🥇BPF mazajiem, pirmā daļa: pagarināts BPF

Sākumā bija tehnoloģija, un to sauca par BPF. Mēs paskatījāmies uz viņu iepriekšējā, Šīs sērijas Vecās Derības raksts. 2013. gadā ar Alekseja Starovoitova un Daniela Borkmana pūlēm tika izstrādāta tās uzlabota versija, kas optimizēta modernām 64 bitu iekārtām un iekļauta Linux kodolā. Šo jauno tehnoloģiju īsi sauca par iekšējo BPF, pēc tam pārdēvēja par Extended BPF, un tagad, pēc vairākiem gadiem, visi to vienkārši sauc par BPF.

Aptuveni runājot, BPF ļauj palaist patvaļīgu lietotāja nodrošinātu kodu Linux kodola telpā, un jaunā arhitektūra izrādījās tik veiksmīga, ka mums būs nepieciešams vēl ducis rakstu, lai aprakstītu visas tās lietojumprogrammas. (Vienīgais, ko izstrādātājiem neveicās labi, kā redzams tālāk sniegtajā veiktspējas kodā, bija pienācīga logotipa izveide.)

Šajā rakstā ir aprakstīta BPF virtuālās mašīnas struktūra, kodola saskarnes darbam ar BPF, izstrādes rīki, kā arī īss, ļoti īss pārskats par esošajām iespējām, t.i. viss, kas mums nākotnē būs nepieciešams, lai dziļāk izpētītu BPF praktisko pielietojumu.

Raksta kopsavilkums

Ievads BPF arhitektūrā. Pirmkārt, mēs aplūkosim BPF arhitektūru no putna lidojuma un izklāstīsim galvenās sastāvdaļas.

BPF virtuālās mašīnas reģistri un komandu sistēma. Mums jau ir priekšstats par arhitektūru kopumā, mēs aprakstīsim BPF virtuālās mašīnas struktūru.

BPF objektu dzīves cikls, bpffs failu sistēma. Šajā sadaļā sīkāk aplūkosim BPF objektu dzīves ciklu – programmas un kartes.

Objektu pārvaldība, izmantojot bpf sistēmas zvanu. Ar zināmu izpratni par sistēmu, kas jau ir ieviesta, mēs beidzot aplūkosim, kā izveidot un manipulēt ar objektiem no lietotāja telpas, izmantojot īpašu sistēmas izsaukumu. bpf(2).

Пишем программы BPF с помощью libbpf. Protams, jūs varat rakstīt programmas, izmantojot sistēmas zvanu. Bet tas ir grūti. Reālistiskākam scenārijam kodolprogrammētāji izstrādāja bibliotēku libbpf. Mēs izveidosim pamata BPF lietojumprogrammas skeletu, ko izmantosim turpmākajos piemēros.

Kodola palīgi. Šeit mēs uzzināsim, kā BPF programmas var piekļūt kodola palīgfunkcijām - rīkam, kas kopā ar kartēm būtiski paplašina jaunā BPF iespējas salīdzinājumā ar klasisko.

Piekļuve kartēm no BPF programmām. Šajā brīdī mēs zinām pietiekami daudz, lai precīzi saprastu, kā mēs varam izveidot programmas, kas izmanto kartes. Un pat ātri ieskatīsimies lieliskajā un varenajā verificētājā.

Izstrādes rīki. Palīdzības sadaļa par to, kā salikt nepieciešamos utilītus un kodolu eksperimentiem.

Secinājums. Raksta beigās tie, kas izlasīja tik tālu, turpmākajos rakstos atradīs motivējošus vārdus un īsu aprakstu par to, kas notiks. Uzskaitīsim arī vairākas saites pašmācībai tiem, kam nav ne vēlēšanās, ne iespēju gaidīt turpinājumu.

Ievads BPF arhitektūrā

Pirms sākam apsvērt BPF arhitektūru, mēs pēdējo reizi (ak) atsauksimies uz klasiskais BPF, kas tika izstrādāta kā atbilde uz RISC mašīnu parādīšanos un atrisināja efektīvas pakešu filtrēšanas problēmu. Arhitektūra izrādījās tik veiksmīga, ka, dzimusi drudžainajos deviņdesmitajos gados Berkeley UNIX, tā tika pārnesta uz lielāko daļu esošo operētājsistēmu, izdzīvoja trakajos divdesmitajos gados un joprojām atrod jaunas lietojumprogrammas.

Jaunais BPF tika izstrādāts, reaģējot uz 64 bitu mašīnu, mākoņpakalpojumu visuresamību un pieaugošo vajadzību pēc rīkiem SDN izveidei (Saprīkots-dprecizēts ntīklošana). Kodola tīkla inženieri izstrādāja kā uzlabotu klasiskā BPF aizstājēju, jaunais BPF burtiski sešus mēnešus vēlāk atrada lietojumprogrammas sarežģītajā Linux sistēmu izsekošanas uzdevumā, un tagad, sešus gadus pēc tā parādīšanās, mums būs nepieciešams vesels nākamais raksts, lai. uzskaitiet dažādu veidu programmas.

Smieklīgas bildes

BPF pamatā ir smilškastes virtuālā mašīna, kas ļauj palaist “patvaļīgu” kodu kodola telpā, neapdraudot drošību. BPF programmas tiek izveidotas lietotāja telpā, ielādētas kodolā un savienotas ar kādu notikumu avotu. Notikums varētu būt, piemēram, paketes piegāde uz tīkla interfeisu, kādas kodola funkcijas palaišana utt. Pakotnes gadījumā BPF programmai būs piekļuve pakotnes datiem un metadatiem (lasīšanai un, iespējams, rakstīšanai, atkarībā no programmas veida); kodola funkcijas palaišanas gadījumā argumenti funkcija, tostarp norādes uz kodola atmiņu utt.

Apskatīsim šo procesu tuvāk. Sākumā parunāsim par pirmo atšķirību no klasiskā BPF, kuras programmas tika rakstītas montētājā. Jaunajā versijā arhitektūra tika paplašināta, lai programmas varētu rakstīt augsta līmeņa valodās, galvenokārt, protams, C. Šim nolūkam tika izstrādāta aizmugure priekš llvm, kas ļauj ģenerēt baitkodu BPF arhitektūrai.

BPF arhitektūra daļēji tika izstrādāta tā, lai tā efektīvi darbotos modernās iekārtās. Lai tas darbotos praksē, BPF baitkods, kad tas ir ielādēts kodolā, tiek tulkots vietējā kodā, izmantojot komponentu, ko sauc par JIT kompilatoru (Just In Time). Tālāk, ja atceraties, klasiskajā BPF programma tika ielādēta kodolā un pievienota notikuma avotam atomiski - viena sistēmas izsaukuma kontekstā. Jaunajā arhitektūrā tas notiek divos posmos – pirmkārt, kods tiek ielādēts kodolā, izmantojot sistēmas izsaukumu bpf(2)un vēlāk, izmantojot citus mehānismus, kas atšķiras atkarībā no programmas veida, programma tiek pievienota notikuma avotam.

Šeit lasītājam var rasties jautājums: vai tas bija iespējams? Kā tiek garantēta šāda koda izpildes drošība? Izpildes drošību mums garantē BPF programmu ielādes posms, ko sauc par verificētāju (angļu valodā šo posmu sauc par verificētāju, un es turpināšu lietot angļu vārdu):

Verifier ir statisks analizators, kas nodrošina, ka programma netraucē normālu kodola darbību. Tas, starp citu, nenozīmē, ka programma nevar traucēt sistēmas darbību - BPF programmas atkarībā no veida var lasīt un pārrakstīt kodola atmiņas sadaļas, atgriezt funkciju vērtības, apgriezt, pievienot, pārrakstīt un pat pārsūtīt tīkla paketes. Verifier garantē, ka BPF programmas darbības laikā kodols nesabruks un programma, kurai saskaņā ar noteikumiem ir rakstīšanas piekļuve, piemēram, izejošās paketes datiem, nevarēs pārrakstīt kodola atmiņu ārpus paketes. Mēs apskatīsim verificētāju nedaudz sīkāk attiecīgajā sadaļā pēc tam, kad būsim iepazinušies ar visām pārējām BPF sastāvdaļām.

Tātad, ko mēs esam iemācījušies līdz šim? Lietotājs raksta programmu C valodā, ielādē to kodolā, izmantojot sistēmas zvanu bpf(2), kur to pārbauda verificētājs un pārveido vietējā baitkodā. Pēc tam tas pats vai cits lietotājs savieno programmu ar notikuma avotu, un tā sāk izpildīt. Sāknēšanas un savienojuma atdalīšana ir nepieciešama vairāku iemeslu dēļ. Pirmkārt, verificētāja palaišana ir salīdzinoši dārga, un, vairākas reizes lejupielādējot vienu un to pašu programmu, mēs tērējam datora laiku. Otrkārt, tieši tas, kā programma ir savienota, ir atkarīgs no tās veida, un viens pirms gada izstrādāts “universāls” interfeiss var nebūt piemērots jauna veida programmām. (Lai gan tagad, kad arhitektūra kļūst arvien nobriedušāka, ir doma unificēt šo saskarni līmenī libbpf.)

Uzmanīgs lasītājs var pamanīt, ka mēs vēl neesam pabeiguši ar attēliem. Patiešām, viss iepriekš minētais neizskaidro, kāpēc BPF būtiski maina attēlu salīdzinājumā ar klasisko BPF. Divi jauninājumi, kas būtiski paplašina pielietojamības jomu, ir iespēja izmantot koplietojamo atmiņu un kodola palīgfunkcijas. BPF koplietojamā atmiņa tiek ieviesta, izmantojot tā sauktās kartes – koplietojamās datu struktūras ar noteiktu API. Viņi, iespējams, ieguva šo nosaukumu, jo pirmais kartes veids, kas parādījās, bija hash tabula. Tad parādījās masīvi, lokālās (per-CPU) jaucēj tabulas un lokālie masīvi, meklēšanas koki, kartes, kas satur norādes uz BPF programmām un daudz kas cits. Tagad mūs interesē tas, ka BPF programmām tagad ir iespēja saglabāt stāvokli starp zvaniem un koplietot to ar citām programmām un lietotāja vietu.

Maps var piekļūt no lietotāja procesiem, izmantojot sistēmas zvanu bpf(2), un no BPF programmām, kas darbojas kodolā, izmantojot palīgfunkcijas. Turklāt palīgi pastāv ne tikai darbam ar kartēm, bet arī, lai piekļūtu citām kodola iespējām. Piemēram, BPF programmas var izmantot palīgfunkcijas, lai pārsūtītu paketes uz citām saskarnēm, ģenerētu perf notikumus, piekļūtu kodola struktūrām utt.

Rezumējot, BPF nodrošina iespēju kodola telpā ielādēt patvaļīgu, t.i., pārbaudītāju, lietotāja kodu. Šis kods var saglabāt stāvokli starp zvaniem un apmainīties ar datiem ar lietotāja vietu, kā arī tam ir piekļuve kodola apakšsistēmām, ko atļauj šāda veida programmas.

Tas jau ir līdzīgs kodola moduļu sniegtajām iespējām, salīdzinājumā ar kurām BPF ir dažas priekšrocības (protams, var salīdzināt tikai līdzīgas programmas, piemēram, sistēmas izsekošana - ar BPF nevar uzrakstīt patvaļīgu draiveri). Varat atzīmēt zemāku ieejas slieksni (dažas utilītas, kas izmanto BPF, lietotājam neprasa kodola programmēšanas iemaņas vai programmēšanas prasmes kopumā), izpildes drošību (paceliet roku komentāros tiem, kuri, rakstot, nepārkāpa sistēmu vai testēšanas moduļi), atomitāte - pārlādējot moduļus, ir dīkstāves laiks, un BPF apakšsistēma nodrošina, ka neviens notikums netiek palaists garām (taisnības labad jāsaka, ka tas neattiecas uz visu veidu BPF programmām).

Šādu iespēju klātbūtne padara BPF par universālu rīku kodola paplašināšanai, kas apstiprinās arī praksē: BPF tiek pievienots arvien vairāk jaunu programmu veidu, arvien vairāk lielu uzņēmumu izmanto BPF kaujas serveros 24 × 7, arvien vairāk un vairāk jaunuzņēmumi veido savu biznesu uz risinājumiem, kuru pamatā ir BPF. BPF tiek izmantots visur: aizsardzībā pret DDoS uzbrukumiem, SDN izveidē (piemēram, kubernetes tīklu ieviešanā), kā galveno sistēmas izsekošanas rīku un statistikas savācēju, ielaušanās atklāšanas sistēmās un smilškastes sistēmās utt.

Pabeigsim šeit raksta pārskata daļu un aplūkosim virtuālo mašīnu un BPF ekosistēmu sīkāk.

Atkāpe: komunālie maksājumi

Lai varētu palaist piemērus nākamajās sadaļās, jums var būt nepieciešamas vairākas utilītas, vismaz llvm/clang ar bpf atbalstu un bpftool. Sadaļā Izstrādes rīki Varat izlasīt instrukcijas par utilītu komplektēšanu, kā arī savu kodolu. Šī sadaļa ir ievietota zemāk, lai netraucētu mūsu prezentācijas harmoniju.

BPF virtuālās mašīnas reģistri un instrukciju sistēma

BPF arhitektūra un komandu sistēma tika izstrādāta, ņemot vērā to, ka programmas tiks rakstītas C valodā un pēc ielādes kodolā pārtulkotas vietējā kodā. Tāpēc reģistru skaits un komandu kopa tika izvēlēta, ņemot vērā mūsdienu mašīnu spēju krustpunktu matemātiskā nozīmē. Turklāt programmām tika noteikti dažādi ierobežojumi, piemēram, vēl nesen nebija iespējams rakstīt cilpas un apakšprogrammas, un instrukciju skaits bija ierobežots līdz 4096 (tagad priviliģētās programmas var ielādēt līdz pat miljonam instrukciju).

BPF ir vienpadsmit lietotājiem pieejami 64 bitu reģistri r0Sākot nor10 un programmu skaitītājs. Reģistrēties r10 satur rāmja rādītāju un ir tikai lasāms. Programmām ir piekļuve 512 baitu steksam izpildes laikā un neierobežotam koplietojamās atmiņas apjomam karšu veidā.

