Īss ievads par BPF un eBPF

Sveiks, Habr! Vēlamies jūs informēt, ka gatavojam grāmatu izdošanai."Linux novērojamība ar BPF".

Tā kā BPF virtuālā mašīna turpina attīstīties un tiek aktīvi izmantota praksē, mēs esam iztulkojuši jums rakstu, kurā aprakstītas tās galvenās iespējas un pašreizējais stāvoklis.

Pēdējos gados programmēšanas rīki un metodes ir kļuvušas arvien populārākas, lai kompensētu Linux kodola ierobežojumus gadījumos, kad nepieciešama augstas veiktspējas pakešu apstrāde. Viens no populārākajiem šāda veida paņēmieniem tiek saukts kodola apiešana (kodola apiešana) un ļauj, apejot kodola tīkla slāni, veikt visu pakešu apstrādi no lietotāja vietas. Kodola apiešana ietver arī tīkla kartes kontroli no lietotāja telpa. Citiem vārdiem sakot, strādājot ar tīkla karti, mēs paļaujamies uz draiveri lietotāja telpa.

Nododot pilnu tīkla kartes vadību uz lietotāja telpas programmu, mēs samazinām kodola papildu izmaksas (konteksta pārslēgšana, tīkla slāņa apstrāde, pārtraukumi utt.), kas ir diezgan svarīgi, ja darbojas ar ātrumu 10Gb/s vai lielāku. Kodola apiešana un citu funkciju kombinācija (partijas apstrāde) un rūpīga veiktspējas regulēšana (NUMA grāmatvedība, CPU izolācijauc) atbilst augstas veiktspējas tīkla apstrādes pamatiem lietotāju telpā. Varbūt šīs jaunās pieejas pakešu apstrādei piemērs ir DPDK no Intel (Datu plaknes izstrādes komplekts), lai gan ir arī citi labi zināmi rīki un paņēmieni, tostarp Cisco VPP (Vector Packet Processing), Netmap un, protams, Snabb.

Tīkla mijiedarbības organizēšanai lietotāja telpā ir vairāki trūkumi:

• OS kodols ir aparatūras resursu abstrakcijas slānis. Tā kā lietotāju kosmosa programmām ir tieši jāpārvalda savi resursi, tām ir arī jāpārvalda sava aparatūra. Tas bieži nozīmē, ka pašiem ir jāprogrammē draiveri.
• Tā kā mēs pilnībā atsakāmies no kodola vietas, mēs atsakāmies arī no visas kodola nodrošinātās tīkla funkcionalitātes. Lietotāja vietas programmām atkārtoti jāievieš funkcijas, kuras jau var nodrošināt kodols vai operētājsistēma.
• Programmas darbojas smilškastes režīmā, kas nopietni ierobežo to mijiedarbību un neļauj tām integrēties ar citām operētājsistēmas daļām.

Būtībā, veidojot tīklu lietotāju telpā, veiktspējas pieaugums tiek sasniegts, pārvietojot pakešu apstrādi no kodola uz lietotāja telpu. XDP rīkojas tieši pretēji: tas pārvieto tīkla programmas no lietotāja vietas (filtri, atrisinātāji, maršrutēšana utt.) kodola telpā. XDP ļauj mums veikt tīkla funkciju, tiklīdz pakete nonāk tīkla saskarnē un pirms tā sāk pārvietoties uz kodola tīkla apakšsistēmu. Rezultātā pakešu apstrādes ātrums ievērojami palielinās. Tomēr kā kodols ļauj lietotājam izpildīt savas programmas kodola telpā? Pirms atbildes uz šo jautājumu, apskatīsim, kas ir BPF.

BPF un eBPF

Neskatoties uz mulsinošo nosaukumu, BPF (Berkeley Packet Filtering) patiesībā ir virtuālās mašīnas modelis. Šī virtuālā mašīna sākotnēji tika izstrādāta, lai apstrādātu pakešu filtrēšanu, tāpēc arī nosaukums.

Viens no slavenākajiem rīkiem, kas izmanto BPF, ir tcpdump. Tverot paketes, izmantojot tcpdump lietotājs var norādīt izteiksmi pakešu filtrēšanai. Tiks tvertas tikai paketes, kas atbilst šai izteiksmei. Piemēram, izteiciens "tcp dst port 80” attiecas uz visām TCP paketēm, kas nonāk portā 80. Kompilators var saīsināt šo izteiksmi, pārvēršot to BPF baitkodā.

