Enable javascript in your browser for better experience. Need to know to enable it? Go here.
更新于 : Mar 29, 2022
Mar 2022
试验 ? 值得一试。了解为何要构建这一能力是很重要的。企业应当在风险可控的前提下在项目中尝试应用此项技术。

近些年来,Linux 内核已经包括了扩展的伯克利数据包过滤器(eBPF),一个提供了将过滤器附加到特定套接字能力的虚拟机。但是,eBPF 远远超出了包过滤的范围,它允许在内核的不同点位上触发自定义脚本,而且开销非常小。虽然这项技术并不新鲜,但随着越来越多的微服务通过容器编排来部署,eBPF逐渐自成一体。Kubernetes 和服务网格技术(如 Istio )被普遍使用,它们采用“边车” (sidecars) 来实现控制功能。有了诸如 Bumblebee 这样使 eBPF 程序的构建、运行和发布变得更加容易的新工具, eBPF 可以被看作是传统边车的替代品。Cilium 的维护者甚至宣布了边车的消亡。基于 eBPF 的方法减少了一些由边车带来的性能和运维上的开销,但它不支持如本地终结 SSL 会话这样的常见功能。

May 2020
试验 ? 值得一试。了解为何要构建这一能力是很重要的。企业应当在风险可控的前提下在项目中尝试应用此项技术。

几年来,Linux 内核已经内置 eBPF (extended Berkeley Packet Filter)虚拟机,并提供将eBPF 过滤器挂载到特定套接字(socket)的功能。但是 eBPF 能做的远不止包过滤。它允许以很少的开销,在内核中不同的地方,触发自定义脚本。尽管这不是新技术,但随着容器化部署微服务的流行,其价值逐渐显露出来。在这些系统中,服务到服务的通信可能很复杂,因此很难将延迟或性能问题与 API 调用关联起来。现在一些工具会内置eBPF脚本,用于收集和可视化数据包流量,或报告 CPU 利用率。随着 Kubernetes的兴起, 出现了基于 eBPF 脚本的新一代安全实施和检测工具,以降低大规模微服务部署的复杂性。

发布于 : May 19, 2020
Radar

下载第26期技术雷达

English | Español | Português | 中文

Radar

获取最新技术洞见

 

立即订阅

查看存档并阅读往期内容