BPF programmām ir atļauts palaist noteiktu programmas tipa kodola palīgu komplektu un pēdējā laikā arī parastās funkcijas. Katrai izsauktajai funkcijai var būt līdz pieciem argumentiem, kas tiek nodoti reģistros r1Sākot nor5, un atgriešanas vērtība tiek nodota r0. Tiek garantēts, ka pēc atgriešanās no funkcijas reģistru saturs r6Sākot nor9 Nemainīsies.

Efektīvai programmu tulkošanai, reģistri r0Sākot nor11 visām atbalstītajām arhitektūrām ir unikāli kartētas ar reāliem reģistriem, ņemot vērā pašreizējās arhitektūras ABI funkcijas. Piemēram, priekš x86_64 reģistros r1Sākot nor5, ko izmanto funkciju parametru nodošanai, tiek parādīti rdi, rsi, rdx, rcx, r8, ko izmanto, lai nodotu parametrus funkcijām x86_64. Piemēram, kreisajā pusē esošais kods pārvēršas labajā pusē šādi:

1:  (b7) r1 = 1                    mov    $0x1,%rdi
2:  (b7) r2 = 2                    mov    $0x2,%rsi
3:  (b7) r3 = 3                    mov    $0x3,%rdx
4:  (b7) r4 = 4                    mov    $0x4,%rcx
5:  (b7) r5 = 5                    mov    $0x5,%r8
6:  (85) call pc+1                 callq  0x0000000000001ee8

Reģistrēties r0 izmanto arī, lai atgrieztu programmas izpildes rezultātu, un reģistrā r1 programmai tiek nodots rādītājs uz kontekstu – atkarībā no programmas veida tā varētu būt, piemēram, struktūra struct xdp_md (XDP) vai struktūru struct __sk_buff (dažādām tīkla programmām) vai struktūru struct pt_regs (dažāda veida izsekošanas programmām) utt.

Tātad, mums bija reģistru komplekts, kodola palīgi, kaudze, konteksta rādītājs un koplietota atmiņa karšu veidā. Ne jau tas viss ceļojumā būtu absolūti nepieciešams, bet...

Turpināsim aprakstu un runāsim par komandu sistēmu darbam ar šiem objektiem. Visi (Gandrīz visi) BPF instrukcijām ir fiksēts 64 bitu izmērs. Ja paskatās uz vienu instrukciju 64 bitu Big Endian mašīnā, jūs redzēsit

Šeit Code - tas ir instrukcijas kodējums, Dst/Src ir attiecīgi uztvērēja un avota kodējums, Off - 16 bitu paraksta atkāpe un Imm ir 32 bitu vesels skaitlis, ko izmanto dažās instrukcijās (līdzīgi cBPF konstantei K). Kodēšana Code ir viens no diviem veidiem:

Instrukciju klases 0, 1, 2, 3 nosaka komandas darbam ar atmiņu. Viņi tiek saukti, BPF_LD, BPF_LDX, BPF_ST, BPF_STX, attiecīgi. 4., 7. klase (BPF_ALU, BPF_ALU64) veido ALU instrukciju kopu. 5., 6. klase (BPF_JMP, BPF_JMP32) satur lēkšanas instrukcijas.

Tālākais BPF instrukciju sistēmas izpētes plāns ir šāds: tā vietā, lai rūpīgi uzskaitītu visas instrukcijas un to parametrus, mēs šajā sadaļā apskatīsim pāris piemērus un no tiem kļūs skaidrs, kā instrukcijas patiesībā darbojas un kā manuāli izjaukt jebkuru bināro failu BPF. Lai vēlāk rakstā konsolidētu materiālu, tiksimies arī ar individuāliem norādījumiem sadaļās par Verifier, JIT kompilatoru, klasiskā BPF tulkošanu, kā arī pētot kartes, izsaukšanas funkcijas utt.

Runājot par atsevišķiem norādījumiem, mēs atsauksimies uz galvenajiem failiem bpf.h и bpf_common.h, kas nosaka BPF instrukciju ciparu kodus. Studējot arhitektūru patstāvīgi un/vai analizējot bināros failus, semantiku varat atrast šādos avotos, kas sakārtoti sarežģītības secībā: Neoficiāla eBPF specifikācija, BPF un XDP uzziņu rokasgrāmata, instrukciju komplekts, Dokumentācija/tīkls/filter.txt un, protams, Linux pirmkodā - verificētājs, JIT, BPF tulks.

Piemērs: BPF izjaukšana galvā

Apskatīsim piemēru, kurā mēs apkopojam programmu readelf-example.c un apskatīt iegūto bināro. Mēs atklāsim sākotnējo saturu readelf-example.c zemāk, pēc tam, kad esam atjaunojuši tā loģiku no binārajiem kodiem:

$ clang -target bpf -c readelf-example.c -o readelf-example.o -O2
$ llvm-readelf -x .text readelf-example.o
Hex dump of section '.text':
0x00000000 b7000000 01000000 15010100 00000000 ................
0x00000010 b7000000 02000000 95000000 00000000 ................

Pirmā kolonna izvadā readelf ir atkāpe, un tādējādi mūsu programma sastāv no četrām komandām:

Code Dst Src Off  Imm
b7   0   0   0000 01000000
15   0   1   0100 00000000
b7   0   0   0000 02000000
95   0   0   0000 00000000

Komandu kodi ir vienādi b7, 15, b7 и 95. Atcerieties, ka vismazāk nozīmīgie trīs biti ir instrukciju klase. Mūsu gadījumā visu instrukciju ceturtais bits ir tukšs, tāpēc instrukciju klases ir attiecīgi vienādas ar 7, 5, 7, 5. 7. klase ir BPF_ALU64, un 5 ir BPF_JMP. Abām klasēm norādījumu formāts ir vienāds (skat. iepriekš), un mēs varam pārrakstīt savu programmu šādi (tajā pašā laikā mēs pārrakstīsim pārējās kolonnas cilvēka formā):

Op S  Class   Dst Src Off  Imm
b  0  ALU64   0   0   0    1
1  0  JMP     0   1   1    0
b  0  ALU64   0   0   0    2
9  0  JMP     0   0   0    0

Darbība b klase ALU64 -Šo BPF_MOV. Tas piešķir vērtību galamērķa reģistram. Ja bits ir iestatīts s (avots), tad vērtība tiek ņemta no avota reģistra, un, ja, kā mūsu gadījumā, tā nav iestatīta, tad vērtība tiek ņemta no lauka Imm. Tātad pirmajā un trešajā instrukcijā mēs veicam operāciju r0 = Imm. Turklāt JMP 1. klases darbība ir BPF_JEQ (lēkt, ja vienāds). Mūsu gadījumā kopš bit S ir nulle, tas salīdzina avota reģistra vērtību ar lauku Imm. Ja vērtības sakrīt, tad notiek pāreja uz PC + OffKur PC, kā parasti, satur nākamās instrukcijas adresi. Visbeidzot, JMP Class 9 darbība ir BPF_EXIT. Šī instrukcija pārtrauc programmu, atgriežoties kodolā r0. Pievienosim tabulai jaunu kolonnu:

Op    S  Class   Dst Src Off  Imm    Disassm
MOV   0  ALU64   0   0   0    1      r0 = 1
JEQ   0  JMP     0   1   1    0      if (r1 == 0) goto pc+1
MOV   0  ALU64   0   0   0    2      r0 = 2
EXIT  0  JMP     0   0   0    0      exit

Mēs to varam pārrakstīt ērtākā formā:

     r0 = 1
     if (r1 == 0) goto END
     r0 = 2
END:
     exit

Ja atceramies, kas ir reģistrā r1 programmai no kodola un reģistrā tiek nodots rādītājs uz kontekstu r0 kodolam tiek atgriezta vērtība, tad mēs varam redzēt, ka, ja konteksta rādītājs ir nulle, tad mēs atgriežam 1, bet pretējā gadījumā - 2. Pārbaudīsim, vai mums ir taisnība, apskatot avotu:

$ cat readelf-example.c
int foo(void *ctx)
{
        return ctx ? 2 : 1;
}

Jā, tā ir bezjēdzīga programma, taču tā izpaužas tikai četros vienkāršos norādījumos.

Izņēmuma piemērs: 16 baitu instrukcija

Iepriekš minējām, ka dažas instrukcijas aizņem vairāk nekā 64 bitus. Tas attiecas, piemēram, uz instrukcijām lddw (Kods = 0x18 = BPF_LD | BPF_DW | BPF_IMM) — ielādējiet reģistrā dubultvārdu no laukiem Imm. Tas ir fakts Imm ir 32 lielums, un dubultvārds ir 64 biti, tāpēc 64 bitu tūlītējas vērtības ielāde reģistrā vienā 64 bitu instrukcijā nedarbosies. Lai to izdarītu, tiek izmantotas divas blakus esošās instrukcijas, lai laukā saglabātu 64 bitu vērtības otro daļu Imm. Piemērs:

$ cat x64.c
long foo(void *ctx)
{
        return 0x11223344aabbccdd;
}
$ clang -target bpf -c x64.c -o x64.o -O2
$ llvm-readelf -x .text x64.o
Hex dump of section '.text':
0x00000000 18000000 ddccbbaa 00000000 44332211 ............D3".
0x00000010 95000000 00000000                   ........

Binārajā programmā ir tikai divi norādījumi:

Binary                                 Disassm
18000000 ddccbbaa 00000000 44332211    r0 = Imm[0]|Imm[1]
95000000 00000000                      exit

Mēs tiksimies vēlreiz ar norādījumiem lddw, kad mēs runājam par pārvietošanu un darbu ar kartēm.

Piemērs: BPF izjaukšana, izmantojot standarta rīkus

Tātad, mēs esam iemācījušies lasīt BPF bināros kodus un vajadzības gadījumā esam gatavi parsēt jebkuru instrukciju. Tomēr ir vērts teikt, ka praksē ir ērtāk un ātrāk izjaukt programmas, izmantojot standarta rīkus, piemēram:

$ llvm-objdump -d x64.o

Disassembly of section .text:

0000000000000000 <foo>:
 0: 18 00 00 00 dd cc bb aa 00 00 00 00 44 33 22 11 r0 = 1234605617868164317 ll
 2: 95 00 00 00 00 00 00 00 exit

BPF objektu dzīves cikls, bpffs failu sistēma

(Es vispirms uzzināju dažas no šajā apakšnodaļā aprakstītajām detaļām no badošanās Aleksejs Starovoitovs iekšā BPF emuārs.)

BPF objekti - programmas un kartes - tiek veidoti no lietotāja telpas, izmantojot komandas BPF_PROG_LOAD и BPF_MAP_CREATE sistēmas zvans bpf(2), mēs runāsim par to, kā tieši tas notiek nākamajā sadaļā. Tādējādi tiek izveidotas kodola datu struktūras un katrai no tām refcount (atsauces skaits) ir iestatīts uz vienu, un lietotājam tiek atgriezts faila deskriptors, kas norāda uz objektu. Pēc tam, kad rokturis ir aizvērts refcount objekts tiek samazināts par vienu, un, kad tas sasniedz nulli, objekts tiek iznīcināts.

Ja programma izmanto kartes, tad refcount šīs kartes pēc programmas ielādes tiek palielinātas par vienu, t.i. to failu deskriptorus var aizvērt no lietotāja procesa un joprojām refcount nekļūs par nulli:

Pēc veiksmīgas programmas ielādes mēs to parasti pievienojam kādam notikumu ģeneratoram. Piemēram, mēs varam ievietot to tīkla saskarnē, lai apstrādātu ienākošās paketes vai savienotu to ar dažām tracepoint kodolā. Šajā brīdī arī atsauces skaitītājs palielināsies par vienu, un mēs varēsim aizvērt faila deskriptoru ielādes programmā.

Kas notiks, ja mēs tagad izslēgsim sāknēšanas programmu? Tas ir atkarīgs no notikumu ģeneratora (āķa) veida. Visi tīkla āķi pastāvēs pēc iekrāvēja pabeigšanas, tie ir tā sauktie globālie āķi. Un, piemēram, izsekošanas programmas tiks izlaistas pēc tam, kad beigsies process, kas tās izveidoja (un tāpēc tās tiek sauktas par vietējām, no “lokālās uz procesu”). Tehniski lokālajiem āķiem lietotāja telpā vienmēr ir atbilstošs faila deskriptors, un tāpēc tie tiek aizvērti, kad process tiek aizvērts, bet globālajiem āķiem tā nav. Nākamajā attēlā, izmantojot sarkanos krustiņus, mēģinu parādīt, kā iekrāvēja programmas pārtraukšana ietekmē objektu kalpošanas laiku lokālo un globālo āķu gadījumā.

Kāpēc pastāv atšķirība starp vietējiem un globālajiem āķiem? Dažu veidu tīkla programmu palaišana ir jēga bez lietotāja telpas, piemēram, iedomājieties DDoS aizsardzību - sāknēšanas ielādētājs raksta noteikumus un savieno BPF programmu ar tīkla interfeisu, pēc kura sāknēšanas ielādētājs var doties un nogalināt sevi. No otras puses, iedomājieties atkļūdošanas izsekošanas programmu, ko desmit minūšu laikā uzrakstījāt uz ceļiem — kad tā būs pabeigta, jūs vēlētos, lai sistēmā nepaliktu nekādi atkritumi, un vietējie āķi to nodrošinās.

No otras puses, iedomājieties, ka vēlaties izveidot savienojumu ar izsekošanas punktu kodolā un apkopot statistiku daudzu gadu garumā. Šajā gadījumā jūs vēlaties pabeigt lietotāja daļu un laiku pa laikam atgriezties pie statistikas. Bpf failu sistēma nodrošina šo iespēju. Tā ir tikai atmiņā esoša pseido failu sistēma, kas ļauj izveidot failus, kas atsaucas uz BPF objektiem un tādējādi palielina refcount objektus. Pēc tam iekrāvējs var iziet, un tā izveidotie objekti paliks dzīvi.

Failu izveide bpffs, kas atsaucas uz BPF objektiem, tiek saukta par "piespraušanu" (kā šajā frāzē: "process var piespraust BPF programmu vai karti"). Failu objektu izveide BPF objektiem ir jēga ne tikai lokālo objektu dzīves pagarināšanai, bet arī globālo objektu lietojamības dēļ – atgriežoties pie piemēra ar globālo DDoS aizsardzības programmu, mēs vēlamies, lai varētu nākt un apskatīt statistiku. laiku pa laikam.