$ sudo tcpdump -d "tcp dst port 80"
(000) ldh [12] (001) jeq #0x86dd jt 2 jf 6
(002) ldb [20] (003) jeq #0x6 jt 4 jf 15
(004) ldh [56] (005) jeq #0x50 jt 14 jf 15
(006) jeq #0x800 jt 7 jf 15
(007) ldb [23] (008) jeq #0x6 jt 9 jf 15
(009) ldh [20] (010) jset #0x1fff jt 15 jf 11
(011) ldxb 4*([14]&0xf)
(012) ldh [x + 16] (013) jeq #0x50 jt 14 jf 15
(014) ret #262144
(015) ret #0

Iepriekš minētā programma pamatā dara to:

• Instrukcija (000): ielādē paketi 12. nobīdē kā 16 bitu vārdu akumulatorā. Nobīde 12 atbilst paketes ētertipam.
• Instrukcija (001): salīdzina vērtību akumulatorā ar 0x86dd, tas ir, ar ētera tipa vērtību IPv6. Ja rezultāts ir patiess, programmas skaitītājs pāriet uz instrukciju (002), un, ja nē, tad uz (006).
• Instrukcija (006): salīdzina vērtību ar 0x800 (ethertype vērtība IPv4). Ja atbilde ir patiesa, programma pāriet uz (007), ja nē, tad uz (015).

Un tā tālāk, līdz pakešu filtrēšanas programma atgriež rezultātu. Tas parasti ir Būla vērtība. Vērtības, kas nav nulle, atgriešana (instrukcija (014)) nozīmē, ka pakete tika pieņemta, un nulles vērtības atgriešana (instrukcija (015)) nozīmē, ka pakete netika pieņemta.

BPF virtuālo mašīnu un tās baitu kodu ierosināja Stīvs Makkans un Van Džeikobsons 1992. gada beigās, kad tika publicēts viņu raksts. BSD pakešu filtrs: jauna arhitektūra lietotāja līmeņa pakešu tveršanai, šī tehnoloģija pirmo reizi tika prezentēta Usenix konferencē 1993. gada ziemā.

Tā kā BPF ir virtuāla mašīna, tā nosaka vidi, kurā darbojas programmas. Papildus baitkodam tas definē arī pakešatmiņas modeli (slodzes instrukcijas tiek netieši lietotas partijai), reģistrus (A un X; akumulatoru un indeksu reģistri), scratch atmiņas krātuvi un netiešo programmu skaitītāju. Interesanti, ka BPF baitu kods tika veidots pēc Motorola 6502 ISA. Kā Stīvs Makkans atgādināja savā plenārsēdes ziņojums Sharkfest '11 viņš bija iepazinies ar build 6502 no vidusskolas laika programmēšanas uz Apple II, un šīs zināšanas ietekmēja viņa darbu, izstrādājot BPF baitu kodu.

BPF atbalsts ir ieviests Linux kodolā versijās v2.5 un jaunākās versijās, ko galvenokārt pievienoja Džeja Šullista pūles. BPF kods palika nemainīgs līdz 2011. gadam, kad Ēriks Dumasets pārveidoja BPF tulku, lai tas darbotos JIT režīmā (avots: JIT pakešu filtriem). Pēc tam kodols tā vietā, lai interpretētu BPF baitu kodu, varētu tieši konvertēt BPF programmas uz mērķa arhitektūru: x86, ARM, MIPS utt.

Vēlāk, 2014. gadā, Aleksejs Starovoitovs ierosināja jaunu BPF JIT mehānismu. Faktiski šī jaunā JIT kļuva par jaunu uz BPF balstītu arhitektūru, un to sauca par eBPF. Es domāju, ka abas virtuālās mašīnas kādu laiku pastāvēja līdzās, bet šobrīd pakešu filtrēšana tiek ieviesta, pamatojoties uz eBPF. Faktiski daudzos mūsdienu dokumentācijas piemēros BPF tiek saprasts kā eBPF, un klasiskais BPF mūsdienās ir pazīstams kā cBPF.

eBPF paplašina klasisko BPF virtuālo mašīnu vairākos veidos:

