ebpf学习_incomplete

2024-01-12 09:28
文章标签 学习 incomplete ebpf

本文主要是介绍ebpf学习_incomplete,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

学习ebpf相关知识
参考资料:
awesome-ebpf

文章目录

  • 初识
  • 准备
    • ebpf.io介绍
    • cilium的介绍
    • 内核文档
    • Brendan Gregg's Blog 的介绍
    • 书籍
      • Learning eBPF
      • What is eBPF?
    • 交互式环境
    • 视频
  • 基础知识学习
    • 学习环境搭建
    • 书籍阅读
  • 项目落地流程整理
  • 环境搭建
    • 内核编译
    • bcc
    • 环境变量
    • zlib
    • libelf
    • libbpf
    • libbpf-bootstrap
    • bpftool

初识

最开始接触到的是经典bpf,即cbpf,可以通过生成的字节码给raw socket设定过滤器,这过程中了解到了ebpf,被他的强大所吸引,过去我就对内核观测方面缺少了解,而现有的一些手段显的有点麻烦,不是那么易用,我当时就感觉ebpf可能可以符合我的要求。看gpt的回答:

灵活性方面,eBPF是目前最灵活的观测内核行为的工具之一。它允许用户编写自定义的观测逻辑,并且可以在不需要重新编译内核的情况下动态加载和卸载观测程序。

当时尝试去搞ebpf,但是由于改了内核选项之后,内核跑不起来了,加之工作太忙,因此就搁置了,这段时间又捡起来

准备

本来想找linux内核之旅的入门教程的,但是去看了gitee和github,资料都不知道去哪了,无奈,只能重新找了awesome ebpf来看了。这个项目中有很多的资料链接,非常多,可以先挑几个看。

ebpf.io介绍

先看ebpf.io的介绍,可以设置中文。
这里摘录一些我觉得有必要记录的:

如何编写 eBPF 程序 ?

在很多情况下,eBPF 不是直接使用,而是通过像 Cilium、bcc 或 bpftrace 这样的项目间接使用,这些项目提供了 eBPF 之上的抽象,不需要直接编写程序,而是提供了指定基于意图的来定义实现的能力,然后用 eBPF 实现。
如果不存在更高层次的抽象,则需要直接编写程序。Linux 内核期望 eBPF 程序以字节码的形式加载。虽然直接编写字节码当然是可能的,但更常见的开发实践是利用像 LLVM 这样的编译器套件将伪 c 代码编译成 eBPF 字节码如果不存在更高层次的抽象,则需要直接编写程序。

开发工具链

bcc

BCC 是一个框架,它允许用户编写 python 程序,并将 eBPF 程序嵌入其中。该框架主要用于应用程序和系统的分析/跟踪等场景,其中 eBPF 程序用于收集统计数据或生成事件,而用户空间中的对应程序收集数据并以易理解的形式展示。运行 python 程序将生成 eBPF 字节码并将其加载到内核中。

bpftrace

bpftrace 是一种用于 Linux eBPF 的高级跟踪语言,可在较新的 Linux 内核(4.x)中使用。bpftrace 使用 LLVM 作为后端,将脚本编译为 eBPF 字节码,并利用 BCC 与 Linux eBPF 子系统以及现有的 Linux 跟踪功能(内核动态跟踪(kprobes)、用户级动态跟踪(uprobes)和跟踪点)进行交互。bpftrace 语言的灵感来自于 awk、C 和之前的跟踪程序,如 DTrace 和 SystemTap。

eBPF Go 语言库

eBPF Go 语言库提供了一个通用的 eBPF 库,它将获取 eBPF 字节码的过程与 eBPF 程序的加载和管理进行了解耦。eBPF程序通常是通过编写高级语言,然后使用 clang/LLVM 编译器编译成 eBPF 字节码来创建的。

libbpf C/C++ 库

libbpf 库是一个基于 C/ c++ 的通用 eBPF 库,它可以帮助解耦将 clang/LLVM 编译器生成的 eBPF对象文件的加载到内核中的这个过程,并通过为应用程序提供易于使用的库 API 来抽象与 BPF 系统调用的交互。

cilium的介绍

链接:BPF and XDP Reference Guide
在开发工具章节的安装,比如bpftool,llvm等,在内核编译章节,提供了一些编译内核相关的内容。

内核文档

BPF Documentation

Brendan Gregg’s Blog 的介绍

Learn eBPF Tracing: Tutorial and Examples

书籍

Learning eBPF

这里ebpf.io还推荐了几本书,我准备先看下Learning eBPF,电子版在这,看起来像是一本入门书籍。而且还有配套的示例代码。我在我的Mac-mini上装了一个lima,用来跑这个代码。我看这里面用了quem,感觉如果不是为了后续实际落地,我可以不用折腾环境了。。。

What is eBPF?