BPF failu sistēma parasti ir iebūvēta /sys/fs/bpf, bet to var uzstādīt arī lokāli, piemēram, šādi:

$ mkdir bpf-mountpoint
$ sudo mount -t bpf none bpf-mountpoint

Failu sistēmu nosaukumi tiek izveidoti, izmantojot komandu BPF_OBJ_PIN BPF sistēmas izsaukums. Lai ilustrētu, paņemsim programmu, kompilējiet to, augšupielādēsim un piespraužam bpffs. Mūsu programma nedara neko noderīgu, mēs tikai parādām kodu, lai jūs varētu reproducēt piemēru:

$ cat test.c
__attribute__((section("xdp"), used))
int test(void *ctx)
{
        return 0;
}

char _license[] __attribute__((section("license"), used)) = "GPL";

Kompilēsim šo programmu un izveidosim lokālo failu sistēmas kopiju bpffs:

$ clang -target bpf -c test.c -o test.o
$ mkdir bpf-mountpoint
$ sudo mount -t bpf none bpf-mountpoint

Tagad lejupielādēsim mūsu programmu, izmantojot utilītu bpftool un apskatiet pievienotos sistēmas zvanus bpf(2) (no strace izvades noņemtas dažas neatbilstošas rindas):

$ sudo strace -e bpf bpftool prog load ./test.o bpf-mountpoint/test
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_XDP, prog_name="test", ...}, 120) = 3
bpf(BPF_OBJ_PIN, {pathname="bpf-mountpoint/test", bpf_fd=3}, 120) = 0

Šeit mēs esam ielādējuši programmu, izmantojot BPF_PROG_LOAD, saņēma faila deskriptoru no kodola 3 un izmantojot komandu BPF_OBJ_PIN piesprauda šo faila deskriptoru kā failu "bpf-mountpoint/test". Pēc tam sāknēšanas programma bpftool pabeidza darbu, bet mūsu programma palika kodolā, lai gan mēs to nepievienojām nevienam tīkla interfeisam:

$ sudo bpftool prog | tail -3
783: xdp  name test  tag 5c8ba0cf164cb46c  gpl
        loaded_at 2020-05-05T13:27:08+0000  uid 0
        xlated 24B  jited 41B  memlock 4096B

Faila objektu varam dzēst parasti unlink(2) un pēc tam atbilstošā programma tiks dzēsta:

$ sudo rm ./bpf-mountpoint/test
$ sudo bpftool prog show id 783
Error: get by id (783): No such file or directory

Objektu dzēšana

Runājot par objektu dzēšanu, jāprecizē, ka pēc tam, kad būsim atvienojuši programmu no āķa (notikumu ģeneratora), neviens jauns notikums neizraisīs tās palaišanu, taču visas pašreizējās programmas eksemplāri tiks pabeigti parastajā secībā. .

Daži BPF programmu veidi ļauj nomainīt programmu lidojuma laikā, t.i. nodrošināt secības atomitāti replace = detach old program, attach new program. Šajā gadījumā visas programmas vecās versijas aktīvās instances beigs savu darbu, un no jaunās programmas tiks izveidoti jauni notikumu apstrādātāji, un “atomicity” šeit nozīmē, ka neviens notikums netiks palaists garām.

Programmu pievienošana notikumu avotiem

Šajā rakstā mēs atsevišķi neaprakstīsim programmu savienošanu ar notikumu avotiem, jo ir jēga to pētīt konkrēta programmas veida kontekstā. Cm. piemērs zemāk, kurā mēs parādām, kā tiek savienotas tādas programmas kā XDP.

Manipulēšana ar objektiem, izmantojot bpf sistēmas izsaukumu

BPF programmas

Visi BPF objekti tiek izveidoti un pārvaldīti no lietotāja vietas, izmantojot sistēmas zvanu bpf, kam ir šāds prototips:

#include <linux/bpf.h>

int bpf(int cmd, union bpf_attr *attr, unsigned int size);

Lūk, komanda cmd ir viena no tipa vērtībām enum bpf_cmd, attr — norāde uz parametriem konkrētai programmai un size — objekta izmērs atbilstoši rādītājam, t.i. parasti šis sizeof(*attr). Kodolā 5.8 sistēmas izsaukums bpf atbalsta 34 dažādas komandas un noteikt union bpf_attr aizņem 200 rindas. Bet mums tas nevajadzētu nobiedēt, jo mēs iepazīsimies ar komandām un parametriem vairāku rakstu laikā.

Sāksim ar komandu BPF_PROG_LOAD, kas veido BPF programmas – paņem BPF instrukciju kopu un ielādē to kodolā. Ielādes brīdī tiek palaists verificētājs, un pēc tam JIT kompilators un pēc veiksmīgas izpildes programmas faila deskriptors tiek atgriezts lietotājam. To, kas ar viņu notiek tālāk, mēs redzējām iepriekšējā sadaļā par BPF objektu dzīves ciklu.

Tagad mēs uzrakstīsim pielāgotu programmu, kas ielādēs vienkāršu BPF programmu, bet vispirms mums ir jāizlemj, kāda veida programmu mēs vēlamies ielādēt - mums būs jāizvēlas Tips un šī tipa ietvaros uzrakstiet programmu, kas izturēs verificētāja pārbaudi. Tomēr, lai nesarežģītu procesu, šeit ir gatavs risinājums: mēs ņemsim tādu programmu kā BPF_PROG_TYPE_XDP, kas atgriezīs vērtību XDP_PASS (izlaist visus iepakojumus). BPF montētājā tas izskatās ļoti vienkārši:

r0 = 2
exit

Pēc tam, kad esam izlēmuši ka mēs augšupielādēsim, mēs varam jums pastāstīt, kā mēs to darīsim:

#define _GNU_SOURCE
#include <string.h>
#include <unistd.h>
#include <sys/syscall.h>
#include <linux/bpf.h>

static inline __u64 ptr_to_u64(const void *ptr)
{
        return (__u64) (unsigned long) ptr;
}

int main(void)
{
    struct bpf_insn insns[] = {
        {
            .code = BPF_ALU64 | BPF_MOV | BPF_K,
            .dst_reg = BPF_REG_0,
            .imm = XDP_PASS
        },
        {
            .code = BPF_JMP | BPF_EXIT
        },
    };

    union bpf_attr attr = {
        .prog_type = BPF_PROG_TYPE_XDP,
        .insns     = ptr_to_u64(insns),
        .insn_cnt  = sizeof(insns)/sizeof(insns[0]),
        .license   = ptr_to_u64("GPL"),
    };

    strncpy(attr.prog_name, "woo", sizeof(attr.prog_name));
    syscall(__NR_bpf, BPF_PROG_LOAD, &attr, sizeof(attr));

    for ( ;; )
        pause();
}

Interesanti notikumi programmā sākas ar masīva definīciju insns - mūsu BPF programma mašīnkodā. Šajā gadījumā katrs BPF programmas norādījums tiek iesaiņots struktūrā bpf_insn. Pirmais elements insns atbilst instrukcijām r0 = 2, otrais - exit.

Atkāpties. Kodols nosaka ērtākus makro mašīnkodu rakstīšanai un kodola galvenes faila izmantošanai tools/include/linux/filter.h mēs varētu rakstīt

struct bpf_insn insns[] = {
    BPF_MOV64_IMM(BPF_REG_0, XDP_PASS),
    BPF_EXIT_INSN()
};

Bet tā kā BPF programmu rakstīšana vietējā kodā ir nepieciešama tikai kodola testu un rakstu par BPF rakstīšanai, šo makro neesamība izstrādātāja dzīvi īsti nesarežģī.

Pēc BPF programmas definēšanas mēs pārejam pie tās ielādes kodolā. Mūsu minimālisma parametru komplekts attr ietver programmas veidu, instrukciju kopu un skaitu, nepieciešamo licenci un nosaukumu "woo", ko mēs izmantojam, lai pēc lejupielādes sistēmā atrastu savu programmu. Programma, kā solīts, tiek ielādēta sistēmā, izmantojot sistēmas izsaukumu bpf.

Programmas beigās mēs nonākam bezgalīgā cilpā, kas simulē lietderīgo slodzi. Bez tā kodols iznīcinās programmu, kad tiks aizvērts faila deskriptors, ko mums atgrieza sistēmas izsaukums. bpf, un mēs to neredzēsim sistēmā.

Nu, mēs esam gatavi testēšanai. Saliksim un palaidīsim programmu zem stracelai pārbaudītu, vai viss darbojas tā, kā vajadzētu:

$ clang -g -O2 simple-prog.c -o simple-prog

$ sudo strace ./simple-prog
execve("./simple-prog", ["./simple-prog"], 0x7ffc7b553480 /* 13 vars */) = 0
...
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_XDP, insn_cnt=2, insns=0x7ffe03c4ed50, license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_V
ERSION(0, 0, 0), prog_flags=0, prog_name="woo", prog_ifindex=0, expected_attach_type=BPF_CGROUP_INET_INGRESS}, 72) = 3
pause(

Viss ir kārtībā, bpf(2) atdeva mums rokturi 3, un mēs iegājām bezgalīgā cilpā ar pause(). Mēģināsim atrast mūsu programmu sistēmā. Lai to izdarītu, mēs pāriesim uz citu termināli un izmantosim utilītu bpftool:

# bpftool prog | grep -A3 woo
390: xdp  name woo  tag 3b185187f1855c4c  gpl
        loaded_at 2020-08-31T24:66:44+0000  uid 0
        xlated 16B  jited 40B  memlock 4096B
        pids simple-prog(10381)

Mēs redzam, ka sistēmā ir ielādēta programma woo kura globālais ID ir 390 un pašlaik notiek simple-prog ir atvērts faila deskriptors, kas norāda uz programmu (un ja simple-prog tad pabeigs darbu woo pazudīs). Kā gaidīts, programma woo aizņem 16 baitus - divas instrukcijas - bināro kodu BPF arhitektūrā, bet savā dzimtajā formā (x86_64) tas ir jau 40 baiti. Apskatīsim mūsu programmu tās sākotnējā formā:

# bpftool prog dump xlated id 390
   0: (b7) r0 = 2
   1: (95) exit

nekādu pārsteigumu. Tagad apskatīsim JIT kompilatora ģenerēto kodu:

# bpftool prog dump jited id 390
bpf_prog_3b185187f1855c4c_woo:
   0:   nopl   0x0(%rax,%rax,1)
   5:   push   %rbp
   6:   mov    %rsp,%rbp
   9:   sub    $0x0,%rsp
  10:   push   %rbx
  11:   push   %r13
  13:   push   %r14
  15:   push   %r15
  17:   pushq  $0x0
  19:   mov    $0x2,%eax
  1e:   pop    %rbx
  1f:   pop    %r15
  21:   pop    %r14
  23:   pop    %r13
  25:   pop    %rbx
  26:   leaveq
  27:   retq

nav īpaši efektīva priekš exit(2), bet godīgi sakot, mūsu programma ir pārāk vienkārša, un netriviālām programmām, protams, ir nepieciešams JIT kompilatora pievienotais prologs un epilogs.

kartes

BPF programmas var izmantot strukturētus atmiņas apgabalus, kas ir pieejami gan citām BPF programmām, gan programmām lietotāja telpā. Šos objektus sauc par kartēm, un šajā sadaļā mēs parādīsim, kā ar tiem manipulēt, izmantojot sistēmas zvanu bpf.

Uzreiz teiksim, ka karšu iespējas neaprobežojas tikai ar piekļuvi koplietotajai atmiņai. Ir īpašas nozīmes kartes, kas satur, piemēram, norādes uz BPF programmām vai norādes uz tīkla saskarnēm, kartes darbam ar perf notikumiem utt. Par tiem šeit nerunāsim, lai nemulsinātu lasītāju. Bez tam mēs ignorējam sinhronizācijas problēmas, jo tas nav svarīgi mūsu piemēros. Pilns pieejamo karšu veidu saraksts ir atrodams <linux/bpf.h>, un šajā sadaļā kā piemēru ņemsim vēsturiski pirmo veidu, hash tabulu BPF_MAP_TYPE_HASH.

Ja jūs izveidojat hash tabulu, piemēram, C++ valodā, jūs teiktu unordered_map<int,long> woo, kas krievu valodā nozīmē “Man vajag galdu woo neierobežots izmērs, kura atslēgas ir tipa int, un vērtības ir veids long" Lai izveidotu BPF hash tabulu, mums ir jādara tas pats, izņemot to, ka mums ir jānorāda maksimālais tabulas izmērs, un tā vietā, lai norādītu atslēgu un vērtību veidus, mums ir jānorāda to lielums baitos . Lai izveidotu kartes, izmantojiet komandu BPF_MAP_CREATE sistēmas zvans bpf. Apskatīsim vairāk vai mazāk minimālu programmu, kas izveido karti. Pēc iepriekšējās programmas, kas ielādē BPF programmas, šī jums šķiet vienkārša:

$ cat simple-map.c
#define _GNU_SOURCE
#include <string.h>
#include <unistd.h>
#include <sys/syscall.h>
#include <linux/bpf.h>

int main(void)
{
    union bpf_attr attr = {
        .map_type = BPF_MAP_TYPE_HASH,
        .key_size = sizeof(int),
        .value_size = sizeof(int),
        .max_entries = 4,
    };
    strncpy(attr.map_name, "woo", sizeof(attr.map_name));
    syscall(__NR_bpf, BPF_MAP_CREATE, &attr, sizeof(attr));

    for ( ;; )
        pause();
}

Šeit mēs definējam parametru kopu attr, kurā sakām: “Man ir vajadzīga jaucēj tabula ar taustiņiem un lieluma vērtībām sizeof(int), kurā es varu ievietot ne vairāk kā četrus elementus." Veidojot BPF kartes, var norādīt citus parametrus, piemēram, tāpat kā piemērā ar programmu, objekta nosaukumu norādījām kā "woo".

Apkoposim un palaidīsim programmu:

$ clang -g -O2 simple-map.c -o simple-map
$ sudo strace ./simple-map
execve("./simple-map", ["./simple-map"], 0x7ffd40a27070 /* 14 vars */) = 0
...
bpf(BPF_MAP_CREATE, {map_type=BPF_MAP_TYPE_HASH, key_size=4, value_size=4, max_entries=4, map_name="woo", ...}, 72) = 3
pause(

Šeit ir sistēmas izsaukums bpf(2) atgrieza mums deskriptora kartes numuru 3 un pēc tam programma, kā paredzēts, gaida turpmākus norādījumus sistēmas izsaukumā pause(2).