• Balstīts uz modernām 64 bitu arhitektūrām. eBPF izmanto 64 bitu reģistrus un palielina pieejamo reģistru skaitu no 2 (akumulators un X) līdz 10. eBPF nodrošina arī papildu operācijas kodus (BPF_MOV, BPF_JNE, BPF_CALL...).
• Atdalīts no tīkla slāņa apakšsistēmas. BPF bija saistīts ar partijas datu modeli. Tā kā tas tika izmantots pakešu filtrēšanai, tā kods atradās apakšsistēmā, kas nodrošina tīkla sakarus. Tomēr eBPF virtuālā mašīna vairs nav saistīta ar datu modeli un to var izmantot jebkuram mērķim. Tātad, tagad eBPF programmu var savienot ar tracepoint vai kprobe. Tas paver ceļu uz eBPF instrumentiem, veiktspējas analīzi un daudziem citiem lietošanas gadījumiem citu kodola apakšsistēmu kontekstā. Tagad eBPF kods atrodas savā ceļā: kodols/bpf.
• Globālie datu veikali, ko sauc par Maps. Kartes ir atslēgu vērtību krātuves, kas nodrošina datu apmaiņu starp lietotāja vietu un kodola vietu. eBPF nodrošina vairāku veidu kartes.
• Sekundārās funkcijas. Jo īpaši, lai pārrakstītu paketi, aprēķinātu kontrolsummu vai klonētu paketi. Šīs funkcijas darbojas kodolā un nav lietotāja telpas programmas. Varat arī veikt sistēmas zvanus no eBPF programmām.
• Beigt zvanus. Programmas lielums eBPF ir ierobežots līdz 4096 baitiem. Astes izsaukuma funkcija ļauj eBPF programmai pārsūtīt vadību uz jaunu eBPF programmu un tādējādi apiet šo ierobežojumu (šādā veidā var saistīt līdz 32 programmām).

eBPF: piemērs

Linux kodola avotos ir vairāki eBPF piemēri. Tie ir pieejami paraugi/bpf/. Lai apkopotu šos piemērus, vienkārši ievadiet:

$ sudo make samples/bpf/

Pats nerakstīšu jaunu piemēru priekš eBPF, bet izmantošu kādu no samples/bpf/ pieejamajiem paraugiem. Es apskatīšu dažas koda daļas un paskaidrošu, kā tas darbojas. Kā piemēru es izvēlējos programmu tracex4.

Kopumā katrs no paraugiem/bpf/ esošajiem piemēriem sastāv no diviem failiem. Šajā gadījumā:

• tracex4_kern.c, satur avota kodu, kas jāizpilda kodolā kā eBPF baitkods.
• tracex4_user.c, satur programmu no lietotāja vietas.

Šajā gadījumā mums ir jāapkopo tracex4_kern.c uz eBPF baitkodu. Pašlaik atrodas gcc eBPF nav aizmugures. Par laimi, clang var izvadīt eBPF baitkodu. Makefile izmanto clang apkopošanai tracex4_kern.c uz objekta failu.

Iepriekš minēju, ka viena no interesantākajām eBPF funkcijām ir kartes. tracex4_kern definē vienu karti:

struct pair {
    u64 val;
    u64 ip;
};  

struct bpf_map_def SEC("maps") my_map = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(long),
    .value_size = sizeof(struct pair),
    .max_entries = 1000000,
};

BPF_MAP_TYPE_HASH ir viens no daudzajiem eBPF piedāvāto karšu veidiem. Šajā gadījumā tas ir tikai hash. Jūs, iespējams, pamanījāt arī sludinājumu SEC("maps"). SEC ir makro, ko izmanto, lai izveidotu jaunu binārā faila sadaļu. Patiesībā piemērā tracex4_kern ir noteiktas vēl divas sadaļas:

SEC("kprobe/kmem_cache_free")
int bpf_prog1(struct pt_regs *ctx)
{   
    long ptr = PT_REGS_PARM2(ctx);

    bpf_map_delete_elem(&my_map, &ptr); 
    return 0;
}
    
SEC("kretprobe/kmem_cache_alloc_node") 
int bpf_prog2(struct pt_regs *ctx)
{
    long ptr = PT_REGS_RC(ctx);
    long ip = 0;

    // получаем ip-адрес вызывающей стороны kmem_cache_alloc_node() 
    BPF_KRETPROBE_READ_RET_IP(ip, ctx);

    struct pair v = {
        .val = bpf_ktime_get_ns(),
        .ip = ip,
    };
    
    bpf_map_update_elem(&my_map, &ptr, &v, BPF_ANY);
    return 0;
}   

Šīs divas funkcijas ļauj izdzēst ierakstu no kartes (kprobe/kmem_cache_free) un pievienojiet kartei jaunu ierakstu (kretprobe/kmem_cache_alloc_node). Visi funkciju nosaukumi, kas rakstīti ar lielajiem burtiem, atbilst makro definētajiem bpf_helpers.h.

