Spring is back in the Northern Hemisphere, and with it all kinds of features are blooming for eBPF. Kernel 5.12 is out and version 5.13 is on track to bring new exciting functionalities. At the same time, new projects hatch and companies are enjoying renewed activity. Several eBPF-related projects applied to join or upgrade their status in the bosom of CNCF. After some delay, no doubt caused by winter hibernation, welcome to the fifth issue of the eBPF Updates!
安全
观测和理解所有的系统调用的能力,以及在 packet 层和 socket 层审视所有的网络操作的能力,
这两者相结合,为系统安全提供了革命性的新方法。
以前,系统调用过滤、网络层过滤和进程上下文跟踪是在完全独立的系统中完成的;
eBPF 的出现统一了可观测性和各层面的控制能力,使我们有更加丰富的上下文和更精细的控制能力,
因而能创建更加安全的系统。
网络
eBPF 的两大特色 —— 可编程和高性能 —— 使它能满足所有的网络包处理需求。
可编程意味着无需离开内核中的包处理上下文,就能添加额外的协议解析器或任何转发逻辑,
以满足不断变化的需求。高性能的 JIT 编译器使 eBPF 程序能达到几乎与原生编译的内核态代码一样的执行性能。
跟踪 & 性能分析
eBPF 程序能够加载到 trace points、内核及用户空间应用程序中的 probe points,
这种能力使我们对应用程序的运行时行为(runtime behavior)和系统本身
(system itself)提供了史无前例的可观测性。应用端和系统端的这种观测能力相结合,
能在排查系统性能问题时提供强大的能力和独特的信息。BPF 使用了很多高级数据结构,
因此能非常高效地导出有意义的可观测数据,而不是像很多同类系统一样导出海量的原始采样数据。
观测 & 监控
相比于操作系统提供的静态计数器(counters、gauges),eBPF 能在内核中收集和聚合自定义 metric,
并能从不同数据源来生成可观测数据。这既扩展了可观测性的深度,也显著减少了整体系统开销,
因为现在可以选择只收集需要的数据,并且后者是直方图或类似的格式,而非原始采样数据。