架，以及讨论实际应用和案例研究。

通过理解 BPF 和 eBPF 的基础，你将更好地准备利用其能力并将其应用于你的项目中。无论你是网络工程师、安全专家、系统管理员还是开发人员，eBPF 为现代计算环境中的各种挑战提供了强大而灵活的解决方案。

在下一篇文章中，我们将介绍 eBPF 编程的基础，包括限制性 C 类似语言、处理 eBPF 字节码和映射、以及使用 eBPF 辅助函数和系统调用。这将为你提供开始编写自己的 eBPF 程序和探索这一技术所提供的众多可能性所需的知识。

资源

• eBPF.io
• Cilium 的 eBPF 文档
• eBPF 和 XDP 参考指南
• “Linux 可观察性与 BPF” by David Calavera 和 Lorenzo Fontana
• “BPF 性能工具” by Brendan Gregg
• “对 eBPF 的全面介绍” by Quentin Monnet
• BPF 编译器集合 (BCC) GitHub 仓库
• BPFtrace GitHub 仓库

• 原文链接： medium.com/@megawan/an-i...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～