另外还有一本同一个作者在更早写的《what-is-ebpf》,这里有中文翻译版。

交互式环境

都在这个页面
Getting started with eBPF
Learning eBPF Tutorial

视频

Tutorial: Getting Started with eBPF - Liz Rice, Isovalent

基础知识学习

学习环境搭建

我发现资料太多了,打算先从《Learning eBPF》开始,刚好作者提供了环境。我打算以树莓派真实环境为主,毕竟是后面打算落地应用的,以虚拟环境为辅。
在Brendan Gregg的博客中提到,初级是运行 bcc tools,中级开发bpftrace tools,高级直接参与到这两个工具的开发,因此我打算先从bcc开始。而《Learning eBPF》作者提供的环境里,各种环境都准备好了,像bcc,bpftool,libbpf等等全部都ok,而且内核的各种选项也都开了,而且使用了quem,可以模拟arm64设备,十分方便用来前期学习。

书籍阅读

详见《Learning eBPF》读书笔记

项目落地流程整理

如果想把ebpf在项目落地,需要考虑的有以下方面问题
1.嵌入式设备的交叉编译
2.主机设备网络受限,无法使用apt等工具
3.编写程序以及排查定位编写程序的难度问题

目前大概有两条路:
1.使用bpftool加载ebpf程序到内核,但是这样就没法写用户态程序交互了
2.使用libbpf完成全套工作,优点是可扩展性高,缺点是环境搭建可能更麻烦。

环境搭建

内核编译

毫无疑问,内核需要进行配置,以运行ebpf
我这里5.10.110的默认配置如下:

$ cat .config|grep BPF
CONFIG_CGROUP_BPF=y
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
# CONFIG_BPF_UNPRIV_DEFAULT_OFF is not set
# CONFIG_BPF_PRELOAD is not set
CONFIG_NETFILTER_XT_MATCH_BPF=m
# CONFIG_BPFILTER is not set
# CONFIG_NET_CLS_BPF is not set
# CONFIG_NET_ACT_BPF is not set
# CONFIG_BPF_JIT is not set
# CONFIG_BPF_STREAM_PARSER is not set
CONFIG_LWTUNNEL_BPF=y
CONFIG_HAVE_EBPF_JIT=y
CONFIG_BPF_LIRC_MODE2=y
CONFIG_BPF_EVENTS=y
# CONFIG_BPF_KPROBE_OVERRIDE is not set
# CONFIG_TEST_BPF is not set

上面需要开启JIT,以获取更高的运行效率,另外还需要再开启BTF,支持CO-RE。

CONFIG_BPF_JIT
CONFIG_DEBUG_INFO_BTF

bcc

本来我打算在树莓派自行从源码搭建bcc的,但是看了下安装文档,感觉有点麻烦,所以直接用Learning eBPF中提供的虚拟环境了。
感受下22.04依赖库:

# For Jammy (22.04)
sudo apt install -y zip bison build-essential cmake flex git libedit-dev \libllvm14 llvm-14-dev libclang-14-dev python3 zlib1g-dev libelf-dev libfl-dev python3-setuptools \liblzma-dev libdebuginfod-dev arping netperf iperf

环境变量

shell:

#!/bin/bash
ROOT_PATH=/home/wsl/project/raspberry_pi/
export ZLIB_ROOT_PATH=${ROOT_PATH}/ebpf/zlib-1.3/
export LIBELF_ROOT_PATH=${ROOT_PATH}/ebpf/elfutils-0.190/
ZLIB_INC=${ZLIB_ROOT_PATH}/output/usr/local/include
ZLIB_LIB=${ZLIB_ROOT_PATH}/output/usr/local/lib
LIBELF_INC=${LIBELF_ROOT_PATH}/libelf/output/usr/local/include
LIBELF_LIB=${LIBELF_ROOT_PATH}/libelf/output/usr/local/lib
export ZLIB_INC ZLIB_LIB LIBELF_INC LIBELF_LIB

zlib

github仓库
编译脚本:

