eBPF 技术实践白皮书新特性介绍

新特性介绍演讲人毛文安（品文）阿里云智能集团高级技术专家，龙蜥社区eBPF技术探索SIGMaintainer彭彬彬浪潮数据云计算研发架构师2024/09/1901eBPF技术实践白皮书简介第二版更新内容介绍02eBPF的架构和开发框架介绍eBPF的架构和开发流程介绍软件网络eNetSTL、tcp监控、持续剖析、流量镜像、网络访问控制功能实践由龙蜥社区组织编写，阿里云、浪潮信息、浪潮数据、东南大学等共同参与贡献/assets/static/eBPF_technical_practice_v2.pdfTcp网络监控内核网络协议栈，tcp连接状态、连接Tcp网络监控内核网络协议栈，tcp连接状态、连接析各种网络故障，eBPF可以在大流量ContinuesProfiling持续剖析极有可能会成为继追踪、日能基于eBPF可以分析用户态和内核态容器安全基于eBPF的容器安全技术聚焦于容器运行时安全检测与防御。将eBPF程序挂载至宿主机内核，监控所有容器进逃逸等恶意行为特征，识别并拦截异常网络访问控制基于ebpf程序实现网络访问控制，在XDP和TC挂载点加载特定程序，使访问控制规则在整个网络链路中比较靠前软件网络功能库软件网络功能库加速基于eBPF的网络功能开发，确保流量镜像流量镜像实现原始数据的复制并转发至指定网卡实现实时流量安全审计、风险检测、业务分析等，相较于传统实现方式具有成触发时机是不相同的；并且在eBPF程序运行过程中，用户空间③④⑤②①⑥eBPF作为一个通用执行引eBPF作为一个通用执行引擎，可用于性能分析工具、软件定义网络等诸多场景的开发工作。根据应用场景的不同，eBPF程序类型大致可xdp,sock_ops,sk_msg,sk_skb,xdp,sock_ops,sk_msg,sk_skb,… KernelCoolbpf… KernelCoolbpf……javajavaluajit…………网络监控与分析安全检测和防御性能优化和故障诊断网络监控与分析安全检测和防御恶意行为，同时记录审计日志恶意行为，同时记录审计日志提供了高效且灵活的解决方案o网络功能架构对比KernelNetworkStack:KernelNetworkStack:TCHookKernelNetworkStack:KernelNetworkStack:TCHook基于eBPF基于eBPFkfunc和kptr技术的eBPF网络功能加速库:通过抽象并实现网络功能性能受限的/无法实现的公共功能到eNetSTL中，实现在不修改eBPF基础架构(例如指令集）的前提下加速基于eBPF的网络功能oUsecase1:实现基于跳表的Key-valuestore从无法实现oUsecase2:加速使用SIMD的网络功能与响应的场景下识别出请求与响应，进而获取请求在协议栈中接收的时间及服务进程处理过程TCP-RT适用于在一个连接上只有一个并发请求与响应的服务。例如：HTTP/1.1协议的Web•process_time：服务端的处理时间。服务端收到客户端最后一个ACK为止，这段时间为数据下载时间。对于下载比较大的数据响应，该符号解析eBPF内核态推栈4、支持python、c++、java、go等图表结合模式热点分析图表结合模式热点分析调用图谱模式调用图谱模式 应用代码火焰图纯网络时间 应用代码火焰图纯网络时间 执行执行poll或者cplltunnelinterfacetunnelinterface ----btunnelinterfacetunnelinterface ----b 基于eBPF实现流量镜像的总体方案图•在内核态执行，轻量化、性能高、安全性高•基于软件实现，无特殊硬件要求，减少了整体方案复杂度•可扩展性高，能快速编程实现各类差异化需求 场景说明：在数据库审计等场景中，为实现对应用操作性能、安全和统计的全面流量精准度问题：通过软件或者硬件指定某个接口，会将该接口上的流可扩展性问题：较难扩展实现更多的筛选、解析等能力，无法快速满流量筛选：在ebpfMap中获取筛选规则，复制符合条件的流量流量转发：复制后的流量转发至指定接口，封装后转发至远端审计服务在某大型企业客服系统容器化迁移项目中，其使用的基于硬件交换基于eBPF的流量镜像能够避免上述问题，实现更加精准在某大型企业客服系统容器化迁移项目中，其使用的基于硬件交换基于eBPF的流量镜像能够避免上述问题，实现更加精准数据库服务启动时，可将流量镜像相关eBPF程序挂载到容器生成镜像流量TC请求入口网卡流量镜像网卡实现方案filter传统实现方式及面临的问题：在云平台中，传统的软件网络访问控制通常基于linuxiptables机制来filter传统实现方式及面临的问题：在云平台中，传统的软件网络访问控制通常基于linuxiptables机制来可维护性问题：iptables语句规则兼容性问题：可能与平台内其他网络规则产生冲突，容易数据链路长问题：iptables模块位于内核协议栈中比较靠后置，被禁止的数据包需要经过一些不必要的内核模基于ebpf实现网络访问控制：基于eBPF编写安全加固处理程序，并将其挂 流量ebpf删除netfilter删除优化前丢包点 优化后丢包点优化后丢包点一raw数据包位置数据包位置ebpf与iptables的流量路径对比图•兼容性强：能够避免与运行在操作系统内核网络协议栈的iptables、ipvs等传统容器间通信、负载均衡等网络处理功能形成依赖或干扰•性能更优：缩短了网络包处理路径，整体性能•可扩展性高：基于eBPF可编程的特点，可以快速开发满足更多的需求场景•易于观测：可以将拦截的流量记录上报到用户态处理程序，便于问题的处理和统计分析某银行清算系统部分服务运行于私有云平台互联统的软件防火墙（iptables）方案满足其严格的互联网区网络访问控制要求。其内网流量访问控制也通过iptables方案实现，因此两种规则混杂在一起，在系统运行过程尤其是频繁上下线业务期间常会出现配置不当、互联网与云内流量规则冲突引起访问控制异常的问题，增基于eBPF的网络访问控制能够避免上述问某银行清算系统部分服务运行于私有云平台互联统的软件防火墙（iptables）方案满足其严格的互联网区网络访问控制要求。其内网流量访问控制也通过iptables方案实现，因此两种规则混杂在一起，在系统运行过程尤其是频繁上下线业务期间常会出现配置不当、互联网与云内流量规则冲突引起访问控制异常的问题，增基于eBPF的网络访问控