写在前面
上一节提到过,eBPF程序是面向BPF体系结构指令集编写的,它并不直接运行在Linux内核中,我们可以理解为它是运行在eBPF虚拟机,由eBPF虚拟机来执行eBPF字节码,就像java运行在jvm一样。
我们用一张原理图来看下eBPF程序的编译,加载,验证,钩子,映射等结点。
如上是详细的eBPF的工作流程,首先eBPF程序是一个C语言编写的代码源文件bpf_prog.c,通过LLVM将源文件编译成bpf_prog.o对象文件(ELF)。用户空间通过BPF ELF加载器(如libbpf)解析然后通过bpf()系统调用将其加载到内核当中。内核会通过Verifier对其进行验证,验证通过后对其执行即时编译(JIT),并创建eBPF Map,并将eBPF Map的文件描述符返回给程序,最后eBPF程序会在内核插入钩子,当被相关事件触发后,eBPF程序会启动执行,用辅助函数和 Map 来对数据进行存储和操作。在用户空间运行的程序就可以通过前面返回到文件描述符来访问并操作eBPF Map。所以我们通常说eBPF Map(文件描述符)是用户空间和内核空间之间的数据交换、信息传递的桥梁。
一,Hook概览
如前面提到的,eBPF程序是事件驱动的,在内核或应用程序通过某个钩点(Hook Point)的时候触发其运行。预定义的钩子