#!/bin/bash
make clean
CHOST=aarch64-linux-gnu ./configure \
--static #最好编译成静态的,因为后面feature检查不加-lz
make -j4
make DESTDIR=output install

libelf

libelf隶属于elfutils。
直接编译,然后报了这个错误"_FORTIFY_SOURCE" redefined,然后参照github的解答,修改了configure参数,编译脚本如下,可以编译通过了。 后面发现可以直接编译通过了,神奇

#!/bin/bash
source ../../env.sh
echo "zlib inc is $ZLIB_INC"
echo "zlib lib is $ZLIB_LIB"
./configure --host=aarch64-linux-gnu \
CFLAGS="-I${ZLIB_INC}" \
LDFLAGS="-L${ZLIB_LIB}" LIBS="-lz"
make -j4
make DESTDIR=output install

libbpf

知识了解:【译】 Libbpf:初学者指南
libbpf的起始代码示例: libbpf-bootstrap
包含libbpf相关基础知识和例子的博客
libbpf依赖libelf和zlib,不过这个库应该是还好,应该是用gcc可以编出来
然后libbpf本身应该也是可以用gcc编出来,但是我看用libbpf写的程序却是用clang编的,主要我用的时候要交叉编译,,,,
其实libbpf在linux源码中也有,要不是看makefile我都不知道,位于tools/lib/bpf/
官方编译指南

编译脚本

#!/bin/bash
BUILD_STATIC_ONLY=y CROSS_COMPILE=aarch64-linux-gnu- NO_PKG_CONFIG=1 DESTDIR=output make install

libbpf-bootstrap

libbpf-bootstrap在树莓派安装失败了,但在虚拟机环境上却一次成功,,,不知道是不是内核支持的问题。不过最终在树莓派上我也是要交叉编译的,不折腾了。

bpftool

在内核源码中就有,位于/tools/bpf/bpftool/。而且看makefile是可以连libbpf一起编的。依赖libelf和zlib。
最开始时特性检查是这样的:

Auto-detecting system features:
...                        libbfd: [ OFF ]
...        disassembler-four-args: [ OFF ]
...                          zlib: [ on  ]
...                        libcap: [ OFF ]
...               clang-bpf-co-re: [ OFF ]

我就在想co-re为啥不支持呢,后来把feature检查的打印放开,发现是主机没装llvm和clang。。。。
还有一个就是,我编译找不到库,发现是用了CFLAGS,实际应该用EXTRA_CFLAGS,以及EXTRA_LDFLAGS。
OK,继续编译,应该是去编libbpf了,问题又来了,提示找不到libelf,我明明都编了,只好加打印分析了。
在tools/bpf/bpftools当中,CFLAGS在Makefile中有额外赋值,LDFLAGS无额外赋值,两者都会+=EXTAR_XXFLAGS,但是在子目标libbpf中,未传递任何变量,也就是说只有最开始命令行指定的参数才会通过MAKEFLAGS传递到子makefile中去。在tools/lib/bpf/Makfile中,CFLAGS与bpftool中类似,因此CFLAGS无误,但是LDFLAGS无额外赋值。
实际libbpf在编译时include的了Makefile.feature,在build/Makefile.feature中,实际make的命令行参数中,CFLAGS赋值为EXTRA_CFLAGS,LDFLAGS无赋值,如下:

feature_check = $(eval $(feature_check_code))
define feature_check_codefeature-$(1) := $(shell $(MAKE) OUTPUT=$(OUTPUT_FEATURES) CC="$(CC)" CXX="$(CXX)" CFLAGS="$(EXTRA_CFLAGS) $(FEATURE_CHECK_CFLAGS-$(1))" CXXFLAGS="$(EXTRA_CXXFLAGS) $(FEATURE_CHECK_CXXFLAGS-$(1))" LDFLAGS="$(LDFLAGS) $(FEATURE_CHECK_LDFLAGS-$(1))" -C $(feature_dir) $(OUTPUT_FEATURES)test-$1.bin >/dev/null 2>/dev/null && echo 1 || echo 0)
endef