Ja es izmetu objekta faila sadaļas, man vajadzētu redzēt, ka šīs jaunās sadaļas jau ir definētas:

$ objdump -h tracex4_kern.o

tracex4_kern.o: file format elf64-little

Sections:
Idx Name Size VMA LMA File off Algn
0 .text 00000000 0000000000000000 0000000000000000 00000040 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
1 kprobe/kmem_cache_free 00000048 0000000000000000 0000000000000000 00000040 2**3
CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
2 kretprobe/kmem_cache_alloc_node 000000c0 0000000000000000 0000000000000000 00000088 2**3
CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
3 maps 0000001c 0000000000000000 0000000000000000 00000148 2**2
CONTENTS, ALLOC, LOAD, DATA
4 license 00000004 0000000000000000 0000000000000000 00000164 2**0
CONTENTS, ALLOC, LOAD, DATA
5 version 00000004 0000000000000000 0000000000000000 00000168 2**2
CONTENTS, ALLOC, LOAD, DATA
6 .eh_frame 00000050 0000000000000000 0000000000000000 00000170 2**3
CONTENTS, ALLOC, LOAD, RELOC, READONLY, DATA

Ir arī tracex4_user.c, galvenā programma. Būtībā šī programma klausās notikumus kmem_cache_alloc_node. Kad notiek šāds notikums, tiek izpildīts atbilstošais eBPF kods. Kods saglabā objekta IP atribūtu kartē, un pēc tam objekts tiek cilpas caur galveno programmu. Piemērs:

$ sudo ./tracex4
obj 0xffff8d6430f60a00 is 2sec old was allocated at ip ffffffff9891ad90
obj 0xffff8d6062ca5e00 is 23sec old was allocated at ip ffffffff98090e8f
obj 0xffff8d5f80161780 is 6sec old was allocated at ip ffffffff98090e8f

Kā lietotāja kosmosa programma un eBPF programma ir saistītas? Par inicializāciju tracex4_user.c ielādē objekta failu tracex4_kern.o izmantojot funkciju load_bpf_file.

int main(int ac, char **argv)
{
    struct rlimit r = {RLIM_INFINITY, RLIM_INFINITY};
    char filename[256];
    int i;

    snprintf(filename, sizeof(filename), "%s_kern.o", argv[0]);

    if (setrlimit(RLIMIT_MEMLOCK, &r)) {
        perror("setrlimit(RLIMIT_MEMLOCK, RLIM_INFINITY)");
        return 1;
    }

    if (load_bpf_file(filename)) {
        printf("%s", bpf_log_buf);
        return 1;
    }

    for (i = 0; ; i++) {
        print_old_objects(map_fd[1]);
        sleep(1);
    }

    return 0;
}

Darot load_bpf_file eBPF failā definētās zondes tiek pievienotas /sys/kernel/debug/tracing/kprobe_events. Tagad mēs klausāmies šos notikumus, un mūsu programma var kaut ko darīt, kad tie notiek.

$ sudo cat /sys/kernel/debug/tracing/kprobe_events
p:kprobes/kmem_cache_free kmem_cache_free
r:kprobes/kmem_cache_alloc_node kmem_cache_alloc_node

Visas pārējās programmas paraugā/bpf/ ir strukturētas līdzīgi. Tajos vienmēr ir divi faili:

• XXX_kern.c: eBPF programma.
• XXX_user.c: galvenā programma.

eBPF programma identificē kartes un funkcijas, kas saistītas ar sadaļu. Kad kodols izdod noteikta veida notikumu (piemēram, tracepoint), tiek izpildītas saistītās funkcijas. Kartes nodrošina saziņu starp kodola programmu un lietotāja telpas programmu.

Secinājums

Šajā rakstā BPF un eBPF tika apspriesti vispārīgi. Es zinu, ka šodien ir daudz informācijas un resursu par eBPF, tāpēc es ieteikšu vēl dažus resursus turpmākai izpētei.

Iesaku izlasīt:

• BPF: universāla kodola virtuālā mašīna Džonatans Korbets. Ievads par BPF un to, kā tas attīstījās par eBPF.
• Rūpīgs ievads eBPF Brendans Gregs. Raksts no LWN.net. Brendans bieži tvītoja par eBPF un uztur resursu sarakstu par šo tēmu emuāra ziņa.
• Piezīmes par BPF un eBPF Džūlija Evansa. Komentāri par Suchakra Sharma prezentāciju “The BSD Packet Filter: A New Architecture for User-level Packet Capture”. Komentāri ir labi un patiešām palīdz saprast slaidus.
• eBPF, 1. daļa: pagātne, tagadne un nākotne Feriss Eliss. Longread ar turpinājums, bet ir vērts izlasīt. Viens no labākajiem rakstiem, ko esmu saskāries par eBPF.

Avots: www.habr.com