Gartner 估計(jì)，到 2025 年，超過(guò) 95% 的數(shù)字工作負(fù)載將部署在云原生平臺(tái)上。與此同時(shí)，Kubernetes正在成為跨云編排的標(biāo)準(zhǔn)和云原生架構(gòu)的支柱。在這一轉(zhuǎn)變中，發(fā)揮重要作用的技術(shù)是eBPF(Berkeley Packet Filter的擴(kuò)展版本)。

1 什么是eBPF？

操作系統(tǒng)分為用戶空間和內(nèi)核空間，內(nèi)核是操作系統(tǒng)的核心，它獨(dú)立于普通的應(yīng)用程序，可以訪問(wèn)受保護(hù)的內(nèi)存空間，也有訪問(wèn)底層硬件設(shè)備的所有權(quán)限。為了保證內(nèi)核的安全，現(xiàn)在的操作系統(tǒng)一般都強(qiáng)制用戶進(jìn)程不能直接操作內(nèi)核。 ? 我們編寫(xiě)的應(yīng)用程序通常在用戶空間中運(yùn)行，每當(dāng)這些應(yīng)用程序想要以任何方式與硬件交互時(shí)，無(wú)論是讀取還是寫(xiě)入文件、發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包、訪問(wèn)內(nèi)存，都需要只有內(nèi)核才能擁有的特權(quán)訪問(wèn)權(quán)限，用戶空間的應(yīng)用程序必須向內(nèi)核發(fā)出請(qǐng)求。內(nèi)核還負(fù)責(zé)調(diào)度應(yīng)用程序，以確保多個(gè)進(jìn)程同時(shí)運(yùn)行。

? eBPF 使應(yīng)用程序能在操作系統(tǒng)的內(nèi)核中運(yùn)行，并在不更改內(nèi)核源代碼的情況下對(duì)內(nèi)核進(jìn)行檢測(cè)。eBPF 程序在內(nèi)核版本之間是可移植的，并且可以自動(dòng)更新，從而避免了工作負(fù)載中斷和節(jié)點(diǎn)重啟。eBPF 程序可以在加載時(shí)進(jìn)行驗(yàn)證，以防止內(nèi)核崩潰或其他不穩(wěn)定性因素。 ? eBPF 是一個(gè)抽象虛擬機(jī) (VM)，它有自己的指令集，可在 Linux 和 Windows 內(nèi)核中運(yùn)行。eBPF 可以在內(nèi)核的沙箱執(zhí)行用戶定義的程序，這些沙箱程序由內(nèi)核中的事件觸發(fā)，接收指向內(nèi)核或用戶空間內(nèi)存的指針。

? eBPF 項(xiàng)目布局由三個(gè)關(guān)鍵組成（參見(jiàn)圖 1）： ?

eBPF 程序，在內(nèi)核中運(yùn)行并對(duì)事件做出反應(yīng)。

用戶空間程序，將 eBPF 程序加載到內(nèi)核并與之交互。

BPF Maps (hash maps, arrays, ring / perf buffer)，它允許用戶空間程序和內(nèi)核中的 eBPF 程序之間的數(shù)據(jù)存儲(chǔ)和信息共享。

在開(kāi)發(fā)階段，將eBPF程序字節(jié)碼注入內(nèi)核，詳見(jiàn)圖1。 ?

圖 1. eBPF 項(xiàng)目布局 ?

通常，eBPF 程序是用 C 或 Rust 編寫(xiě)的，并編譯為目標(biāo)文件。這是一個(gè)標(biāo)準(zhǔn)的可執(zhí)行和可鏈接格式(ELF) 文件，可以使用readelf等工具進(jìn)行分析。Linux 內(nèi)核期望 eBPF 程序以字節(jié)碼的形式加載。像 LLVM這樣的編譯器套件可以用來(lái)將偽 C 代碼編譯成 eBPF 字節(jié)碼。 ? eBPF Maps使 eBPF 能夠共享獲取的信息并保存狀態(tài)。因此，eBPF 程序可以利用 eBPF 映射來(lái)維護(hù)和檢索各種格式的數(shù)據(jù)。eBPF程序和用戶空間應(yīng)用程序都可以通過(guò)系統(tǒng)調(diào)用訪問(wèn)eBPF映射。 ? 在運(yùn)行階段，Go庫(kù)使用 eBPF 系統(tǒng)調(diào)用將 eBPF 程序加載到內(nèi)核中。然后，內(nèi)核驗(yàn)證代碼，JIT即時(shí)編譯器編譯 eBPF 程序并將其附加到所需的鉤子（hook）上。當(dāng)內(nèi)核或應(yīng)用程序通過(guò)某個(gè)hook點(diǎn)（系統(tǒng)調(diào)用、函數(shù)進(jìn)入/退出、內(nèi)核跟蹤點(diǎn)、網(wǎng)絡(luò)事件等）時(shí)，eBPF 程序讓自定義代碼在內(nèi)核中運(yùn)行。 ? eBPF 程序使用 BPF 映射實(shí)現(xiàn)了內(nèi)核和用戶空間之間的可見(jiàn)性。 ? 如圖 1 所示，當(dāng)一個(gè) eBPF 程序被加載到內(nèi)核中時(shí)，它將由一個(gè)事件（圖中的 TC ingress/egress 和 sockets）觸發(fā)。一旦事件發(fā)生，附加的 eBPF 程序?qū)⒈粓?zhí)行。 ? 例如，可以使用一組在Linux內(nèi)核的網(wǎng)絡(luò)堆棧中支持的eBPF 鉤子來(lái)運(yùn)行eBPF程序?？梢酝ㄟ^(guò)組合以下鉤子來(lái)創(chuàng)建更高級(jí)別的網(wǎng)絡(luò)結(jié)構(gòu)： ?