在在build/feature/Makefile中,直接使用CFLAGS,LDFLAGS,无任何额外赋值。因此决定调整编译参数。编译ok,但是又报错了,

/bpftool-bootstrap btf dump file /home/wsl/project/raspberry_pi/linux/vmlinux format c > vmlinux.h
/bin/sh: 1: ./bpftool-bootstrap: Exec format error
make[1]: *** [Makefile:139: vmlinux.h] Error 126
make: *** [Makefile:71: bpf/bpftool] Error 2

看下这两个文件:

wsl@My-win:~/project/raspberry_pi/linux/tools$ file bpf/bpftool/bpftool-bootstrap
bpf/bpftool/bpftool-bootstrap: ELF 64-bit LSB pie executable, ARM aarch64, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux-aarch64.so.1, BuildID[sha1]=6de9b18d3cb85a30d39cd8eebb37836397a08dd8, for GNU/Linux 3.7.0, not stripped
wsl@My-win:~/project/raspberry_pi/linux/tools$ file /home/wsl/project/raspberry_pi/linux/vmlinux
/home/wsl/project/raspberry_pi/linux/vmlinux: ELF 64-bit LSB pie executable, ARM aarch64, version 1 (SYSV), statically linked, BuildID[sha1]=1b1c20a248667d9a82dbfb87488660e92ca992f4, not stripped

好吧,都是ARM64的,所以这个脚本,交叉编译真的能行吗。。。
我直接把bpftool-bootstrap拷贝到已经换好内核的树莓派,然后准备按照makefile中的提示执行,这个工具依赖libelf,所以需要在树莓派安装依赖库
按照libbpf-的编译指南,ubuntu应该装这些:

$ apt install clang libelf1 libelf-dev zlib1g-dev

我没装clang,后面再说吧。讲道理,本来应该我把我自己交叉编译的库拷过去的,直接install,也行吧。。。


bpftool-bootstrap btf dump file /sys/kernel/btf/vmlinux format c > vmlinux.h

这个命令和之前看learnning ebpf中提到的生成vmlinux.h的命令几乎一模一样,除了执行的进程变成了bpftool-bootstrap。
好吧,这个vmlinux ok之后又有新的错误

./bpftool-bootstrap gen skeleton profiler.bpf.o > profiler.skel.h
/bin/sh: 1: ./bpftool-bootstrap: Exec format error

歇一段时间再弄ca
编译脚本:

#!/bin/bash                                                                                                                              
source ../../env.sh                                                                                                                      
echo "zlib inc is $ZLIB_INC"                                                                                                            
echo "zlib lib is $ZLIB_LIB"                                                                                                             
echo "libelf inc is $LIBELF_INC"
echo "libelf lib is $LIBELF_LIB"                                                                                                         
echo "vmlinux path is $VMLINUX_PATH"                                                                                                     
make bpf/bpftool V=1 ARCH=arm64 CROSS_COMPILE=aarch64-linux-gnu- EXTRA_CFLAGS="-I${ZLIB_INC} -I${LIBELF_INC}" LDFLAGS="-L${ZLIB_LIB} -L${LIBELF_LIB}" VMLINUX_H=${VMLINUX_PATH} -j4

参考资料:
使用LLVM编译ARM64的LINUX内核和可执行程序

这篇关于ebpf学习_incomplete的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597412

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

线性代数|机器学习-P36在图中找聚类

文章目录 1. 常见图结构2. 谱聚类 感觉后面几节课的内容跨越太大,需要补充太多的知识点,教授讲得内容跨越较大,一般一节课的内容是书本上的一章节内容,所以看视频比较吃力,需要先预习课本内容后才能够很好的理解教授讲解的知识点。 1. 常见图结构 假设我们有如下图结构: Adjacency Matrix:行和列表示的是节点的位置,A[i,j]表示的第 i 个节点和第 j 个

Node.js学习记录(二)

目录 一、express 1、初识express 2、安装express 3、创建并启动web服务器 4、监听 GET&POST 请求、响应内容给客户端 5、获取URL中携带的查询参数 6、获取URL中动态参数 7、静态资源托管 二、工具nodemon 三、express路由 1、express中路由 2、路由的匹配 3、路由模块化 4、路由模块添加前缀 四、中间件