4.1 eBPF程序的动态加载
eBPF程序可以动态地加载到内核中,或从内核中删除。这个要与内核模块的加载与卸载区分开来。这里顺便讨论下eBPF程序与内核模块的区别,如下:
- 而Linux内核模块是面向内核API编程的,可以直接运行在内核当中。eBPF程序是面向BPF体系结构指令集编写的,它并不直接运行在Linux内核中,我们可以理解为它是运行在eBPF虚拟机,由eBPF虚拟机来执行eBPF字节码,就像java运行在jvm一样。
- eBPF架构更强调安全性和稳定性,eBPF程序只能通过 BPF Helper 函数调用,不能直接调用内核函数。此外eBPF程序在通过加载器加载到内核时,必须通过验证器进行检查,这极大的保障六内核安全。而开发者编写的内核模块,在内核进行加载运行时可以直接调用内核函数,因为没有经过内核维护者的评审发布,风险很高,可能会引入安全漏洞或直接导致内核Panic。
- eBPF可以通过map映射与用户空间的进程进行交互,而内核模块只能通过传统的打印日志或文件节点进行交流,灵活性差。
- 让做过内核Porting的同学很头疼的就是内核模块的移植性差,这一点在eBPF上得到了极大地改善。
加载到内核的eBPF程序一旦被附加到一个事件上,无论是什么导致了该事件的发生,它就会被该事件触发。例如如果你将一个eBPF程序附加到用于打开文件的系统调用上,则只要有其他任何进程试图打开这个文件,它就会被触发。eBPF被加载时,那个进程是否已经运行起来并不重要。
4.2 eBPF程序的高性能
eBPF程序被加载并进行JIT编译后,该程序将作为本机机器指令在CPU上运行。此外,无需承担在内