Express Data Path (XDP)：網(wǎng)絡(luò)驅(qū)動(dòng)程序是最早可以附加 XDP BPF 鉤子的點(diǎn)。當(dāng)收到一個(gè)數(shù)據(jù)包時(shí)，eBPF 程序就會(huì)被觸發(fā)運(yùn)行。

流量控制入口/出口：與 XDP 一樣，通過(guò)將eBPF程序與流量控制入口掛鉤，將eBPF程序附加到網(wǎng)絡(luò)接口上。與 XDP 的不同之處在于 eBPF 程序?qū)⒃诰W(wǎng)絡(luò)堆棧對(duì)數(shù)據(jù)包進(jìn)行初始處理后運(yùn)行。

套接字操作：另一組鉤子點(diǎn)是套接字操作鉤子，它將 eBPF 程序附加到特定的 cgroup 并根據(jù) TCP 事件觸發(fā)它們。

套接字發(fā)送/接收：套接字發(fā)送/接收鉤子在 TCP 套接字執(zhí)行的每個(gè)發(fā)送操作上觸發(fā)并運(yùn)行附加的 eBPF 程序。

還可以對(duì)內(nèi)核函數(shù)使用Kprobes，對(duì)用戶空間函數(shù)使用Uprobes來(lái)檢測(cè)函數(shù)調(diào)用。可以使用Linux 安全模塊(LSM) 鉤子（內(nèi)核 5.7 及更高版本）執(zhí)行與安全相關(guān)的操作。 ? 圖 2 展示了一組全面的eBPF 可觀察性工具。 ?

圖 2. Linux bcc/BPF 跟蹤工具 ?

由于事件種類繁多，eBPF 程序可用于高效網(wǎng)絡(luò)、跟蹤和數(shù)據(jù)分析、可觀察性和安全工具，例如，用于威脅防御和入侵檢測(cè)。參見(jiàn)圖 3 中所示的 eBPF 堆棧。 ?

圖 3. eBPF 堆棧

? 2 為什么是 eBPF？

云原生架構(gòu)是基于 eBPF 應(yīng)用程序的關(guān)鍵驅(qū)動(dòng)因素之一，因?yàn)樵絹?lái)越多的內(nèi)核子系統(tǒng)可以使用 eBPF 進(jìn)行擴(kuò)展。 ? 如前所述，典型的用例是安全性、網(wǎng)絡(luò)和可觀察性。安全性和網(wǎng)絡(luò)之間的交集導(dǎo)致了“網(wǎng)絡(luò)安全”應(yīng)用；安全性和可觀察性之間的重疊產(chǎn)生了“實(shí)時(shí)威脅檢測(cè)和響應(yīng)”應(yīng)用程序；網(wǎng)絡(luò)和可觀察性結(jié)合起來(lái)就是關(guān)于“網(wǎng)絡(luò)可觀察性”的應(yīng)用；“智能應(yīng)用程序沙箱”是安全性、網(wǎng)絡(luò)和可觀察性相交的結(jié)果，如圖 4 所示。 ?

圖 4. eBPF 高級(jí)用例 ?

圖 5 整合了 eBPF 為云原生環(huán)境帶來(lái)的一些價(jià)值。 ? eBPF 展示了驚人的可編程性，eBPF 驗(yàn)證器確保加載的程序是安全的，并保證它們不會(huì)使內(nèi)核崩潰。eBPF 還提供了出色的策略可見(jiàn)性和執(zhí)行控制，并允許操作員觀察在用戶空間中運(yùn)行的所有程序，這是在同一空間中運(yùn)行的應(yīng)用程序幾乎無(wú)法實(shí)現(xiàn)的。 ?

圖 5. eBPF 優(yōu)勢(shì)示例 ?

此外，用 eBPF 映射替換 iptables 規(guī)則允許將數(shù)據(jù)直接從入站套接字傳輸?shù)匠稣咎捉幼?，從而?shí)現(xiàn)超快速的服務(wù)負(fù)載平衡。圖 6 展示了如何使用 eBPF 在 Kubernetes 集群中的四個(gè)復(fù)制 pod 之間實(shí)現(xiàn)負(fù)載平衡。 ?

