1. 1）一个新的虚拟机设计，有效地工作再基于寄存器的CPU之上，基于栈的虚拟机和基于寄存器的虚拟机区别-CSDN博客

2）应用程序使用缓存只复制顾虑数据包相关的数据，不会复制数据包的所有信息，最大程度地减少处理的的数据，提高处理效率

eBPF目前发展成为一套通用的执行引擎，提供可基于系统或程序事件高效安全执行特定代码的通用能力，通用能力的使用者不再局限内核开发者。使用场景也不仅仅是网络分析。可以基于eBPF开发性能分析，系统追踪，网络优化等多种类型的工具和平台。

能够加快BPF程序的地方：

1）kenrel functions（kprobes）

2）userspace functions（uprobes）

3）system calls

4）fentry

5）fexit

6）Tracepoints

7）network devices(tc/xdp)

8）network routes

9）TCP congestion algorithms

10）sockets(data level)

这10种钩子就是内核中可以加载BPF程序的地方。

包括：文件打开，创建TCP链接，Socket链接到发送系统消息等几乎所有的系统调用。用户空间的各种动态信息都能加载BPF程序。

BPF Map：

BPF Map，存储数据，交换信息的桥梁

Map的类型：Hash tables，Arrays，LRU（Least Recently Used），Ring Buffer，Stack Trace，LPM(Longest Prefix match)

Map的功能：Program state，Program configuration，Share data between programs，share state，metrics，and statistics with user space

对于一个程序通常复杂的逻辑就必须要记录数据的状态的部分。BPF Map就是用来存储数据的状态信息，统计信息和指标信息的。

BPF Map是可以被用户空间访问并操作的

BPF Map是可以与BPF程序分离的，即当创建一个BPF Map的BPF程序运行结束后，该BPF Map还能存在，而不是随着程序一起消亡的。

基于上面的特点，我们可以利用BPF Map持久化数据，在不丢失重要数据的同时，更新BPF程序逻辑，实现在不同程序之间共享信息，在收集统计信息或指标等场景下，非常有用

BPF Helper Function：BPF的辅助函数

辅助函数的清单：

Random numbers

Get current time

Map access

Get process/cgroup context

Manipulate network packets and forwarding

Access socket data

Perform tail call

Access process stack

Access syscall arguments

它们是面向开发者的，提供操作BPF程序和BPF Map的工具类函数。就是一个中间件。适配内核的迭代更新，主要是内核函数的变化，而对开发者是透明的，形成稳定的API接口。

例如：BPF程序需要生成一个随机数，那么有一个辅助函数可以帮助检索并询问内核，让内核完成“给我一个随机数”的任务，或者“从BPF Map中读取某个值”等等。

只要与操作系统内核的交互都是通过BPF辅助函数来完成的，由于这些都是稳定的API，所以BPF程序可以跨内核版本进行移植。

eBPF技术有些什么限制？

eBPF程序不能调用任意的内核参数，只限于内核模块中列出的BPF Helper函数，函数支持列表也随着内核演进而不断增加

eBPF程序不允许包含无法达到的指令，防止加载无效代码，延迟程序的终止。

eBPF程序中循环次数限制且必须在有限时间内结束

eBPF堆栈大小被限制在MAXBPFSTACK。Linux5.8，被设置为512。可以改用BPF Map，大小是无限的。

eBPF字节码大小最初被限制在4096条指令，Linux5.8版本，已放宽至100万条指令（BPF_COMPLEXITY_LIMIT_INSNS）,对于无权限的BPF程序，仍然保留4096条的限制（BPF_MAXINSNS）