Tagad nosūtīsim savu programmu uz fonu vai atveram citu termināli un apskatīsim mūsu objektu, izmantojot utilītu bpftool (mēs varam atšķirt savu karti no citām pēc tās nosaukuma):

$ sudo bpftool map
...
114: hash  name woo  flags 0x0
        key 4B  value 4B  max_entries 4  memlock 4096B
...

Skaitlis 114 ir mūsu objekta globālais ID. Jebkura sistēmas programma var izmantot šo ID, lai atvērtu esošu karti, izmantojot komandu BPF_MAP_GET_FD_BY_ID sistēmas zvans bpf.

Tagad mēs varam spēlēt ar mūsu hash tabulu. Apskatīsim tā saturu:

$ sudo bpftool map dump id 114
Found 0 elements

Tukšs. Ieliksim tajā vērtību hash[1] = 1:

$ sudo bpftool map update id 114 key 1 0 0 0 value 1 0 0 0

Apskatīsim tabulu vēlreiz:

$ sudo bpftool map dump id 114
key: 01 00 00 00  value: 01 00 00 00
Found 1 element

Urrā! Mums izdevās pievienot vienu elementu. Ņemiet vērā, ka mums ir jāstrādā baitu līmenī, lai to izdarītu, kopš bptftool nezina, kāda veida vērtības ir hash tabulā. (Šīs zināšanas viņai var nodot, izmantojot BTF, bet vairāk par to tagad.)

Kā tieši bpftool nolasa un pievieno elementus? Paskatīsimies zem pārsega:

$ sudo strace -e bpf bpftool map dump id 114
bpf(BPF_MAP_GET_FD_BY_ID, {map_id=114, next_id=0, open_flags=0}, 120) = 3
bpf(BPF_MAP_GET_NEXT_KEY, {map_fd=3, key=NULL, next_key=0x55856ab65280}, 120) = 0
bpf(BPF_MAP_LOOKUP_ELEM, {map_fd=3, key=0x55856ab65280, value=0x55856ab652a0}, 120) = 0
key: 01 00 00 00  value: 01 00 00 00
bpf(BPF_MAP_GET_NEXT_KEY, {map_fd=3, key=0x55856ab65280, next_key=0x55856ab65280}, 120) = -1 ENOENT

Vispirms mēs atvērām karti pēc tās globālā ID, izmantojot komandu BPF_MAP_GET_FD_BY_ID и bpf(2) atgrieza mums deskriptoru 3. Tālāk izmantojot komandu BPF_MAP_GET_NEXT_KEY pirmo atslēgu tabulā atradām garāmejot NULL kā rādītājs uz "iepriekšējo" taustiņu. Ja mums ir atslēga, mēs varam darīt BPF_MAP_LOOKUP_ELEMkas atgriež rādītājam vērtību value. Nākamais solis ir mēģināt atrast nākamo elementu, nododot rādītāju uz pašreizējo atslēgu, bet mūsu tabulā ir tikai viens elements un komanda BPF_MAP_GET_NEXT_KEY atgriežas ENOENT.

Labi, mainīsim vērtību ar 1. atslēgu. Pieņemsim, ka mūsu biznesa loģika prasa reģistrāciju hash[1] = 2:

$ sudo strace -e bpf bpftool map update id 114 key 1 0 0 0 value 2 0 0 0
bpf(BPF_MAP_GET_FD_BY_ID, {map_id=114, next_id=0, open_flags=0}, 120) = 3
bpf(BPF_MAP_UPDATE_ELEM, {map_fd=3, key=0x55dcd72be260, value=0x55dcd72be280, flags=BPF_ANY}, 120) = 0

Kā gaidīts, tas ir ļoti vienkārši: komanda BPF_MAP_GET_FD_BY_ID atver mūsu karti pēc ID un komandas BPF_MAP_UPDATE_ELEM pārraksta elementu.

Tātad, izveidojot hash tabulu no vienas programmas, mēs varam lasīt un rakstīt tās saturu no citas. Ņemiet vērā: ja mēs to varējām izdarīt no komandrindas, tad to var izdarīt jebkura cita sistēmas programma. Papildus iepriekš aprakstītajām komandām darbam ar kartēm no lietotāja vietas, šādi:

BPF_MAP_LOOKUP_ELEM: atrast vērtību pēc atslēgas
BPF_MAP_UPDATE_ELEM: atjaunināt/izveidot vērtību
BPF_MAP_DELETE_ELEM: noņemt atslēgu
BPF_MAP_GET_NEXT_KEY: atrodiet nākamo (vai pirmo) taustiņu
BPF_MAP_GET_NEXT_ID: ļauj pārlūkot visas esošās kartes, tā tas darbojas bpftool map
BPF_MAP_GET_FD_BY_ID: atver esošu karti pēc tās globālā ID
BPF_MAP_LOOKUP_AND_DELETE_ELEM: atomiski atjaunināt objekta vērtību un atgriezt veco
BPF_MAP_FREEZE: padarīt karti nemainīgu no lietotāja telpas (šo darbību nevar atsaukt)
BPF_MAP_LOOKUP_BATCH, BPF_MAP_LOOKUP_AND_DELETE_BATCH, BPF_MAP_UPDATE_BATCH, BPF_MAP_DELETE_BATCH: masu operācijas. Piemēram, BPF_MAP_LOOKUP_AND_DELETE_BATCH - tas ir vienīgais uzticamais veids, kā nolasīt un atiestatīt visas vērtības no kartes

Ne visas šīs komandas darbojas visiem karšu veidiem, taču kopumā darbs ar cita veida kartēm no lietotāja vietas izskatās tieši tāds pats kā darbs ar jaucēj tabulām.

Kārtības labad pabeigsim mūsu hash tabulas eksperimentus. Atcerieties, ka mēs izveidojām tabulu, kurā var būt līdz četrām atslēgām? Pievienosim vēl dažus elementus:

$ sudo bpftool map update id 114 key 2 0 0 0 value 1 0 0 0
$ sudo bpftool map update id 114 key 3 0 0 0 value 1 0 0 0
$ sudo bpftool map update id 114 key 4 0 0 0 value 1 0 0 0

Tik tālu, labi:

$ sudo bpftool map dump id 114
key: 01 00 00 00  value: 01 00 00 00
key: 02 00 00 00  value: 01 00 00 00
key: 04 00 00 00  value: 01 00 00 00
key: 03 00 00 00  value: 01 00 00 00
Found 4 elements

Mēģināsim pievienot vēl vienu:

$ sudo bpftool map update id 114 key 5 0 0 0 value 1 0 0 0
Error: update failed: Argument list too long

Kā jau gaidīts, mums neizdevās. Apskatīsim kļūdu sīkāk:

$ sudo strace -e bpf bpftool map update id 114 key 5 0 0 0 value 1 0 0 0
bpf(BPF_MAP_GET_FD_BY_ID, {map_id=114, next_id=0, open_flags=0}, 120) = 3
bpf(BPF_OBJ_GET_INFO_BY_FD, {info={bpf_fd=3, info_len=80, info=0x7ffe6c626da0}}, 120) = 0
bpf(BPF_MAP_UPDATE_ELEM, {map_fd=3, key=0x56049ded5260, value=0x56049ded5280, flags=BPF_ANY}, 120) = -1 E2BIG (Argument list too long)
Error: update failed: Argument list too long
+++ exited with 255 +++

Viss ir kārtībā: kā gaidīts, komanda BPF_MAP_UPDATE_ELEM mēģina izveidot jaunu, piekto, atslēgu, bet avarē E2BIG.

Tātad, mēs varam izveidot un ielādēt BPF programmas, kā arī izveidot un pārvaldīt kartes no lietotāja vietas. Tagad ir loģiski aplūkot, kā mēs varam izmantot kartes no pašām BPF programmām. Mēs par to varētu runāt grūti lasāmu programmu valodā mašīnu makro kodos, bet patiesībā ir pienācis laiks parādīt, kā patiesībā tiek rakstītas un uzturētas BPF programmas - izmantojot libbpf.

(Lasītājiem, kuri nav apmierināti ar zema līmeņa piemēra trūkumu: mēs detalizēti analizēsim programmas, kas izmanto kartes un palīgfunkcijas, kas izveidotas, izmantojot libbpf un pastāstīt, kas notiek instrukciju līmenī. Neapmierinātajiem lasītājiem ļoti daudz, mēs pievienojām piemērs attiecīgajā raksta vietā.)

BPF programmu rakstīšana, izmantojot libbpf

BPF programmu rakstīšana, izmantojot mašīnas kodus, var būt interesanta tikai pirmajā reizē, un tad iestājas sāta sajūta. Šajā brīdī jums jāpievērš uzmanība llvm, kam ir aizmugursistēma koda ģenerēšanai BPF arhitektūrai, kā arī bibliotēka libbpf, kas ļauj rakstīt BPF lietojumprogrammu lietotāja pusi un ielādēt BPF programmu kodu, kas ģenerēts, izmantojot llvm/clang.

Faktiski, kā mēs redzēsim šajā un turpmākajos rakstos, libbpf diezgan daudz strādā bez tā (vai līdzīgiem rīkiem - iproute2, libbcc, libbpf-gou.c.) dzīvot nav iespējams. Viena no projekta galvenajām iezīmēm libbpf ir BPF CO-RE (Compile Once, Run Everywhere) - projekts, kas ļauj rakstīt BPF programmas, kas ir pārnēsājamas no viena kodola uz otru, ar iespēju darboties dažādās API (piemēram, mainoties kodola struktūrai no versijas uz versiju). Lai varētu strādāt ar CO-RE, jūsu kodolam jābūt kompilētam ar BTF atbalstu (kā to izdarīt, mēs aprakstām sadaļā Izstrādes rīki. Jūs varat pārbaudīt, vai jūsu kodols ir veidots ar BTF vai ne ļoti vienkārši - izmantojot šādu failu:

$ ls -lh /sys/kernel/btf/vmlinux
-r--r--r-- 1 root root 2.6M Jul 29 15:30 /sys/kernel/btf/vmlinux

Šajā failā tiek glabāta informācija par visiem kodolā izmantotajiem datu tipiem, un tas tiek izmantots visos mūsu piemēros, izmantojot libbpf. Sīkāk par CO-RE mēs runāsim nākamajā rakstā, bet šajā - vienkārši izveidojiet sev kodolu CONFIG_DEBUG_INFO_BTF.

Bibliotēka libbpf dzīvo tieši direktorijā tools/lib/bpf kodols un tā izstrāde tiek veikta, izmantojot adresātu sarakstu [email protected]. Tomēr ārpus kodola dzīvojošo lietojumprogrammu vajadzībām tiek uzturēta atsevišķa repozitorija https://github.com/libbpf/libbpf kurā kodola bibliotēka tiek atspoguļota lasīšanas piekļuvei vairāk vai mazāk tāda, kāda tā ir.

Šajā sadaļā apskatīsim, kā varat izveidot projektu, kas izmanto libbpf, uzrakstīsim vairākas (vairāk vai mazāk bezjēdzīgas) testa programmas un detalizēti analizēsim, kā tas viss darbojas. Tas ļaus mums turpmākajās sadaļās vienkāršāk izskaidrot, kā BPF programmas mijiedarbojas ar kartēm, kodola palīgiem, BTF utt.

Parasti projektos izmanto libbpf pievienojiet GitHub repozitoriju kā git apakšmoduli, mēs darīsim to pašu:

$ mkdir /tmp/libbpf-example
$ cd /tmp/libbpf-example/
$ git init-db
Initialized empty Git repository in /tmp/libbpf-example/.git/
$ git submodule add https://github.com/libbpf/libbpf.git
Cloning into '/tmp/libbpf-example/libbpf'...
remote: Enumerating objects: 200, done.
remote: Counting objects: 100% (200/200), done.
remote: Compressing objects: 100% (103/103), done.
remote: Total 3354 (delta 101), reused 118 (delta 79), pack-reused 3154
Receiving objects: 100% (3354/3354), 2.05 MiB | 10.22 MiB/s, done.
Resolving deltas: 100% (2176/2176), done.

Ejot uz libbpf ļoti vienkārši:

$ cd libbpf/src
$ mkdir build
$ OBJDIR=build DESTDIR=root make -s install
$ find root
root
root/usr
root/usr/include
root/usr/include/bpf
root/usr/include/bpf/bpf_tracing.h
root/usr/include/bpf/xsk.h
root/usr/include/bpf/libbpf_common.h
root/usr/include/bpf/bpf_endian.h
root/usr/include/bpf/bpf_helpers.h
root/usr/include/bpf/btf.h
root/usr/include/bpf/bpf_helper_defs.h
root/usr/include/bpf/bpf.h
root/usr/include/bpf/libbpf_util.h
root/usr/include/bpf/libbpf.h
root/usr/include/bpf/bpf_core_read.h
root/usr/lib64
root/usr/lib64/libbpf.so.0.1.0
root/usr/lib64/libbpf.so.0
root/usr/lib64/libbpf.a
root/usr/lib64/libbpf.so
root/usr/lib64/pkgconfig
root/usr/lib64/pkgconfig/libbpf.pc

Mūsu nākamais plāns šajā sadaļā ir šāds: mēs uzrakstīsim tādu BPF programmu kā BPF_PROG_TYPE_XDP, tāpat kā iepriekšējā piemērā, bet C, mēs to apkopojam, izmantojot clang, un uzrakstiet palīgprogrammu, kas to ielādēs kodolā. Nākamajās sadaļās mēs paplašināsim gan BPF programmas, gan asistentu programmas iespējas.

