關於EBFP什麽意思如下:
壹、EBFP是什麽
EBPF是壹個能夠在內核運行沙箱程序的技術,提供了壹種在內核事件和用戶程序事件發生時安全註入代碼的機制,使得非內核開發人員也可以對內核進行控制。
隨著內核的發展,eBPF逐步從最初的數據包過濾擴展到了網絡、內核、安全、跟蹤等,而且它的功能特性還在快速發展中,早期的BPF被稱為經典BPF,簡稱cBPF,正是這種功能擴展,使得現在的BPF被稱為擴展BPF,簡稱eBPF。
二、EBPF為什麽會出現?
EBPF的出現本質上是為了解決內核叠代速度慢和系統需求快速變化的矛盾,在eBPF領域常用的壹個例子是eBPF相對於Linux Kernel類似於Javascript相對於HTML,突出的是可編程性。
壹般來說可編程性的支持通常會帶來壹些新的問題,比如內核模塊其實也是為了解決這個問題,但是他沒有提供很好的邊界,導致內核模塊會影響內核本身的穩定性,在不同的內核版本需要做適配等。eBPF采用以下策略,使得其成為壹種安全。
三、EBFP怎麽使用?
1、使用C語言開發壹個eBPF程序;即插樁點觸發事件時要調用的eBPF沙箱程序,該程序會在內核態運行。
2、借助LLVM把eBPF程序編譯成BPF字節碼;eBPF程序編譯成BPF字節碼,用於後續在eBPF虛擬機內驗證並運行。
3、通過bpf系統調用,把BPF字節碼提交給內核;在用戶態通過bpf系統,將BPF字節碼加載到內核。
4、內核驗證並運行BPF字節碼,並把相應的狀態保存到BPF映射中;內核驗證BPF字節碼安全,並且確保對應事件發生時調用正確的eBPF程序,如果有狀態需要保存,則寫入對應BPF映射中,比如監控數據就可以寫到BPF映射中。
5、用戶程序通過BPF映射查詢BPF字節碼的運行狀態。用戶態通過查詢BPF映射的內容,獲取字節碼運行的狀態,比如獲取抓取到的監控數據。