eBPF: 从 BPF 到 Tail Calls，深入探索eBPF技术

引言

本文将深入探索eBPF技术，并重点关注其从BPF到尾调用的发展。首先，介绍尾调用的一般限制和用法，并与BPF到BPF调用进行比较。然后，给出一个对内核源码中尾调用示例的修改。

eBPF简介

eBPF（Extended Berkeley Packet Filter）是一种在Linux内核中执行安全、高效和可编程的网络数据包过滤和跟踪的技术。它通过将eBPF程序加载到内核中来实现灵活的数据包过滤和跟踪功能。

• eBPF原理

  eBPF工作原理是通过在内核中插入eBPF程序来实现动态过滤和跟踪功能。eBPF程序可以在内核中执行，以实时地处理网络数据包或跟踪系统事件，并根据用户定义的逻辑来决定是否通过或丢弃数据包。

• eBPF特性

  eBPF具有以下特性：

  1. 安全性：eBPF程序在执行过程中受到严格的内核安全限制，防止恶意代码执行。
  2. 高效性：eBPF程序经过优化，可以在内核中快速执行，不会对系统性能造成显著影响。
  3. 可编程性：用户可以使用eBPF提供的API编写自定义的数据包过滤和跟踪逻辑。

• eBPF应用领域

  eBPF在以下领域有广泛应用：

  • 网络安全：eBPF可以用于实时跟踪和过滤网络流量，以检测和预防网络攻击。
  • 性能调优：eBPF可以用于收集系统性能数据，以帮助进行性能分析和优化。
  • 容器监控：eBPF可以在容器级别实现细粒度的监控和跟踪功能。

尾调用

尾调用是一种特殊的调用方式，它允许一个eBPF程序调用另一个eBPF程序，而不返回到旧程序。尾调用可以通过使用辅助函数bpf_tail_call()来实现。

• 尾调用示例

  在eBPF程序中，可以通过bpf_tail_call()从Map中获取另一个eBPF程序并执行它，实现尾调用。以下是一个使用尾调用的示例：

  map_lookup_elem(&tail_calls, &key, &value);  // 从Map中获取尾调用程序
  bpf_tail_call(value.map, &ctx);  // 执行尾调用程序

• 尾调用与BPF到BPF调用的比较

  尾调用和BPF到BPF调用是两种不同的调用方式，它们有以下区别：

  尾调用	BPF到BPF调用
  不返回到旧程序	返回到旧程序
  通过bpf_tail_call()实现	通过bpf_call()实现
  尾调用的程序可以位于同一Map中	BPF到BPF调用的程序需要使用不同的Map

尾调用的优缺点

尾调用（Tail Call）和尾递归（Tail Recursive）是eBPF程序编写中的重要概念。尾调用是指一个eBPF程序调用另一个eBPF程序并完成后不会返回到调用者，而是直接返回给调用者的上层程序。尾调用有以下优点：

• 灵活性：尾调用允许一个eBPF程序直接调用另一个eBPF程序，可以实现更复杂的逻辑。
• 节省内存：尾调用的程序可以共享相同的Map，从而节省内存消耗。

然而，尾调用也存在一些缺点：

• 程序镜像大：尾调用生成的程序镜像较大，可能会占用较多的内存。
• 内存消耗大：尾调用需要使用Map存储被调用的程序，可能会占用较大的内存。

关于eBPF，它是什么？

答案：eBPF（extended Berkeley Packet Filter）是一种内核级别的虚拟机，它可以在不重启系统的情况下动态地加载和执行特定的应用程序。eBPF首次引入了Linux内核4.1版本，并在Linux内核4.18版本进行了重大改进。

通过eBPF，用户可以编写和加载自定义的程序，这些程序可以在内核中执行，从而实现对网络数据包和系统事件的实时处理和过滤。eBPF程序可以在内核空间执行，这使得它们能够高效地操作网络数据包，在网络安全、网络监控、性能分析等领域发挥重要作用。

eBPF的工作原理是通过JIT（Just-In-Time）编译技术将eBPF程序转换为内核可执行的机器码。这种机器码可以直接在内核中执行，从而实现高性能的数据包处理和系统事件跟踪。