Piemērs: pilnvērtīgas lietojumprogrammas izveide, izmantojot libbpf

Sākumā mēs izmantojam failu /sys/kernel/btf/vmlinux, kas tika minēts iepriekš, un izveidojiet tā ekvivalentu galvenes faila formā:

$ bpftool btf dump file /sys/kernel/btf/vmlinux format c > vmlinux.h

Šajā failā tiks saglabātas visas mūsu kodolā pieejamās datu struktūras, piemēram, šādi kodolā tiek definēta IPv4 galvene:

$ grep -A 12 'struct iphdr {' vmlinux.h
struct iphdr {
    __u8 ihl: 4;
    __u8 version: 4;
    __u8 tos;
    __be16 tot_len;
    __be16 id;
    __be16 frag_off;
    __u8 ttl;
    __u8 protocol;
    __sum16 check;
    __be32 saddr;
    __be32 daddr;
};

Tagad mēs rakstīsim savu BPF programmu C valodā:

$ cat xdp-simple.bpf.c
#include "vmlinux.h"
#include <bpf/bpf_helpers.h>

SEC("xdp/simple")
int simple(void *ctx)
{
        return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";

Lai gan mūsu programma izrādījās ļoti vienkārša, mums joprojām ir jāpievērš uzmanība daudzām detaļām. Pirmkārt, pirmais iekļautais galvenes fails ir vmlinux.h, kuru mēs tikko ģenerējām, izmantojot bpftool btf dump - tagad mums nav jāinstalē kodola galvenes pakotne, lai uzzinātu, kā izskatās kodola struktūras. Tālāk norādītais galvenes fails tiek saņemts no bibliotēkas libbpf. Tagad mums tas ir nepieciešams tikai makro definēšanai SEC, kas nosūta rakstzīmi uz attiecīgo ELF objekta faila sadaļu. Mūsu programma ir ietverta sadaļā xdp/simple, kur pirms slīpsvītras mēs definējam programmas veidu BPF - tā ir izmantota vienošanās libbpf, pamatojoties uz sadaļas nosaukumu, startēšanas laikā tas aizstās pareizo veidu bpf(2). BPF programma pati par sevi ir C - ļoti vienkāršs un sastāv no vienas rindas return XDP_PASS. Visbeidzot, atsevišķa sadaļa "license" satur licences nosaukumu.

Mēs varam kompilēt savu programmu, izmantojot llvm/clang, versija >= 10.0.0 vai, vēl labāk, jaunāka (skatiet sadaļu Izstrādes rīki):

$ clang --version
clang version 11.0.0 (https://github.com/llvm/llvm-project.git afc287e0abec710398465ee1f86237513f2b5091)
...

$ clang -O2 -g -c -target bpf -I libbpf/src/root/usr/include xdp-simple.bpf.c -o xdp-simple.bpf.o

Starp interesantajām iezīmēm: mēs norādām mērķa arhitektūru -target bpf un ceļš uz galvenēm libbpf, kuru mēs nesen instalējām. Tāpat neaizmirstiet par -O2, bez šīs iespējas nākotnē jūs varētu sagaidīt pārsteigumi. Apskatīsim mūsu kodu, vai mums izdevās uzrakstīt programmu, kuru gribējām?

$ llvm-objdump --section=xdp/simple --no-show-raw-insn -D xdp-simple.bpf.o

xdp-simple.bpf.o:       file format elf64-bpf

Disassembly of section xdp/simple:

0000000000000000 <simple>:
       0:       r0 = 2
       1:       exit

Jā, izdevās! Tagad mums ir binārs fails ar programmu, un mēs vēlamies izveidot lietojumprogrammu, kas to ielādēs kodolā. Šim nolūkam bibliotēka libbpf piedāvā mums divas iespējas - izmantot zemāka līmeņa API vai augstāka līmeņa API. Mēs iesim otro ceļu, jo mēs vēlamies iemācīties rakstīt, ielādēt un savienot BPF programmas ar minimālu piepūli to turpmākajai izpētei.

Pirmkārt, mums ir jāģenerē mūsu programmas “skelets” no tās binārā faila, izmantojot to pašu utilītu bpftool — BPF pasaules Šveices nazis (ko var uztvert burtiski, jo Daniels Borkmans, viens no BPF radītājiem un uzturētājiem, ir šveicietis):

$ bpftool gen skeleton xdp-simple.bpf.o > xdp-simple.skel.h

Failā xdp-simple.skel.h satur mūsu programmas bināro kodu un funkcijas mūsu objekta pārvaldīšanai - ielādei, pievienošanai, dzēšanai. Mūsu vienkāršajā gadījumā tas izskatās kā pārspīlējums, taču tas darbojas arī tad, ja objekta failā ir daudz BPF programmu un karšu, un, lai ielādētu šo milzīgo ELF, mums vienkārši jāģenerē skelets un jāizsauc viena vai divas funkcijas no pielāgotās lietojumprogrammas. raksta. Tūlīt turpināsim.

Stingri sakot, mūsu iekrāvēja programma ir triviāla:

#include <err.h>
#include <unistd.h>
#include "xdp-simple.skel.h"

int main(int argc, char **argv)
{
    struct xdp_simple_bpf *obj;

    obj = xdp_simple_bpf__open_and_load();
    if (!obj)
        err(1, "failed to open and/or load BPF objectn");

    pause();

    xdp_simple_bpf__destroy(obj);
}

Šeit struct xdp_simple_bpf definēts failā xdp-simple.skel.h un apraksta mūsu objekta failu:

struct xdp_simple_bpf {
    struct bpf_object_skeleton *skeleton;
    struct bpf_object *obj;
    struct {
        struct bpf_program *simple;
    } progs;
    struct {
        struct bpf_link *simple;
    } links;
};

Šeit mēs varam redzēt zema līmeņa API pēdas: struktūra struct bpf_program *simple и struct bpf_link *simple. Pirmā struktūra īpaši apraksta mūsu programmu, kas rakstīta sadaļā xdp/simple, bet otrajā ir aprakstīts, kā programma izveido savienojumu ar notikuma avotu.

Funkcija xdp_simple_bpf__open_and_load, atver ELF objektu, parsē to, izveido visas struktūras un apakšstruktūras (bez programmas ELF satur arī citas sadaļas - dati, tikai lasāmie dati, atkļūdošanas informācija, licence utt.), un pēc tam, izmantojot sistēmu, ielādē to kodolā. zvanu bpf, ko varam pārbaudīt, apkopojot un palaižot programmu:

$ clang -O2 -I ./libbpf/src/root/usr/include/ xdp-simple.c -o xdp-simple ./libbpf/src/root/usr/lib64/libbpf.a -lelf -lz

$ sudo strace -e bpf ./xdp-simple
...
bpf(BPF_BTF_LOAD, 0x7ffdb8fd9670, 120)  = 3
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_XDP, insn_cnt=2, insns=0xdfd580, license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_VERSION(5, 8, 0), prog_flags=0, prog_name="simple", prog_ifindex=0, expected_attach_type=0x25 /* BPF_??? */, ...}, 120) = 4

Tagad apskatīsim mūsu programmu, izmantojot bpftool. Atradīsim viņas ID:

# bpftool p | grep -A4 simple
463: xdp  name simple  tag 3b185187f1855c4c  gpl
        loaded_at 2020-08-01T01:59:49+0000  uid 0
        xlated 16B  jited 40B  memlock 4096B
        btf_id 185
        pids xdp-simple(16498)

un dump (mēs izmantojam saīsinātu komandas formu bpftool prog dump xlated):

# bpftool p d x id 463
int simple(void *ctx):
; return XDP_PASS;
   0: (b7) r0 = 2
   1: (95) exit

Kaut kas jauns! Programma izdrukāja mūsu C avota faila gabalus. To izdarīja bibliotēka libbpf, kas atrada atkļūdošanas sadaļu binārajā failā, kompilēja to BTF objektā, ielādēja kodolā, izmantojot BPF_BTF_LOAD, un pēc tam, ielādējot programmu ar komandu, norādīja iegūto faila deskriptoru BPG_PROG_LOAD.

Kodola palīgi

BPF programmas var palaist “ārējas” funkcijas - kodola palīgus. Šīs palīgfunkcijas ļauj BPF programmām piekļūt kodola struktūrām, pārvaldīt kartes un arī sazināties ar “reālo pasauli” - izveidot perfektus notikumus, kontrolēt aparatūru (piemēram, novirzīšanas paketes) utt.

Piemērs: bpf_get_smp_processor_id

Paradigmas “mācīšanās pēc piemēra” ietvaros aplūkosim vienu no palīgfunkcijām, bpf_get_smp_processor_id(), zināms failā kernel/bpf/helpers.c. Tas atgriež tā procesora numuru, kurā darbojas BPF programma, kas to izsauca. Bet mūs neinteresē tā semantika kā fakts, ka tā īstenošana aizņem vienu līniju:

BPF_CALL_0(bpf_get_smp_processor_id)
{
    return smp_processor_id();
}

BPF palīgfunkciju definīcijas ir līdzīgas Linux sistēmas izsaukuma definīcijām. Šeit, piemēram, ir definēta funkcija, kurai nav argumentu. (Funkcija, kas izmanto, piemēram, trīs argumentus, tiek definēta, izmantojot makro BPF_CALL_3. Maksimālais argumentu skaits ir pieci.) Tomēr šī ir tikai definīcijas pirmā daļa. Otrajā daļā ir jādefinē tipa struktūra struct bpf_func_proto, kurā ir verificētājam saprotamās palīgfunkcijas apraksts:

const struct bpf_func_proto bpf_get_smp_processor_id_proto = {
    .func     = bpf_get_smp_processor_id,
    .gpl_only = false,
    .ret_type = RET_INTEGER,
};

Palīdzības funkciju reģistrēšana

Lai noteikta veida BPF programmas varētu izmantot šo funkciju, tām tā ir jāreģistrē, piemēram, tipam BPF_PROG_TYPE_XDP funkcija ir definēta kodolā xdp_func_proto, kas no palīgfunkcijas ID nosaka, vai XDP atbalsta šo funkciju vai ne. Mūsu funkcija ir atbalsta:

static const struct bpf_func_proto *
xdp_func_proto(enum bpf_func_id func_id, const struct bpf_prog *prog)
{
    switch (func_id) {
    ...
    case BPF_FUNC_get_smp_processor_id:
        return &bpf_get_smp_processor_id_proto;
    ...
    }
}

Jaunie BPF programmu veidi ir "definēti" failā include/linux/bpf_types.h izmantojot makro BPF_PROG_TYPE. Definēts pēdiņās, jo tā ir loģiska definīcija, un C valodas terminos citās vietās sastopama vesela betona konstrukciju kopuma definīcija. Jo īpaši failā kernel/bpf/verifier.c visas definīcijas no faila bpf_types.h tiek izmantoti, lai izveidotu struktūru masīvu bpf_verifier_ops[]:

static const struct bpf_verifier_ops *const bpf_verifier_ops[] = {
#define BPF_PROG_TYPE(_id, _name, prog_ctx_type, kern_ctx_type) 
    [_id] = & _name ## _verifier_ops,
#include <linux/bpf_types.h>
#undef BPF_PROG_TYPE
};

Tas nozīmē, ka katram BPF programmas veidam ir definēts rādītājs uz šāda veida datu struktūru struct bpf_verifier_ops, kas tiek inicializēts ar vērtību _name ## _verifier_ops, t.i., xdp_verifier_ops par xdp. Struktūra xdp_verifier_ops nosaka failā net/core/filter.c šādi:

const struct bpf_verifier_ops xdp_verifier_ops = {
    .get_func_proto     = xdp_func_proto,
    .is_valid_access    = xdp_is_valid_access,
    .convert_ctx_access = xdp_convert_ctx_access,
    .gen_prologue       = bpf_noop_prologue,
};

Šeit mēs redzam mūsu pazīstamo funkciju xdp_func_proto, kas palaiž verificētāju katru reizi, kad saskarsies ar izaicinājumu kaut kāda veida funkcijas BPF programmā, sk verifier.c.

Apskatīsim, kā hipotētiskā BPF programma izmanto šo funkciju bpf_get_smp_processor_id. Lai to izdarītu, mēs pārrakstām programmu no mūsu iepriekšējās sadaļas šādi:

#include "vmlinux.h"
#include <bpf/bpf_helpers.h>

SEC("xdp/simple")
int simple(void *ctx)
{
    if (bpf_get_smp_processor_id() != 0)
        return XDP_DROP;
    return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";

Simbols bpf_get_smp_processor_id nosaka в <bpf/bpf_helper_defs.h> bibliotēkas libbpf kā

static u32 (*bpf_get_smp_processor_id)(void) = (void *) 8;

tas ir, bpf_get_smp_processor_id ir funkcijas rādītājs, kura vērtība ir 8, kur 8 ir vērtība BPF_FUNC_get_smp_processor_id tips enum bpf_fun_id, kas mums ir definēts failā vmlinux.h (fails bpf_helper_defs.h kodolā tiek ģenerēts ar skriptu, tāpēc "burvju" skaitļi ir labi). Šī funkcija neizmanto argumentus un atgriež tipa vērtību __u32. Kad mēs to palaižam savā programmā, clang ģenerē instrukciju BPF_CALL "pareizais veids" Sastādīsim programmu un apskatīsim sadaļu xdp/simple:

$ clang -O2 -g -c -target bpf -I libbpf/src/root/usr/include xdp-simple.bpf.c -o xdp-simple.bpf.o
$ llvm-objdump -D --section=xdp/simple xdp-simple.bpf.o

xdp-simple.bpf.o:       file format elf64-bpf

Disassembly of section xdp/simple:

0000000000000000 <simple>:
       0:       85 00 00 00 08 00 00 00 call 8
       1:       bf 01 00 00 00 00 00 00 r1 = r0
       2:       67 01 00 00 20 00 00 00 r1 <<= 32
       3:       77 01 00 00 20 00 00 00 r1 >>= 32
       4:       b7 00 00 00 02 00 00 00 r0 = 2
       5:       15 01 01 00 00 00 00 00 if r1 == 0 goto +1 <LBB0_2>
       6:       b7 00 00 00 01 00 00 00 r0 = 1

0000000000000038 <LBB0_2>:
       7:       95 00 00 00 00 00 00 00 exit

Pirmajā rindā mēs redzam instrukcijas call, parametrs IMM kas ir vienāds ar 8, un SRC_REG - nulle. Saskaņā ar verificētāja izmantoto ABI līgumu šis ir izsaukums uz palīgfunkciju Nr. XNUMX. Kad tas ir palaists, loģika ir vienkārša. Atgriešanas vērtība no reģistra r0 kopēts uz r1 un 2,3. rindā tas tiek pārveidots par tipu u32 — tiek notīrīti augšējie 32 biti. 4,5,6,7 rindā mēs atgriežam 2 (XDP_PASS) vai 1 (XDP_DROP) atkarībā no tā, vai palīgfunkcija no 0. rindas atgrieza nulles vai nulles vērtību.

