eBPF 101 - Series về eBPF

Giới thiệu về eBPF: Secure and Efficient Kernel Extension

eBPF (extended Berkeley Packet Filter) là công nghệ mang tính đột phá, giúp các dev có thể chạy những chương trình nhỏ trong kernel mà không cần phải sửa đổi mã nguồn kernel hay thêm modules. Nó được sử dụng để quan sát, phân tích và điều chỉnh hệ thống, mạng, bảo mật một cách hiệu quả và an toàn.

Điều gì khiến eBPF mạnh mẽ?

• Hiệu suất cao: eBPF chạy trực tiếp trong kernel, giảm thiểu chi phí xử lý.
• An toàn: Các chương trình eBPF được kiểm tra nghiêm ngặt trước khi chạy để đảm bảo không làm sập hệ thống.
• Linh hoạt: Có thể áp dụng cho nhiều mục đích như giám sát mạng, theo dõi hiệu suất, bảo mật, và hơn thế nữa.
• Không cần sửa kernel: Cài đặt và cập nhật dễ dàng mà không cần thay đổi mã kernel.

eBPF: Past, Present, and Future

Past: Cách mạng hóa mạng lập trình

Ra mắt năm 2014, eBPF đã thay đổi cách tiếp cận mạng bằng cách cho phép chạy các chương trình nhỏ trong kernel Linux, xử lý gói tin theo thời gian thực. Bằng cách gắn vào các điểm chính trong kernel, eBPF cho phép áp dụng logic tùy chỉnh khi gói tin đến, mang lại hiệu quả và linh hoạt cao. Điều này giúp các tổ chức tùy chỉnh hành vi mạng mà không cần trình điều khiển tùy chỉnh hay sửa đổi kernel, lý tưởng cho môi trường đám mây và trung tâm dữ liệu.

Present: Framework linh hoạt mà máy tính hiện đại cần

eBPF đã phát triển thành một versatile framework, vượt xa mục đích ban đầu là mạng, bao gồm quan sát, theo dõi, bảo mật và quản lý tài nguyên hệ thống. Các chương trình eBPF có thể gắn vào các sự kiện kernel, cho phép kiểm soát chính xác hành vi hệ thống và tối ưu hóa hiệu suất mà không cần sửa đổi kernel hay khởi động lại. Điều này khiến eBPF trở thành công cụ thiết yếu cho quản trị viên và lập trình viên trong việc giám sát, tối ưu và bảo mật hệ thống.

Các lĩnh vực ứng dụng chính hiện nay:

• Mạng: eBPF cung cấp khả năng lọc và xử lý gói tin tốc độ cao trong kernel, hỗ trợ tạo trình phân tích giao thức tùy chỉnh và chính sách mạng mà không cần trình điều khiển mới hay khởi động lại.
• Quan sát: eBPF giúp thu thập dữ liệu chi tiết về hành vi hệ thống thông qua số liệu tùy chỉnh và tổng hợp dữ liệu trong kernel, hỗ trợ tìm lỗi và tối ưu hiệu suất.
• Theo dõi & Phân tích: Gắn vào hàm kernel, điểm theo dõi và cả ứng dụng user-space, eBPF cung cấp cái nhìn sâu sắc về hành vi hệ thống và ứng dụng, cải thiện hiệu suất và xử lý sự cố phức tạp.
• Bảo mật: eBPF hỗ trợ giám sát bảo mật thời gian thực, kiểm tra hệ thống, lưu lượng mạng và hành vi bất thường, tăng cường an ninh cơ sở hạ tầng.
• Tối ưu hóa lập lịch: eBPF cải thiện phân bổ CPU, giám sát tải và tối ưu hóa phân phối tác vụ, nâng cao hiệu suất và độ phản hồi.
• Cải tiến trình điều khiển HID: eBPF tối ưu hóa trình điều khiển cho bàn phím, chuột, màn hình cảm ứng, nâng cao độ phản hồi cho ứng dụng nhạy với độ trễ. Các tổ chức ứng dụng eBPF:
• Google: Dùng eBPF cho kiểm tra bảo mật, xử lý gói tin, giám sát hiệu suất và tối ưu hóa lập lịch CPU.
• Netflix: Sử dụng eBPF để phân tích lưu lượng mạng, đảm bảo hiệu suất và tính sẵn sàng cho dịch vụ phát trực tuyến.
• Android: Áp dụng eBPF để tối ưu hóa mạng, tiêu thụ điện và phân bổ tài nguyên, cải thiện hiệu suất và pin.
• S&P Global: Dùng eBPF qua Cilium để quản lý mạng đa đám mây và tại chỗ, đảm bảo khả năng mở rộng và bảo mật.
• Shopify: Tích hợp eBPF với Falco để phát hiện xâm nhập, tăng cường bảo mật cho nền tảng thương mại điện tử.
• Cloudflare: Sử dụng eBPF để quan sát mạng, giám sát bảo mật và tối ưu hóa hiệu suất, bảo vệ hàng triệu trang web. eBPF không chỉ giới hạn ở kernel mà còn mở rộng sang user-space với các công cụ như bpftime, tăng cường hiệu suất theo dõi và phân tích trong ứng dụng user-space.

Future: Tiềm năng của eBPF

eBPF được kỳ vọng sẽ trở thành phần cốt lõi của hệ điều hành, với trọng tâm cải thiện tính linh hoạt, mô-đun hóa và dễ sử dụng. Các cải tiến về quản lý bộ nhớ, cơ chế đồng thời và tích hợp user-space đang được phát triển. Các dự án biên dịch kernel Linux sang tập lệnh BPF sẽ cách mạng hóa phát triển và phân tích kernel.

