Linux 内核在多年前就内置了扩展的伯克利数据包过滤器(eBPF),它是一个可以将过滤器附加到特定套接字能力的虚拟机。但是 eBPF 的能力远远超出了包过滤的范围,它允许在内核中的不同点位触发自定义脚本,并且开销非常小。通过在操作系统内核中运行沙箱程序,开发人员可以通过 eBPF 程序给操作系统运行时添加额外的功能。在一些项目需要进行系统调用层的故障排除和剖析时,我们的团队发现像 bcc 和 bpftrace 这样的工具会简化工作。eBPF 也可用于可观测性和网络基础设施,例如 Cilium 项目可以在 Kubernetes 中以 无 sidecar 开销 的方式实现流量负载平衡和可观察性,Hubble 项目在其基础上加强了安全和流量可观察性。Falco 项目使用eBPF进行安全监控,Katran 项目使用 eBPF 建立更有效的 L4 负载平衡。eBPF 社区正在迅速发展,并且我们看到了与可观察性领域越来越多的协同作用。
近些年来,Linux 内核已经包括了扩展的伯克利数据包过滤器(eBPF),一个提供了将过滤器附加到特定套接字能力的虚拟机。但是,eBPF 远远超出了包过滤的范围,它允许在内核的不同点位上触发自定义脚本,而且开销非常小。虽然这项技术并不新鲜,但随着越来越多的微服务通过容器编排来部署,eBPF逐渐自成一体。Kubernetes 和服务网格技术(如 Istio )被普遍使用,它们采用“边车” (sidecars) 来实现控制功能。有了诸如 Bumblebee 这样使 eBPF 程序的构建、运行和发布变得更加容易的新工具, eBPF 可以被看作是传统边车的替代品。Cilium 的维护者甚至宣布了边车的消亡。基于 eBPF 的方法减少了一些由边车带来的性能和运维上的开销,但它不支持如本地终结 SSL 会话这样的常见功能。
几年来,Linux 内核已经内置 eBPF (extended Berkeley Packet Filter)虚拟机,并提供将eBPF 过滤器挂载到特定套接字(socket)的功能。但是 eBPF 能做的远不止包过滤。它允许以很少的开销,在内核中不同的地方,触发自定义脚本。尽管这不是新技术,但随着容器化部署微服务的流行,其价值逐渐显露出来。在这些系统中,服务到服务的通信可能很复杂,因此很难将延迟或性能问题与 API 调用关联起来。现在一些工具会内置eBPF脚本,用于收集和可视化数据包流量,或报告 CPU 利用率。随着 Kubernetes的兴起, 出现了基于 eBPF 脚本的新一代安全实施和检测工具,以降低大规模微服务部署的复杂性。