Pārbaudīsim sevi: ielādējam programmu un apskatīsim izvadi bpftool prog dump xlated:

$ bpftool gen skeleton xdp-simple.bpf.o > xdp-simple.skel.h
$ clang -O2 -g -I ./libbpf/src/root/usr/include/ -o xdp-simple xdp-simple.c ./libbpf/src/root/usr/lib64/libbpf.a -lelf -lz
$ sudo ./xdp-simple &
[2] 10914

$ sudo bpftool p | grep simple
523: xdp  name simple  tag 44c38a10c657e1b0  gpl
        pids xdp-simple(10915)

$ sudo bpftool p d x id 523
int simple(void *ctx):
; if (bpf_get_smp_processor_id() != 0)
   0: (85) call bpf_get_smp_processor_id#114128
   1: (bf) r1 = r0
   2: (67) r1 <<= 32
   3: (77) r1 >>= 32
   4: (b7) r0 = 2
; }
   5: (15) if r1 == 0x0 goto pc+1
   6: (b7) r0 = 1
   7: (95) exit

Labi, pārbaudītājs atrada pareizo kodola palīgu.

Piemērs: argumentu nodošana un visbeidzot programmas palaišana!

Visām izpildes līmeņa palīgfunkcijām ir prototips

u64 fn(u64 r1, u64 r2, u64 r3, u64 r4, u64 r5)

Parametri palīgfunkcijām tiek nodoti reģistros r1Sākot nor5, un vērtība tiek atgriezta reģistrā r0. Nav tādu funkciju, kurām būtu nepieciešami vairāk nekā pieci argumenti, un to atbalsts nav paredzēts nākotnē.

Apskatīsim jauno kodola palīgu un to, kā BPF nodod parametrus. Pārrakstīsim xdp-simple.bpf.c šādi (pārējās rindas nav mainītas):

SEC("xdp/simple")
int simple(void *ctx)
{
    bpf_printk("running on CPU%un", bpf_get_smp_processor_id());
    return XDP_PASS;
}

Mūsu programma izdrukā tā CPU numuru, kurā tā darbojas. Apkoposim to un apskatīsim kodu:

$ llvm-objdump -D --section=xdp/simple --no-show-raw-insn xdp-simple.bpf.o

0000000000000000 <simple>:
       0:       r1 = 10
       1:       *(u16 *)(r10 - 8) = r1
       2:       r1 = 8441246879787806319 ll
       4:       *(u64 *)(r10 - 16) = r1
       5:       r1 = 2334956330918245746 ll
       7:       *(u64 *)(r10 - 24) = r1
       8:       call 8
       9:       r1 = r10
      10:       r1 += -24
      11:       r2 = 18
      12:       r3 = r0
      13:       call 6
      14:       r0 = 2
      15:       exit

0-7 rindā mēs rakstām virkni running on CPU%un, un tad 8. rindā mēs palaižam pazīstamo bpf_get_smp_processor_id. 9.-12.rindā sagatavojam palīga argumentus bpf_printk - reģistri r1, r2, r3. Kāpēc viņi ir trīs, nevis divi? Jo bpf_printk Sākot no šis ir makro iesaiņojums ap īsto palīgu bpf_trace_printk, kam jānodod formāta virknes izmērs.

Tagad pievienosim pāris rindiņas xdp-simple.clai mūsu programma izveidotu savienojumu ar saskarni lo un tiešām sākās!

$ cat xdp-simple.c
#include <linux/if_link.h>
#include <err.h>
#include <unistd.h>
#include "xdp-simple.skel.h"

int main(int argc, char **argv)
{
    __u32 flags = XDP_FLAGS_SKB_MODE;
    struct xdp_simple_bpf *obj;

    obj = xdp_simple_bpf__open_and_load();
    if (!obj)
        err(1, "failed to open and/or load BPF objectn");

    bpf_set_link_xdp_fd(1, -1, flags);
    bpf_set_link_xdp_fd(1, bpf_program__fd(obj->progs.simple), flags);

cleanup:
    xdp_simple_bpf__destroy(obj);
}

Šeit mēs izmantojam funkciju bpf_set_link_xdp_fd, kas savieno XDP tipa BPF programmas ar tīkla saskarnēm. Mēs iekodējām saskarnes numuru lo, kas vienmēr ir 1. Mēs palaižam funkciju divas reizes, lai vispirms atvienotu veco programmu, ja tā bija pievienota. Ievērojiet, ka tagad mums nav nepieciešams izaicinājums pause vai bezgalīga cilpa: mūsu ielādes programma tiks aizvērta, bet BPF programma netiks iznīcināta, jo tā ir savienota ar notikuma avotu. Pēc veiksmīgas lejupielādes un savienojuma izveides programma tiks palaista katrai tīkla paketei, kas nonāk pie lo.

Lejupielādēsim programmu un apskatīsim interfeisu lo:

$ sudo ./xdp-simple
$ sudo bpftool p | grep simple
669: xdp  name simple  tag 4fca62e77ccb43d6  gpl
$ ip l show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 xdpgeneric qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    prog/xdp id 669

Lejupielādētajai programmai ir ID 669, un mēs redzam to pašu ID interfeisā lo. Nosūtīsim pāris pakas uz 127.0.0.1 (pieprasījums + atbilde):

$ ping -c1 localhost

un tagad apskatīsim atkļūdošanas virtuālā faila saturu /sys/kernel/debug/tracing/trace_pipe, kurā bpf_printk raksta savus ziņojumus:

# cat /sys/kernel/debug/tracing/trace_pipe
ping-13937 [000] d.s1 442015.377014: bpf_trace_printk: running on CPU0
ping-13937 [000] d.s1 442015.377027: bpf_trace_printk: running on CPU0

Tika pamanīti divi iepakojumi lo un apstrādāts uz CPU0 - mūsu pirmā pilnvērtīgā bezjēdzīgā BPF programma strādāja!

Ir vērts atzīmēt, ka bpf_printk Ne velti tas raksta atkļūdošanas failā: šis nav veiksmīgākais palīgs izmantošanai ražošanā, taču mūsu mērķis bija parādīt kaut ko vienkāršu.

Piekļuve kartēm no BPF programmām

Piemērs: izmantojot karti no BPF programmas

Iepriekšējās sadaļās mēs uzzinājām, kā izveidot un izmantot kartes no lietotāja vietas, un tagad apskatīsim kodola daļu. Sāksim, kā parasti, ar piemēru. Pārrakstīsim savu programmu xdp-simple.bpf.c šādi:

#include "vmlinux.h"
#include <bpf/bpf_helpers.h>

struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __uint(max_entries, 8);
    __type(key, u32);
    __type(value, u64);
} woo SEC(".maps");

SEC("xdp/simple")
int simple(void *ctx)
{
    u32 key = bpf_get_smp_processor_id();
    u32 *val;

    val = bpf_map_lookup_elem(&woo, &key);
    if (!val)
        return XDP_ABORTED;

    *val += 1;

    return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";

Programmas sākumā pievienojām kartes definīciju woo: Šis ir 8 elementu masīvs, kurā tiek saglabātas tādas vērtības kā u64 (C valodā mēs definētu šādu masīvu kā u64 woo[8]). Programmā "xdp/simple" mēs iegūstam pašreizējo procesora numuru mainīgajā key un pēc tam izmantojot palīga funkciju bpf_map_lookup_element iegūstam rādītāju uz atbilstošo ierakstu masīvā, kuru palielinām par vienu. Tulkots krievu valodā: mēs aprēķinām statistiku par to, kurš CPU apstrādāja ienākošās paketes. Mēģināsim palaist programmu:

$ clang -O2 -g -c -target bpf -I libbpf/src/root/usr/include xdp-simple.bpf.c -o xdp-simple.bpf.o
$ bpftool gen skeleton xdp-simple.bpf.o > xdp-simple.skel.h
$ clang -O2 -g -I ./libbpf/src/root/usr/include/ -o xdp-simple xdp-simple.c ./libbpf/src/root/usr/lib64/libbpf.a -lelf -lz
$ sudo ./xdp-simple

Pārbaudīsim, vai viņa ir pieķērusies lo un nosūtiet dažas paketes:

$ ip l show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 xdpgeneric qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    prog/xdp id 108

$ for s in `seq 234`; do sudo ping -f -c 100 127.0.0.1 >/dev/null 2>&1; done

Tagad apskatīsim masīva saturu:

$ sudo bpftool map dump name woo
[
    { "key": 0, "value": 0 },
    { "key": 1, "value": 400 },
    { "key": 2, "value": 0 },
    { "key": 3, "value": 0 },
    { "key": 4, "value": 0 },
    { "key": 5, "value": 0 },
    { "key": 6, "value": 0 },
    { "key": 7, "value": 46400 }
]

Gandrīz visi procesi tika apstrādāti CPU7. Tas mums nav svarīgi, galvenais, lai programma strādā un mēs saprotam, kā piekļūt kartēm no BPF programmām - izmantojot хелперов bpf_mp_*.

Mistisks rādītājs

Tātad, mēs varam piekļūt kartei no BPF programmas, izmantojot tādus zvanus kā

val = bpf_map_lookup_elem(&woo, &key);

kur izskatās palīga funkcija

void *bpf_map_lookup_elem(struct bpf_map *map, const void *key)

bet mēs ejam garām rādītājam &woo uz nenosauktu struktūru struct { ... }...

Ja mēs skatāmies uz programmas montētāju, mēs redzam, ka vērtība &woo faktiski nav definēts (4. rindiņa):

llvm-objdump -D --section xdp/simple xdp-simple.bpf.o

xdp-simple.bpf.o:       file format elf64-bpf

Disassembly of section xdp/simple:

0000000000000000 <simple>:
       0:       85 00 00 00 08 00 00 00 call 8
       1:       63 0a fc ff 00 00 00 00 *(u32 *)(r10 - 4) = r0
       2:       bf a2 00 00 00 00 00 00 r2 = r10
       3:       07 02 00 00 fc ff ff ff r2 += -4
       4:       18 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 r1 = 0 ll
       6:       85 00 00 00 01 00 00 00 call 1
...

un tas ir ietverts pārvietošanā:

$ llvm-readelf -r xdp-simple.bpf.o | head -4

Relocation section '.relxdp/simple' at offset 0xe18 contains 1 entries:
    Offset             Info             Type               Symbol's Value  Symbol's Name
0000000000000020  0000002700000001 R_BPF_64_64            0000000000000000 woo

Bet, ja mēs skatāmies uz jau ielādētu programmu, mēs redzam rādītāju uz pareizo karti (4. rindiņa):

$ sudo bpftool prog dump x name simple
int simple(void *ctx):
   0: (85) call bpf_get_smp_processor_id#114128
   1: (63) *(u32 *)(r10 -4) = r0
   2: (bf) r2 = r10
   3: (07) r2 += -4
   4: (18) r1 = map[id:64]
...

Tādējādi mēs varam secināt, ka mūsu iekrāvēja programmas palaišanas laikā saite uz &woo tika aizstāts ar kaut ko ar bibliotēku libbpf. Vispirms apskatīsim izvadi strace:

$ sudo strace -e bpf ./xdp-simple
...
bpf(BPF_MAP_CREATE, {map_type=BPF_MAP_TYPE_ARRAY, key_size=4, value_size=8, max_entries=8, map_name="woo", ...}, 120) = 4
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_XDP, prog_name="simple", ...}, 120) = 5

Mēs to redzam libbpf izveidoja karti woo un pēc tam lejupielādējām mūsu programmu simple. Sīkāk apskatīsim, kā mēs ielādējam programmu:

zvanu xdp_simple_bpf__open_and_load no faila xdp-simple.skel.h
kas izraisa xdp_simple_bpf__load no faila xdp-simple.skel.h
kas izraisa bpf_object__load_skeleton no faila libbpf/src/libbpf.c
kas izraisa bpf_object__load_xattr no libbpf/src/libbpf.c

Cita starpā tiks izsaukta pēdējā funkcija bpf_object__create_maps, kas izveido vai atver esošās kartes, pārvēršot tās par failu deskriptoriem. (Šeit mēs redzam BPF_MAP_CREATE izejā strace.) Tālāk tiek izsaukta funkcija bpf_object__relocate un tieši viņa mūs interesē, jo mēs atceramies redzēto woo pārvietošanas tabulā. Izpētot to, mēs galu galā atrodamies funkcijā bpf_program__relocate, kas nodarbojas ar karšu pārvietošanu:

case RELO_LD64:
    insn[0].src_reg = BPF_PSEUDO_MAP_FD;
    insn[0].imm = obj->maps[relo->map_idx].fd;
    break;

Tāpēc mēs ņemam vērā mūsu norādījumus

18 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 r1 = 0 ll

un aizstāt avota reģistru tajā ar BPF_PSEUDO_MAP_FD, un pirmais IMM mūsu kartes faila deskriptoram un, ja tas ir vienāds ar, piemēram, 0xdeadbeef, tad rezultātā saņemsim instrukciju

18 11 00 00 ef eb ad de 00 00 00 00 00 00 00 00 r1 = 0 ll

Tādā veidā kartes informācija tiek pārsūtīta uz konkrētu ielādētu BPF programmu. Šajā gadījumā karti var izveidot, izmantojot BPF_MAP_CREATEun atvērts ar ID, izmantojot BPF_MAP_GET_FD_BY_ID.

Kopā, lietojot libbpf algoritms ir šāds:

kompilācijas laikā pārvietošanas tabulā tiek izveidoti ieraksti saitēm uz kartēm
libbpf atver ELF objektu grāmatu, atrod visas izmantotās kartes un izveido tām failu deskriptorus
failu deskriptori tiek ielādēti kodolā kā daļa no instrukcijas LD64

Kā jūs varat iedomāties, priekšā ir vēl vairāk, un mums būs jāizpēta kodols. Par laimi, mums ir nojausma – esam pierakstījuši nozīmi BPF_PSEUDO_MAP_FD avota reģistrā un mēs varam to apglabāt, kas mūs aizvedīs uz visu svēto svēto vietu - kernel/bpf/verifier.c, kur funkcija ar atšķirīgu nosaukumu aizstāj faila deskriptoru ar tipa struktūras adresi struct bpf_map:

static int replace_map_fd_with_map_ptr(struct bpf_verifier_env *env) {
    ...

    f = fdget(insn[0].imm);
    map = __bpf_map_get(f);
    if (insn->src_reg == BPF_PSEUDO_MAP_FD) {
        addr = (unsigned long)map;
    }
    insn[0].imm = (u32)addr;
    insn[1].imm = addr >> 32;

(pilnu kodu var atrast по ссылке). Tātad mēs varam paplašināt savu algoritmu:

ielādējot programmu, verificētājs pārbauda pareizu kartes lietojumu un ieraksta attiecīgās struktūras adresi struct bpf_map

Lejupielādējot ELF bināro failu, izmantojot libbpf Notiek daudz vairāk, bet mēs to apspriedīsim citos rakstos.