Những tiến bộ như dynamic stacks, công cụ quan sát user-space và cơ chế dừng chương trình an toàn sẽ mở rộng ứng dụng của eBPF. Các công cụ và thư viện mới sẽ đơn giản hóa phát triển eBPF, giảm rào cản cho cả lập trình viên kernel và ứng dụng.

How to lập trình eBPF?

Viết chương trình eBPF từ đầu có thể phức tạp. Nhưng từ năm 2015, LLVM hỗ trợ biên dịch mã ngôn ngữ cấp cao thành bytecode eBPF. Cộng đồng eBPF đã phát triển các thư viện như libbpf để quản lý chương trình, giúp tải bytecode vào kernel và thực hiện các tác vụ cần thiết.

Chương trình eBPF điển hình gồm hai phần:

• Mã kernel space (*_kern.c): Định nghĩa logic.
• Mã user space (*_user.c): Quản lý tải và tương tác với kernel. Mã kernel space.

Chức năng: Đây là phần cốt lõi của chương trình eBPF, chứa logic chính được thực thi trong kernel Linux. Mã này được viết bằng C (hoặc các biến thể như C với hạn chế của eBPF) và định nghĩa các hành vi cụ thể, như xử lý gói tin mạng, giám sát hệ thống, theo dõi sự kiện kernel, hoặc áp dụng chính sách bảo mật.

Cách hoạt động: Mã kernel space được biên dịch thành bytecode eBPF bằng công cụ như LLVM/Clang. Bytecode này được tải vào kernel và gắn vào các điểm hook (như sự kiện mạng, hàm kernel, hoặc tracepoint) để thực thi khi các sự kiện tương ứng xảy ra.

Ví dụ: Một chương trình eBPF có thể đếm số gói tin mạng đi qua một giao diện hoặc ghi lại thông tin về một hệ thống gọi (system call).

Đặc điểm: Phải tuân thủ các hạn chế nghiêm ngặt của eBPF (như không có vòng lặp vô hạn, kích thước chương trình giới hạn) để đảm bảo an toàn và hiệu suất. Được kiểm tra bởi eBPF verifier trong kernel trước khi chạy, đảm bảo không gây lỗi hoặc làm sập hệ thống. Thường sử dụng các eBPF map (cấu trúc dữ liệu như hash table, array) để lưu trữ hoặc chia sẻ dữ liệu với user space.

Mã user space.

Chức năng: Đây là phần chạy ở không gian người dùng (user space), chịu trách nhiệm quản lý chương trình eBPF, bao gồm tải bytecode vào kernel, thiết lập cấu hình, và xử lý dữ liệu từ kernel. Cách hoạt động:

Sử dụng thư viện như libbpf để tương tác với kernel, thực hiện các tác vụ như:

• Tải bytecode eBPF từ file đã biên dịch (thường là file .o).
• Gắn chương trình eBPF vào các điểm hook cụ thể trong kernel.
• Quản lý eBPF map để đọc/ghi dữ liệu giữa kernel và user space.
• Xử lý và phân tích dữ liệu do chương trình kernel space gửi lên (ví dụ: hiển thị số liệu thống kê hoặc ghi log).

Đặc điểm:

• Được viết bằng các ngôn ngữ như C, Go, Rust, hoặc Python, tùy thuộc vào công cụ và thư viện sử dụng.
• Đóng vai trò là cầu nối giữa người dùng và chương trình eBPF trong kernel, cung cấp giao diện để cấu hình và lấy kết quả.
• Có thể tích hợp với các công cụ như BCC hoặc libbpf-bootstrap để đơn giản hóa quy trình.

Tương tác giữa kernel space và user space:

Tải và gắn chương trình: Mã user space sử dụng API của kernel (như bpf() system call) để tải bytecode từ mã kernel space vào kernel và gắn nó vào các điểm hook.

Trao đổi dữ liệu: eBPF map là phương tiện chính để trao đổi dữ liệu. Ví dụ, chương trình kernel space ghi số liệu vào map, và chương trình user space đọc từ map để xử lý. Các cơ chế khác như ring buffer hoặc perf events cũng được dùng để truyền dữ liệu theo thời gian thực.

Kiểm soát chương trình: Mã user space có thể bật/tắt chương trình eBPF, cập nhật map, hoặc thay đổi cấu hình mà không cần khởi động lại kernel.

Các tools phục vụ cho học eBPF:

• BCC: Chuỗi công cụ dựa trên Python, đơn giản hóa việc viết, biên dịch và tải chương trình eBPF. Cung cấp nhiều công cụ theo dõi sẵn có, nhưng bị hạn chế về phụ thuộc và tương thích.
• Thư viện eBPF Go: Thư viện Go tách biệt quá trình tạo bytecode và quản lý chương trình eBPF.
• libbpf-bootstrap: Khung hiện đại dựa trên libbpf, cung cấp quy trình viết eBPF hiệu quả với biên dịch một lần.
• eunomia-bpf: Chuỗi công cụ chỉ cần mã kernel space, đơn giản hóa phát triển bằng cách tải động chương trình. Các công cụ này giảm độ phức tạp, giúp lập trình viên dễ dàng tối ưu hóa hiệu suất, bảo mật và quan sát hệ thống.

eBPF là công cụ mạnh mẽ, mở ra khả năng tối ưu và giám sát hệ thống một cách linh hoạt. Với hướng dẫn này, bạn sẽ từng bước làm quen với eBPF qua các ví dụ thực tế. Hãy bắt đầu khám phá!