什么是eBPF，eBPF為何備受追捧？

eBPF 的全稱是 extended Berkeley Packet Filter，它被稱之為 “革命性” 的內(nèi)核技術(shù)，可以在 Linux 內(nèi)核中運行沙盒程序，而無需更改內(nèi)核源代碼或加載內(nèi)核模塊。它提供了一種通用執(zhí)行引擎，可以基于系統(tǒng)或程序事件高效安全地執(zhí)行特定代碼，就像在實時 （JIT） 編譯器和驗證引擎的幫助下進(jìn)行本機(jī)編譯一樣。如今，eBPF 被廣泛用于各種場景：在現(xiàn)代數(shù)據(jù)中心和云原生環(huán)境中提供高性能網(wǎng)絡(luò)和負(fù)載平衡，以低成本提取細(xì)粒度的安全可觀測性數(shù)據(jù)，幫助應(yīng)用程序開發(fā)人員跟蹤應(yīng)用程序，為性能故障排除、預(yù)防性應(yīng)用程序和容器運行時安全實施提供見解等等。一些項目如 Facebook 公司的高性能 4 層負(fù)載均衡器 Katran，IO Visor 項目開源的 BCC、 BPFTrace 和 Kubectl-Trace，以及 CloudFlare 公司開源的 eBPF Exporter 和 bpf-tools 都使用了該技術(shù)。

eBPF 為何備受追捧？

用云杉網(wǎng)絡(luò) VP 向陽的話來說：“ eBPF 最重要（沒有之一）的特點是安全性” 。他表示，以往必須編寫內(nèi)核模塊才能做到的工作現(xiàn)在基本都能做到。但關(guān)鍵性的區(qū)別在于，eBPF 代碼會經(jīng)過 Verifier 嚴(yán)格的驗證，杜絕了死循環(huán)、內(nèi)存泄露等問題。它會確保內(nèi)核運行的安全，使得企業(yè)愿意在運行關(guān)鍵業(yè)務(wù)的生產(chǎn)系統(tǒng)中開啟此能力，從而釋放前所未有的內(nèi)核可編程性。

eBPF 對可觀測性技術(shù)的影響更是革命性的，一方面這個場景下 eBPF 的「安全性」體現(xiàn)的更加淋漓盡致，它甚至不會對數(shù)據(jù)進(jìn)行任何的修改； 另一方面 eBPF 的「零侵?jǐn)_」特性使得云原生應(yīng)用實現(xiàn)全景、全棧的可觀測性成為現(xiàn)實。隨著云基礎(chǔ)設(shè)施的迭代和發(fā)展、微服務(wù)的拆分，業(yè)務(wù)中的編程語言構(gòu)成越來越復(fù)雜、服務(wù)間通信路徑涉及到的團(tuán)隊越來越多。與此同時，現(xiàn)有的可觀測性方案往往要求打樁插碼，為開發(fā)者帶來了巨大的工作量，因此如何為所有業(yè)務(wù)支撐團(tuán)隊呈現(xiàn)一個全景、全棧的可觀測性視圖成為急需解決的一個問題。

eBPF 采集的數(shù)據(jù)能覆蓋系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等多個層面，能回答基礎(chǔ)設(shè)施的性能瓶頸位置，也能回答應(yīng)用程序中的代碼函數(shù)熱點，在這方面表現(xiàn)出了得天獨厚的優(yōu)勢。云杉網(wǎng)絡(luò)開源的云原生可觀測性平臺 DeepFlow 就充分利用了 eBPF 技術(shù)。借助 eBPF 的零侵?jǐn)_性和安全性優(yōu)勢，開發(fā)者無需修改任何一行代碼、無需改變?nèi)魏我粋€運行參數(shù)、甚至無需重啟任何一個進(jìn)程，即可實現(xiàn)全景、全棧的分布式追蹤、全景應(yīng)用拓?fù)?、全棧性能指?biāo)能力，覆蓋各類語言的應(yīng)用、各類云原生基礎(chǔ)設(shè)施，為云原生環(huán)境下的可觀測性帶來了革命性的創(chuàng)新。

很多人都在關(guān)注 eBPF 介入后，應(yīng)用程序性能會有所損耗。向陽認(rèn)為，由于 eBPF 程序會 Hook 至內(nèi)核函數(shù)中執(zhí)行，它帶來的性能開銷與應(yīng)用程序本身的資源消耗相關(guān)。如果應(yīng)用本身邏輯非常簡單，例如時延不到 1ms，此時 eBPF 介入帶來的耗時占比會比較明顯。但對于大量的業(yè)務(wù) —— 通常會有復(fù)雜的計算邏輯、更長的耗時，在生產(chǎn)環(huán)境上的經(jīng)驗是大多只會引入 1%~5% 的性能影響。

另一方面，DeepFlow 也希望通過自身的開源來推進(jìn) eBPF 應(yīng)用的繁榮，這樣也能更加促進(jìn) eBPF 技術(shù)自身的性能優(yōu)化。而 DeepFlow 自身的持續(xù)測試機(jī)制也會在每次代碼合入之后進(jìn)行自動化的性能影響評估，讓用戶清晰的知道影響到底有多大。eBPF 技術(shù)還在不斷發(fā)展，還有什么可能性有待挖掘？2023 年 5 月 28 日， GOTC 2023 eBPF 分論壇將于上海舉行，將一覽無余地展現(xiàn) eBPF 技術(shù)，并分享如何將其結(jié)合到實際工作中。

與此同時，GOTC 2023 很榮幸邀請到向陽成為該分論壇的聯(lián)合出品人。早在清華大學(xué)攻讀計算機(jī)系博士學(xué)位期間，向陽就實現(xiàn)了世界上第一個全球 BGP 路由劫持實時監(jiān)測系統(tǒng)，獲得了網(wǎng)絡(luò)測量領(lǐng)域國際頂級會議 IMC 頒發(fā)的社區(qū)貢獻(xiàn)獎，這也是該獎項首次頒發(fā)給中國大陸科研人員。

畢業(yè)后，向陽即加入了云杉網(wǎng)絡(luò)，如今作為云杉網(wǎng)絡(luò)的研發(fā) VP，負(fù)責(zé) DeepFlow 產(chǎn)品。正是在他的帶領(lǐng)下，云杉網(wǎng)絡(luò)將 eBPF 技術(shù)深度應(yīng)用于 DeepFlow 之中。全球開源技術(shù)峰會（Global Open-source Technology Conference），簡稱 GOTC，是由開放原子開源基金會、 Linux 基金會亞太區(qū)、上海浦東軟件園和開源中國聯(lián)合發(fā)起的，面向全球開發(fā)者的一場盛大開源技術(shù)盛宴。5 月 27 日至 28 日，GOTC 2023 將于上海舉辦為期 2 天的開源行業(yè)盛會。大會將以行業(yè)展覽、主題發(fā)言、特別論壇、分論壇的形式展現(xiàn)，與會者將一起探討元宇宙、3D 與游戲、eBPF、Web3.0、區(qū)塊鏈等熱門技術(shù)主題，以及開源社區(qū)、AIGC、汽車軟件、開源商業(yè)化、開源教育培訓(xùn)、云原生等熱門話題，探討開源未來，助力開源發(fā)展。

編輯：黃飛