Programmu un karšu ielāde bez libbpf

Kā solīts, šeit ir piemērs lasītājiem, kuri vēlas uzzināt, kā bez palīdzības izveidot un ielādēt programmu, kas izmanto kartes libbpf. Tas var būt noderīgi, ja strādājat vidē, kurā nevarat izveidot atkarības vai saglabājat katru bitu, vai rakstāt tādu programmu kā ply, kas lidojumā ģenerē BPF bināro kodu.

Lai būtu vieglāk ievērot loģiku, mēs šiem nolūkiem pārrakstīsim savu piemēru xdp-simple. Pilns un nedaudz paplašināts šajā piemērā aplūkotās programmas kods ir atrodams šajā būtība.

Mūsu lietojumprogrammas loģika ir šāda:

izveidot tipa karti BPF_MAP_TYPE_ARRAY izmantojot komandu BPF_MAP_CREATE,
izveidot programmu, kas izmanto šo karti,
savienojiet programmu ar interfeisu lo,

kas tulkojumā nozīmē cilvēku kā

int main(void)
{
    int map_fd, prog_fd;

    map_fd = map_create();
    if (map_fd < 0)
        err(1, "bpf: BPF_MAP_CREATE");

    prog_fd = prog_load(map_fd);
    if (prog_fd < 0)
        err(1, "bpf: BPF_PROG_LOAD");

    xdp_attach(1, prog_fd);
}

Šeit map_create izveido karti tādā pašā veidā, kā mēs to darījām pirmajā piemērā par sistēmas zvanu bpf - “kodolu, lūdzu, izveidojiet man jaunu karti 8 elementu masīva veidā, piemēram __u64 un atdodiet man faila deskriptoru":

static int map_create()
{
    union bpf_attr attr;

    memset(&attr, 0, sizeof(attr));
    attr.map_type = BPF_MAP_TYPE_ARRAY,
    attr.key_size = sizeof(__u32),
    attr.value_size = sizeof(__u64),
    attr.max_entries = 8,
    strncpy(attr.map_name, "woo", sizeof(attr.map_name));
    return syscall(__NR_bpf, BPF_MAP_CREATE, &attr, sizeof(attr));
}

Programmu ir arī viegli ielādēt:

static int prog_load(int map_fd)
{
    union bpf_attr attr;
    struct bpf_insn insns[] = {
        ...
    };

    memset(&attr, 0, sizeof(attr));
    attr.prog_type = BPF_PROG_TYPE_XDP;
    attr.insns     = ptr_to_u64(insns);
    attr.insn_cnt  = sizeof(insns)/sizeof(insns[0]);
    attr.license   = ptr_to_u64("GPL");
    strncpy(attr.prog_name, "woo", sizeof(attr.prog_name));
    return syscall(__NR_bpf, BPF_PROG_LOAD, &attr, sizeof(attr));
}

Sarežģītā daļa prog_load ir mūsu BPF programmas definīcija kā struktūru masīvs struct bpf_insn insns[]. Bet, tā kā mēs izmantojam programmu, kas mums ir C, mēs varam nedaudz krāpties:

$ llvm-objdump -D --section xdp/simple xdp-simple.bpf.o

0000000000000000 <simple>:
       0:       85 00 00 00 08 00 00 00 call 8
       1:       63 0a fc ff 00 00 00 00 *(u32 *)(r10 - 4) = r0
       2:       bf a2 00 00 00 00 00 00 r2 = r10
       3:       07 02 00 00 fc ff ff ff r2 += -4
       4:       18 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 r1 = 0 ll
       6:       85 00 00 00 01 00 00 00 call 1
       7:       b7 01 00 00 00 00 00 00 r1 = 0
       8:       15 00 04 00 00 00 00 00 if r0 == 0 goto +4 <LBB0_2>
       9:       61 01 00 00 00 00 00 00 r1 = *(u32 *)(r0 + 0)
      10:       07 01 00 00 01 00 00 00 r1 += 1
      11:       63 10 00 00 00 00 00 00 *(u32 *)(r0 + 0) = r1
      12:       b7 01 00 00 02 00 00 00 r1 = 2

0000000000000068 <LBB0_2>:
      13:       bf 10 00 00 00 00 00 00 r0 = r1
      14:       95 00 00 00 00 00 00 00 exit

Kopumā mums ir jāraksta 14 instrukcijas tādu struktūru veidā kā struct bpf_insn (padoms: paņemiet izgāztuvi no augšas, vēlreiz izlasiet instrukciju sadaļu, atveriet linux/bpf.h и linux/bpf_common.h un mēģināt noteikt struct bpf_insn insns[] viens pats):

struct bpf_insn insns[] = {
    /* 85 00 00 00 08 00 00 00 call 8 */
    {
        .code = BPF_JMP | BPF_CALL,
        .imm = 8,
    },

    /* 63 0a fc ff 00 00 00 00 *(u32 *)(r10 - 4) = r0 */
    {
        .code = BPF_MEM | BPF_STX,
        .off = -4,
        .src_reg = BPF_REG_0,
        .dst_reg = BPF_REG_10,
    },

    /* bf a2 00 00 00 00 00 00 r2 = r10 */
    {
        .code = BPF_ALU64 | BPF_MOV | BPF_X,
        .src_reg = BPF_REG_10,
        .dst_reg = BPF_REG_2,
    },

    /* 07 02 00 00 fc ff ff ff r2 += -4 */
    {
        .code = BPF_ALU64 | BPF_ADD | BPF_K,
        .dst_reg = BPF_REG_2,
        .imm = -4,
    },

    /* 18 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 r1 = 0 ll */
    {
        .code = BPF_LD | BPF_DW | BPF_IMM,
        .src_reg = BPF_PSEUDO_MAP_FD,
        .dst_reg = BPF_REG_1,
        .imm = map_fd,
    },
    { }, /* placeholder */

    /* 85 00 00 00 01 00 00 00 call 1 */
    {
        .code = BPF_JMP | BPF_CALL,
        .imm = 1,
    },

    /* b7 01 00 00 00 00 00 00 r1 = 0 */
    {
        .code = BPF_ALU64 | BPF_MOV | BPF_K,
        .dst_reg = BPF_REG_1,
        .imm = 0,
    },

    /* 15 00 04 00 00 00 00 00 if r0 == 0 goto +4 <LBB0_2> */
    {
        .code = BPF_JMP | BPF_JEQ | BPF_K,
        .off = 4,
        .src_reg = BPF_REG_0,
        .imm = 0,
    },

    /* 61 01 00 00 00 00 00 00 r1 = *(u32 *)(r0 + 0) */
    {
        .code = BPF_MEM | BPF_LDX,
        .off = 0,
        .src_reg = BPF_REG_0,
        .dst_reg = BPF_REG_1,
    },

    /* 07 01 00 00 01 00 00 00 r1 += 1 */
    {
        .code = BPF_ALU64 | BPF_ADD | BPF_K,
        .dst_reg = BPF_REG_1,
        .imm = 1,
    },

    /* 63 10 00 00 00 00 00 00 *(u32 *)(r0 + 0) = r1 */
    {
        .code = BPF_MEM | BPF_STX,
        .src_reg = BPF_REG_1,
        .dst_reg = BPF_REG_0,
    },

    /* b7 01 00 00 02 00 00 00 r1 = 2 */
    {
        .code = BPF_ALU64 | BPF_MOV | BPF_K,
        .dst_reg = BPF_REG_1,
        .imm = 2,
    },

    /* <LBB0_2>: bf 10 00 00 00 00 00 00 r0 = r1 */
    {
        .code = BPF_ALU64 | BPF_MOV | BPF_X,
        .src_reg = BPF_REG_1,
        .dst_reg = BPF_REG_0,
    },

    /* 95 00 00 00 00 00 00 00 exit */
    {
        .code = BPF_JMP | BPF_EXIT
    },
};

Vingrinājums tiem, kuri paši to nav rakstījuši - atrodiet map_fd.

Mūsu programmā ir palikusi vēl viena neatklāta daļa - xdp_attach. Diemžēl tādas programmas kā XDP nevar savienot, izmantojot sistēmas zvanu bpf. Cilvēki, kas izveidoja BPF un XDP, bija no tiešsaistes Linux kopienas, kas nozīmē, ka viņi izmantoja sev vispazīstamāko (bet ne normāli cilvēki) saskarne mijiedarbībai ar kodolu: netlink ligzdas, Skatīt arī RFC3549. Vienkāršākais īstenošanas veids xdp_attach kopē kodu no libbpf, proti, no faila netlink.c, ko mēs arī izdarījām, nedaudz saīsinot:

Laipni lūdzam netlink ligzdu pasaulē

Atveriet tīkla saites ligzdas veidu NETLINK_ROUTE:

int netlink_open(__u32 *nl_pid)
{
    struct sockaddr_nl sa;
    socklen_t addrlen;
    int one = 1, ret;
    int sock;

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;

    sock = socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE);
    if (sock < 0)
        err(1, "socket");

    if (setsockopt(sock, SOL_NETLINK, NETLINK_EXT_ACK, &one, sizeof(one)) < 0)
        warnx("netlink error reporting not supported");

    if (bind(sock, (struct sockaddr *)&sa, sizeof(sa)) < 0)
        err(1, "bind");

    addrlen = sizeof(sa);
    if (getsockname(sock, (struct sockaddr *)&sa, &addrlen) < 0)
        err(1, "getsockname");

    *nl_pid = sa.nl_pid;
    return sock;
}

Mēs lasām no šīs ligzdas:

static int bpf_netlink_recv(int sock, __u32 nl_pid, int seq)
{
    bool multipart = true;
    struct nlmsgerr *errm;
    struct nlmsghdr *nh;
    char buf[4096];
    int len, ret;

    while (multipart) {
        multipart = false;
        len = recv(sock, buf, sizeof(buf), 0);
        if (len < 0)
            err(1, "recv");

        if (len == 0)
            break;

        for (nh = (struct nlmsghdr *)buf; NLMSG_OK(nh, len);
                nh = NLMSG_NEXT(nh, len)) {
            if (nh->nlmsg_pid != nl_pid)
                errx(1, "wrong pid");
            if (nh->nlmsg_seq != seq)
                errx(1, "INVSEQ");
            if (nh->nlmsg_flags & NLM_F_MULTI)
                multipart = true;
            switch (nh->nlmsg_type) {
                case NLMSG_ERROR:
                    errm = (struct nlmsgerr *)NLMSG_DATA(nh);
                    if (!errm->error)
                        continue;
                    ret = errm->error;
                    // libbpf_nla_dump_errormsg(nh); too many code to copy...
                    goto done;
                case NLMSG_DONE:
                    return 0;
                default:
                    break;
            }
        }
    }
    ret = 0;
done:
    return ret;
}

Visbeidzot, šeit ir mūsu funkcija, kas atver ligzdu un nosūta tai īpašu ziņojumu, kurā ir faila deskriptors:

static int xdp_attach(int ifindex, int prog_fd)
{
    int sock, seq = 0, ret;
    struct nlattr *nla, *nla_xdp;
    struct {
        struct nlmsghdr  nh;
        struct ifinfomsg ifinfo;
        char             attrbuf[64];
    } req;
    __u32 nl_pid = 0;

    sock = netlink_open(&nl_pid);
    if (sock < 0)
        return sock;

    memset(&req, 0, sizeof(req));
    req.nh.nlmsg_len = NLMSG_LENGTH(sizeof(struct ifinfomsg));
    req.nh.nlmsg_flags = NLM_F_REQUEST | NLM_F_ACK;
    req.nh.nlmsg_type = RTM_SETLINK;
    req.nh.nlmsg_pid = 0;
    req.nh.nlmsg_seq = ++seq;
    req.ifinfo.ifi_family = AF_UNSPEC;
    req.ifinfo.ifi_index = ifindex;

    /* started nested attribute for XDP */
    nla = (struct nlattr *)(((char *)&req)
            + NLMSG_ALIGN(req.nh.nlmsg_len));
    nla->nla_type = NLA_F_NESTED | IFLA_XDP;
    nla->nla_len = NLA_HDRLEN;

    /* add XDP fd */
    nla_xdp = (struct nlattr *)((char *)nla + nla->nla_len);
    nla_xdp->nla_type = IFLA_XDP_FD;
    nla_xdp->nla_len = NLA_HDRLEN + sizeof(int);
    memcpy((char *)nla_xdp + NLA_HDRLEN, &prog_fd, sizeof(prog_fd));
    nla->nla_len += nla_xdp->nla_len;

    /* if user passed in any flags, add those too */
    __u32 flags = XDP_FLAGS_SKB_MODE;
    nla_xdp = (struct nlattr *)((char *)nla + nla->nla_len);
    nla_xdp->nla_type = IFLA_XDP_FLAGS;
    nla_xdp->nla_len = NLA_HDRLEN + sizeof(flags);
    memcpy((char *)nla_xdp + NLA_HDRLEN, &flags, sizeof(flags));
    nla->nla_len += nla_xdp->nla_len;

    req.nh.nlmsg_len += NLA_ALIGN(nla->nla_len);

    if (send(sock, &req, req.nh.nlmsg_len, 0) < 0)
        err(1, "send");
    ret = bpf_netlink_recv(sock, nl_pid, seq);

cleanup:
    close(sock);
    return ret;
}

Tātad, viss ir gatavs pārbaudei:

$ cc nolibbpf.c -o nolibbpf
$ sudo strace -e bpf ./nolibbpf
bpf(BPF_MAP_CREATE, {map_type=BPF_MAP_TYPE_ARRAY, map_name="woo", ...}, 72) = 3
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_XDP, insn_cnt=15, prog_name="woo", ...}, 72) = 4
+++ exited with 0 +++

Apskatīsim, vai mūsu programma ir savienota ar lo:

$ ip l show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 xdpgeneric qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    prog/xdp id 160

Sūtīsim pingus un skatīsimies kartē:

$ for s in `seq 234`; do sudo ping -f -c 100 127.0.0.1 >/dev/null 2>&1; done
$ sudo bpftool m dump name woo
key: 00 00 00 00  value: 90 01 00 00 00 00 00 00
key: 01 00 00 00  value: 00 00 00 00 00 00 00 00
key: 02 00 00 00  value: 00 00 00 00 00 00 00 00
key: 03 00 00 00  value: 00 00 00 00 00 00 00 00
key: 04 00 00 00  value: 00 00 00 00 00 00 00 00
key: 05 00 00 00  value: 00 00 00 00 00 00 00 00
key: 06 00 00 00  value: 40 b5 00 00 00 00 00 00
key: 07 00 00 00  value: 00 00 00 00 00 00 00 00
Found 8 elements

Urā, viss darbojas. Starp citu, ņemiet vērā, ka mūsu karte atkal tiek parādīta baitu veidā. Tas ir saistīts ar faktu, ka atšķirībā no libbpf mēs neielādējām tipa informāciju (BTF). Bet par to vairāk parunāsim nākamreiz.