圖 6. 在 Kubernetes

集群中使用 eBPF 的負(fù)載平衡示例 ? 表 1 概述了 eBPF 的十大優(yōu)勢(shì)，以及eBPF該如何發(fā)展以支持許多其他用例。 ?

表 1. eBPF 優(yōu)勢(shì)和 eBPF 潛力總結(jié) ?

3 為什么現(xiàn)在使用 eBPF？

eBPF 的市場(chǎng)潛力體現(xiàn)在 2022 年的幾項(xiàng)重大公司舉措中，包括以下例子： ?

New Relic 收購(gòu)了下一代機(jī)器智能和可觀察性Pixie Labs。

Datadog 收購(gòu)了 Seekret，能夠利用 Seekret 的 eBPF 專業(yè)知識(shí)來(lái)解鎖新功能。

Seekret 使用強(qiáng)大的 eBPF 技術(shù)來(lái)自動(dòng)發(fā)現(xiàn)和可視化 API 資產(chǎn)、互連和依賴關(guān)系，使開(kāi)發(fā)人員和產(chǎn)品負(fù)責(zé)人能夠了解復(fù)雜、動(dòng)態(tài)環(huán)境中的 API 行為和使用模式。 ? 業(yè)界對(duì) eBPF 理解的增加，也間接創(chuàng)造了更多的買(mǎi)家。 ? eBPF在技術(shù)上已經(jīng)成熟。 ? 事實(shí)上，eBPF 已經(jīng)變得更加通用，特別是 Windows 的 eBPF。此外，還出現(xiàn)了一系列 eBPF 工具鏈，例如 GCC 和 Aya，一個(gè)可以完全用 Rust 編寫(xiě) eBPF 程序的庫(kù)。? ? 4 如何將 eBPF 商業(yè)化？ ? 我們可以考慮這樣一個(gè)市場(chǎng)，其中客戶可以通過(guò)訂閱訪問(wèn)軟件，并使用與特定產(chǎn)品（例如網(wǎng)絡(luò)可觀察性、運(yùn)行時(shí)安全性等）和數(shù)據(jù)源計(jì)劃相關(guān)聯(lián)的基于產(chǎn)品的定價(jià)和計(jì)費(fèi)模型，這取決于服務(wù)和支持類型，如圖7所示。 ? 用戶訂閱計(jì)劃考慮了用戶帳戶的數(shù)量和所需支持的類型。 ? 數(shù)據(jù)源計(jì)劃與基于使用的定價(jià)模型相關(guān)聯(lián)。報(bào)告給 eBPF 代理的數(shù)據(jù)經(jīng)過(guò)處理，然后使用特定于相應(yīng)數(shù)據(jù)源的轉(zhuǎn)換規(guī)則轉(zhuǎn)換為字節(jié)。如果用戶使用的是基于使用的定價(jià)模型，則需要為超出每月免費(fèi)數(shù)量的字節(jié)數(shù)付費(fèi)。 ?

圖 7. eBPF 監(jiān)控、可觀察性和安全工具的收費(fèi)和計(jì)費(fèi)模型示例 ? 另一種可能性是根據(jù)資源收費(fèi)，即部署的控制器和代理（守護(hù)程序集）的數(shù)量，如圖 1 所示，以及支持類型（服務(wù)）。?? ?

5 總結(jié)

eBPF 之于內(nèi)核就像 JavaScript 之于 Web 瀏覽器。

? 盡管存在一些挑戰(zhàn)，比如eBPF 開(kāi)發(fā)并不容易，節(jié)奏快且實(shí)現(xiàn)細(xì)節(jié)可能因內(nèi)核版本而不同，并且沒(méi)有簡(jiǎn)單的打包/部署解決方案。但eBPF技術(shù)正在內(nèi)核領(lǐng)域引發(fā)一波重大創(chuàng)新浪潮，為云原生環(huán)境帶來(lái)直接的好處，尤其是由于其動(dòng)態(tài)可編程性、可靠性以及以最小的中斷獲得出色的工作負(fù)載可見(jiàn)性的能力。 ? 可以檢查數(shù)據(jù)包這一特性提供了極其高效的可觀察性工具，這些工具可以映射到其他方面，例如 Kubernetes 元數(shù)據(jù)，并從提取的信息中獲得深入的安全取證。 ? 我們可以使用丟棄或修改網(wǎng)絡(luò)策略數(shù)據(jù)包的能力，并使用 eBPF 進(jìn)行加密以確保安全。此外，由于可以發(fā)送數(shù)據(jù)包并更改數(shù)據(jù)包的目的地，eBPF 允許創(chuàng)建強(qiáng)大的網(wǎng)絡(luò)功能，例如負(fù)載平衡、路由和服務(wù)網(wǎng)格。

eBPF 支持下一代服務(wù)網(wǎng)格，不需要使用 sidecar 檢測(cè) pod ，并可以在不更改任何應(yīng)用程序或配置的情況下實(shí)現(xiàn)高性能。 ? *本文系SDNLAB編譯自CyberSecurity-MAGAZINE

編輯：黃飛

?