• eBPF的主要特点包括：
  • 安全性：eBPF程序在运行时会受到严格的安全限制，确保它们不会对系统造成潜在的崩溃或安全漏洞。
  • 可编程性：通过eBPF提供的API，用户可以编写自己的eBPF程序，实现对网络数据包和系统事件的自定义处理。
  • 易用性：eBPF程序可以使用多种编程语言编写，并且可以通过标准的C编译器进行编译和调试。
  • 可扩展性：eBPF程序可以动态加载到内核中，从而实现在不重启系统的情况下对系统行为进行实时监控和调整。

在eBPF中，尾调用是什么？

答案：在eBPF中，尾调用（tail calls）是一种机制，允许一个eBPF程序调用另一个eBPF程序，并在调用完成后不返回到原来的程序。这种调用方式具有非常低的开销，并且可以有效地实现复杂的逻辑和功能。

尾调用的机制与传统的子程序调用有所不同。在传统的子程序调用过程中，调用程序会将控制权传递给子程序，并在子程序执行完后返回到调用程序。而尾调用不需要返回到原来的程序，调用程序会直接将控制权传递给被调用的程序。

eBPF实现尾调用的方式是通过bpf_tail_call()辅助函数。这个函数可以从一个map中获取另一个eBPF程序并执行它，实现了程序之间的跳转和调用。尾调用的使用可以有效地简化eBPF程序的逻辑结构，并提高程序的执行效率。

尾调用在eBPF中有一些限制。例如，一个eBPF程序最多可以嵌套33次尾调用，而且不同的架构和内核版本可能会有不同的限制。尾调用在eBPF程序中的使用需要谨慎，确保程序的正确性和效率。

在eBPF中，BPF to BPF Calls是什么？

答案：BPF to BPF Calls是eBPF中的另一种调用方式，它允许一个eBPF程序调用另一个eBPF程序，而不需要返回到原来的程序。与尾调用类似，BPF to BPF Calls也可以实现复杂的程序逻辑和功能。

BPF to BPF Calls的优点是生成的程序镜像较小，占用较少的内存空间。与尾调用不同，BPF to BPF Calls使用的是类似函数调用的方式进行程序之间的调用，返回到原来的程序。这种调用方式在内核5.10版本之后的X86架构上得到了支持。

BPF to BPF Calls的限制是内存消耗较大，因为每个BPF程序都需要在内核中分配一定的内存空间。在使用BPF to BPF Calls时，需要注意内存的使用情况，避免占用过多的资源。

在eBPF程序中，可以使用bpf_call()辅助函数来实现BPF to BPF Calls。这个函数可以从一个map中获取另一个eBPF程序并执行它，实现程序之间的调用和跳转。

需要注意的是，尾调用和BPF to BPF Calls是不同的调用方式，每种调用方式都有其适用的场景和限制，根据具体的需求选择合适的调用方式。

在eBPF中，如何使用尾调用？

答案：在eBPF程序中，我们可以通过bpf_tail_call()这个辅助函数使用尾调用。下面是使用尾调用的示例：

1. 首先，创建一个map用来存储需要调用的eBPF程序。
2. 在调用的地方使用bpf_tail_call()函数从map中获取要执行的eBPF程序，并执行它。
3. 被调用的eBPF程序执行完成后，不会返回到原来的程序。

示例代码如下所示：

“`c
#include <linux/bpf.h> #include <linux/if_ether.h> #include <linux/ip.h> #include <linux/udp.h>

#define MAP_SIZE 10

struct bpf_map_def SEC(“maps”) programs = {
.type = BPF_MAP_TYPE_ARRAY,
.key_size = sizeof(u32),
.value_size = sizeof(u32),
.max_entries = MAP_SIZE,
};

SEC(“classifier”)
int classifier(struct __sk_buff *skb)
{
struct ethhdr *eth = bpf_hdr_pointer(skb);
struct iphdr *ip = (struct iphdr *)(eth + 1);
struct udphdr *udp = (struct udphdr *)(ip + 1);

u32 key = ntohs(udp->dest);
u32 *value = bpf_map_lookup_elem(&programs, &key);
if (value) {
bpf_tail_call(skb, &programs, *value);
}

return XDP_PASS;
}
“`

使用尾调用时需要注意的是，要避免形成无限循环的调用链，确保程序正确地执行并终止。同时，尾调用的次数和嵌套层数都有一定的限制，需要根据具体的内核版本和架构进行适当的调整。

尾调用在eBPF程序中的使用是一种有效的控制流技术，可以简化程序的逻辑结构，并提高程序的执行效率。