Izstrādes rīki

Šajā sadaļā mēs apskatīsim minimālo BPF izstrādātāja rīku komplektu.

Vispārīgi runājot, jums nav nepieciešams nekas īpašs, lai izstrādātu BPF programmas — BPF darbojas uz jebkura pienācīga izplatīšanas kodola, un programmas tiek veidotas, izmantojot clang, ko var piegādāt no iepakojuma. Taču sakarā ar to, ka BPF ir izstrādes stadijā, kodols un rīki nemitīgi mainās, ja nevēlaties rakstīt BPF programmas ar vecmodīgām metodēm no 2019. gada, tad nāksies kompilēt

llvm/clang
pahole
tās kodols
bpftool

(Uzziņai šī sadaļa un visi rakstā minētie piemēri tika palaisti Debian 10.)

llvm/clang

BPF ir draudzīgs ar LLVM un, lai gan pēdējā laikā BPF programmas var kompilēt, izmantojot gcc, visa pašreizējā izstrāde tiek veikta LLVM. Tāpēc, pirmkārt, mēs veidosim pašreizējo versiju clang no git:

$ sudo apt install ninja-build
$ git clone --depth 1 https://github.com/llvm/llvm-project.git
$ mkdir -p llvm-project/llvm/build/install
$ cd llvm-project/llvm/build
$ cmake .. -G "Ninja" -DLLVM_TARGETS_TO_BUILD="BPF;X86" 
                      -DLLVM_ENABLE_PROJECTS="clang" 
                      -DBUILD_SHARED_LIBS=OFF 
                      -DCMAKE_BUILD_TYPE=Release 
                      -DLLVM_BUILD_RUNTIME=OFF
$ time ninja
... много времени спустя
$

Tagad mēs varam pārbaudīt, vai viss sanāca pareizi:

$ ./bin/llc --version
LLVM (http://llvm.org/):
  LLVM version 11.0.0git
  Optimized build.
  Default target: x86_64-unknown-linux-gnu
  Host CPU: znver1

  Registered Targets:
    bpf    - BPF (host endian)
    bpfeb  - BPF (big endian)
    bpfel  - BPF (little endian)
    x86    - 32-bit X86: Pentium-Pro and above
    x86-64 - 64-bit X86: EM64T and AMD64

(Montāžas instrukcijas clang es paņēmu no bpf_devel_QA.)

Mēs neinstalēsim tikko izveidotās programmas, bet vienkārši pievienosim tām PATH, piemēram:

export PATH="`pwd`/bin:$PATH"

(To var pievienot .bashrc vai uz atsevišķu failu. Personīgi es pievienoju šādas lietas ~/bin/activate-llvm.sh un kad vajag, es to daru . activate-llvm.sh.)

Pahole un BTF

Lietderība pahole izmanto, veidojot kodolu, lai izveidotu atkļūdošanas informāciju BTF formātā. Šajā rakstā mēs nerunāsim par BTF tehnoloģijas detaļām, izņemot to, ka tā ir ērta un mēs vēlamies to izmantot. Tātad, ja jūs gatavojaties izveidot savu kodolu, vispirms izveidojiet pahole (bez pahole jūs nevarēsit izveidot kodolu ar opciju CONFIG_DEBUG_INFO_BTF:

$ git clone https://git.kernel.org/pub/scm/devel/pahole/pahole.git
$ cd pahole/
$ sudo apt install cmake
$ mkdir build
$ cd build/
$ cmake -D__LIB=lib ..
$ make
$ sudo make install
$ which pahole
/usr/local/bin/pahole

Kodoli eksperimentiem ar BPF

Izpētot BPF iespējas, es vēlos samontēt savu kodolu. Vispārīgi runājot, tas nav nepieciešams, jo jūs varēsiet kompilēt un ielādēt BPF programmas izplatīšanas kodolā, taču, ja jums ir savs kodols, varat izmantot jaunākās BPF funkcijas, kas labākajā gadījumā parādīsies jūsu izplatīšanā pēc mēnešiem. , vai, tāpat kā dažu atkļūdošanas rīku gadījumā, pārskatāmā nākotnē netiks iepakoti vispār. Turklāt tā kodols liek justies svarīgiem eksperimentēt ar kodu.

Lai izveidotu kodolu, jums ir nepieciešams, pirmkārt, pats kodols un, otrkārt, kodola konfigurācijas fails. Lai eksperimentētu ar BPF, mēs varam izmantot parasto vaniļa kodolu vai kādu no izstrādes kodoliem. Vēsturiski BPF izstrāde notiek Linux tīklu kopienā, un tāpēc visas izmaiņas agrāk vai vēlāk notiek ar Deivida Millera, Linux tīkla uzturētāja, starpniecību. Atkarībā no to rakstura — labojumi vai jaunas funkcijas — tīkla izmaiņas ietilpst vienā no diviem kodoliem. net vai net-next. BPF izmaiņas tiek sadalītas tādā pašā veidā starp bpf и bpf-next, kas pēc tam tiek apvienoti attiecīgi neto un neto-next. Sīkāku informāciju skatiet bpf_devel_QA и netdev-FAQ. Tāpēc izvēlieties kodolu, pamatojoties uz savu gaumi un testējamās sistēmas stabilitātes vajadzībām (*-next kodoli ir nestabilākie no uzskaitītajiem).

Šis raksts neietilpst runāt par kodola konfigurācijas failu pārvaldību — tiek pieņemts, ka jūs jau zināt, kā to izdarīt, vai gatavs mācīties paša spēkiem. Tomēr ar šiem norādījumiem vajadzētu būt vairāk vai mazāk pietiekamiem, lai nodrošinātu funkcionējošu sistēmu ar iespējotu BPF.

Lejupielādējiet vienu no iepriekš minētajiem kodoliem:

$ git clone git://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git
$ cd bpf-next

Izveidojiet minimālu strādājošu kodola konfigurāciju:

$ cp /boot/config-`uname -r` .config
$ make localmodconfig

Iespējot failā BPF opcijas .config pēc jūsu izvēles (visticamāk CONFIG_BPF jau būs iespējots, jo systemd to izmanto). Šeit ir šajā rakstā izmantotā kodola opciju saraksts:

CONFIG_CGROUP_BPF=y
CONFIG_BPF=y
CONFIG_BPF_LSM=y
CONFIG_BPF_SYSCALL=y
CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
CONFIG_BPF_JIT_ALWAYS_ON=y
CONFIG_BPF_JIT_DEFAULT_ON=y
CONFIG_IPV6_SEG6_BPF=y
# CONFIG_NETFILTER_XT_MATCH_BPF is not set
# CONFIG_BPFILTER is not set
CONFIG_NET_CLS_BPF=y
CONFIG_NET_ACT_BPF=y
CONFIG_BPF_JIT=y
CONFIG_BPF_STREAM_PARSER=y
CONFIG_LWTUNNEL_BPF=y
CONFIG_HAVE_EBPF_JIT=y
CONFIG_BPF_EVENTS=y
CONFIG_BPF_KPROBE_OVERRIDE=y
CONFIG_DEBUG_INFO_BTF=y

Pēc tam mēs varam viegli salikt un instalēt moduļus un kodolu (starp citu, jūs varat salikt kodolu, izmantojot tikko salikto clangpievienojot CC=clang):

$ make -s -j $(getconf _NPROCESSORS_ONLN)
$ sudo make modules_install
$ sudo make install

un restartējiet ar jauno kodolu (es izmantoju šim nolūkam kexec no iepakojuma kexec-tools):

v=5.8.0-rc6+ # если вы пересобираете текущее ядро, то можно делать v=`uname -r`
sudo kexec -l -t bzImage /boot/vmlinuz-$v --initrd=/boot/initrd.img-$v --reuse-cmdline &&
sudo kexec -e

bpftool

Rakstā visbiežāk izmantotā utilīta būs lietderība bpftool, kas tiek piegādāts kā daļa no Linux kodola. To ir rakstījuši un uzturējuši BPF izstrādātāji BPF izstrādātājiem, un to var izmantot visu veidu BPF objektu pārvaldīšanai – programmu ielādei, karšu izveidei un rediģēšanai, BPF ekosistēmas dzīves izpētei utt. Var atrast dokumentāciju rokasgrāmatu avota kodu veidā kodolā vai jau apkopots, tīklā.

Šīs rakstīšanas laikā bpftool ir gatavs tikai RHEL, Fedora un Ubuntu (skatiet, piemēram, šis pavediens, kas stāsta par nepabeigto iepakojuma stāstu bpftool programmā Debian). Bet, ja jau esat izveidojis savu kodolu, tad izveidojiet bpftool tik vienkārši kā pīrāgs:

$ cd ${linux}/tools/bpf/bpftool
# ... пропишите пути к последнему clang, как рассказано выше
$ make -s

Auto-detecting system features:
...                        libbfd: [ on  ]
...        disassembler-four-args: [ on  ]
...                          zlib: [ on  ]
...                        libcap: [ on  ]
...               clang-bpf-co-re: [ on  ]

Auto-detecting system features:
...                        libelf: [ on  ]
...                          zlib: [ on  ]
...                           bpf: [ on  ]

$

(šeit ${linux} - tas ir jūsu kodola direktorijs.) Pēc šo komandu izpildes bpftool tiks apkopoti direktorijā ${linux}/tools/bpf/bpftool un to var pievienot ceļam (vispirms lietotājam root) vai vienkārši kopējiet uz /usr/local/sbin.

Savākt bpftool vislabāk ir izmantot pēdējo clang, samontēts, kā aprakstīts iepriekš, un pārbaudiet, vai tas ir pareizi salikts - izmantojot, piemēram, komandu

$ sudo bpftool feature probe kernel
Scanning system configuration...
bpf() syscall for unprivileged users is enabled
JIT compiler is enabled
JIT compiler hardening is disabled
JIT compiler kallsyms exports are enabled for root
...

kas parādīs, kuras BPF funkcijas ir iespējotas jūsu kodolā.

Starp citu, iepriekšējo komandu var palaist kā

# bpftool f p k

Tas tiek darīts pēc analoģijas ar komunālajiem pakalpojumiem no iepakojuma iproute2, kur mēs varam, piemēram, teikt ip a s eth0 nevis ip addr show dev eth0.

Secinājums

BPF ļauj jums apavu blusu, lai efektīvi izmērītu un lidojuma laikā mainītu kodola funkcionalitāti. Sistēma izrādījās ļoti veiksmīga atbilstoši labākajām UNIX tradīcijām: vienkāršs mehānisms, kas ļauj (pār)programmēt kodolu, ļāva eksperimentēt ļoti daudziem cilvēkiem un organizācijām. Un, lai gan eksperimenti, kā arī pašas BPF infrastruktūras attīstība vēl nebūt nav pabeigta, sistēmai jau ir stabils ABI, kas ļauj izveidot uzticamu un, pats galvenais, efektīvu biznesa loģiku.

Es vēlos atzīmēt, ka, manuprāt, tehnoloģija ir kļuvusi tik populāra, jo, no vienas puses, tā var spēlēt (mašīnas arhitektūru var saprast vairāk vai mazāk vienā vakarā), un no otras puses, lai atrisinātu problēmas, kuras nevarēja atrisināt (skaisti) pirms tās parādīšanās. Šīs divas sastāvdaļas kopā liek cilvēkiem eksperimentēt un sapņot, kas noved pie arvien inovatīvāku risinājumu rašanās.

Šis raksts, lai gan tas nav īpaši īss, ir tikai ievads BPF pasaulē un neapraksta “uzlabotas” funkcijas un svarīgas arhitektūras daļas. Turpmākais plāns ir apmēram šāds: nākamais raksts būs BPF programmu veidu pārskats (5.8 kodolā tiek atbalstīti 30 programmu veidi), tad beidzot apskatīsim, kā rakstīt īstas BPF lietojumprogrammas, izmantojot kodola izsekošanas programmas. Piemēram, ir pienācis laiks padziļinātam kursam par BPF arhitektūru, kam seko BPF tīklu un drošības lietojumprogrammu piemēri.

Iepriekšējie raksti šajā sērijā

BPF mazajiem, nulles daļa: klasiskais BPF

Saites

BPF un XDP uzziņu rokasgrāmata — dokumentācija par BPF no cilium vai precīzāk no Daniela Borkmana, viena no BPF radītājiem un uzturētājiem. Šis ir viens no pirmajiem nopietnajiem aprakstiem, kas no pārējiem atšķiras ar to, ka Daniels precīzi zina par ko raksta un tur nav nekādu kļūdu. Jo īpaši šajā dokumentā ir aprakstīts, kā strādāt ar XDP un TC tipa BPF programmām, izmantojot labi zināmo utilītu. ip no iepakojuma iproute2.
Dokumentācija/tīkls/filter.txt — oriģinālais fails ar dokumentāciju klasiskajam un pēc tam paplašinātajam BPF. Laba lasāmviela, ja vēlaties iedziļināties montāžas valodā un tehniskajās arhitektūras detaļās.
Emuārs par BPF no Facebook. Tas tiek atjaunināts reti, bet trāpīgi, kā tur raksta Aleksejs Starovoitovs (eBPF autors) un Andrii Nakryiko - (apkopējs) libbpf).
Bpftool noslēpumi. Izklaidējošs Twitter pavediens no Quentin Monnet ar bpftool izmantošanas piemēriem un noslēpumiem.
Iedziļinieties BPF: lasāmvielu sarakstā. Milzīgs (un joprojām uzturēts) saišu saraksts uz BPF dokumentāciju no Quentin Monnet.

Avots: www.habr.com

BPF mazajiem, pirmā daļa: pagarināts BPF