أحدث مرشح حزم بيركلي الممتد (eBPF) ثورة في إمكانية ملاحظة نواة Linux ومراقبة الأداء والأمان. يسمح eBPF للمطورين بتشغيل برامج وضع الحماية مباشرة في kernel دون تعديل رمز kernel، مما يفتح القدرة على مراقبة البيانات وتتبعها ومعالجتها بكفاءة. بالاشتراك مع لغة البرمجة Go ebpf، المعروفة ببساطتها وتزامنها ونظامها البيئي القوي، تصبح eBPF أداة فعالة لبناء تطبيقات عالية الأداء وآمنة وقابلة للتطوير. في هذه المقالة، سنستكشف eBPF في Go، وكيفية عمله، وحالات استخدامه، ومثال عملي.

ما هو eBPF؟
تطورت eBPF، المصممة في الأصل لتصفية الحزم، إلى تقنية ذات أغراض عامة تستخدم لمجموعة واسعة من مهام البرمجة على مستوى kernel. يتم تنفيذ برامج eBPF داخل نواة Linux، مما يسمح بالتفاعل مع أحداث النظام وحزم الشبكات واستدعاءات النظام، كل ذلك دون الحاجة إلى تغيير النواة نفسها.

باستخدام eBPF، يكتسب المطورون:
• رؤية عميقة لأعمال النواة الداخلية.
• الأمان من خلال التنفيذ في وضع الحماية مع التحقق الصارم.
• الأداء من خلال الحد الأدنى من النفقات العامة والتعامل مع الأحداث في الوقت الحقيقي.
• المرونة في التتبع والتوصيف وإنفاذ السياسات الأمنية.
وقد أدى هذا التنوع إلى أن يصبح eBPF شائعًا في أدوات المراقبة مثل Prometheus ومنصات الأمان مثل Cilium وأدوات الشبكات.

لماذا نستخدم Go مع eBPF؟
Go هي لغة برمجة حديثة معروفة ببساطتها ونموذج التزامن ومكتبتها القياسية القوية. هذه الصفات تجعله مثاليًا للعمل مع eBPF لأن Go يبسط عملية تطوير أنظمة فعالة وقابلة للتطوير مع الحفاظ على قاعدة التعليمات البرمجية قابلة للإدارة. يتيح نظام Go البيئي الغني بالأدوات والمكتبات، جنبًا إلى جنب مع قوة eBPF، للمهندسين كتابة تعليمات برمجية عالية الأداء على مستوى kernel بلغة أسهل في الصيانة.

مزايا استخدام Go مع eBPF:
• الأداء العالي: يتميز Go بالسرعة، ويعني دمجه مع الحد الأدنى من الحمل الزائد لـ eBPF أن التطبيقات يمكن أن تعمل بسرعات قريبة من النواة.
• سهولة الاستخدام: يسمح نموذج بناء الجملة والتزامن الخاص بـ Go بدورات تطوير أسرع.
• إدارة فعالة للذاكرة: تضمن مجموعة البيانات المهملة في Go التعامل مع الذاكرة بشكل نظيف، مما يقلل من خطر تسرب الذاكرة الشائع في برامج eBPF المستندة إلى C.

المفاهيم الأساسية لـ eBPF في Go
قبل أن نتعمق في كود Go، دعونا نلقي نظرة على بعض المفاهيم الأساسية لـ eBPF:
1. برامج eBPF
برنامج eBPF عبارة عن وظيفة صغيرة يتم تشغيلها في النواة استجابةً لحدث معين. البرنامج في وضع الحماية ويخضع لفحوصات مختلفة للتأكد من أنه لا يضر بالنظام. تتضمن الأحداث النموذجية التعامل مع حزم الشبكات وتتبع الوظائف وعدادات الأداء.
2. خرائط eBPF
خرائط eBPF هي هياكل بيانات تُستخدم لتخزين البيانات التي يمكن لبرامج eBPF الوصول إليها. يمكن لهذه الخرائط أن تحتوي على مقاييس وبيانات التكوين والمعلومات الأساسية الأخرى المشتركة بين مساحة المستخدم ومساحة kernel.
3. أداة التحقق من eBPF
قبل التنفيذ، يجب أن يمر برنامج eBPF عبر أداة التحقق، التي تتحقق من أي سلوك غير آمن أو خاطئ. يضمن المدقق عدم تعطل البرنامج للنواة أو تسريب البيانات.
4. خطافات eBPF
يتم إرفاق برامج eBPF بأحداث kernel من خلال الخطافات، والتي يمكن أن تتضمن نقاط التتبع، وkprobes (نقاط إدخال الوظيفة)، وuprobes (تتبع وظيفة مساحة المستخدم)، ومرشحات المقبس.
إنشاء برامج eBPF في Go
للعمل مع eBPF في Go، المكتبة الأساسية التي سيتم استخدامها هي Cilium/ebpf، وهي مكتبة Go-native التي تسمح لك بالتفاعل مع برامج eBPF والخرائط والمساعدين.

المتطلبات الأساسية
للمتابعة، تأكد من أن لديك:

1. نظام Linux بإصدار kernel 4.14 أو أحدث.
2. قم بالتثبيت على نظامك.
3. مكتبة eBPF الخاصة بـ Cilium: انتقل للحصول على github.com/cilium/ebpf

كتابة برنامج eBPF الأساسي في Go
فيما يلي مثال بسيط لإرفاق برنامج eBPF لتتبع مكالمات النظام:

1. قم بإنشاء برنامج eBPF في لغة C
على الرغم من إمكانية كتابة برامج eBPF بلغات أخرى، إلا أن لغة C تظل الأكثر شيوعًا. اكتب برنامجًا بسيطًا يقوم بزيادة العداد في كل مرة يتم فيها إجراء استدعاء نظام معين:

#include 
#include 

BPF_HASH(syscall_count, u32, u64);

int trace_syscall(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid();
    u64 *count = syscall_count.lookup(&pid);
    if (count) {
        (*count)  ;
    } else {
        u64 initial_count = 1;
        syscall_count.update(&pid, &initial_count);
    }
    return 0;
}

يقوم هذا البرنامج بتتبع مكالمات النظام التي تتم بواسطة العمليات، وتخزين عدد مكالمات النظام لكل معرف العملية.

2. تجميع برنامج eBPF
بمجرد كتابته، قم بتجميع برنامج eBPF باستخدام LLVM:
clang -O2 -target bpf -c syscall_counter.c -o syscall_counter.o

3. تحميل وتشغيل برنامج eBPF في Go
الآن، اكتب كود Go الذي يتم تحميله والتفاعل مع برنامج eBPF.
الحزمة الرئيسية

import (
    "log"
    "github.com/cilium/ebpf"
    "golang.org/x/sys/unix"
)

func main() {
    // Load the precompiled eBPF program
    prog, err := ebpf.LoadProgram("syscall_counter.o")
    if err != nil {
        log.Fatalf("failed to load eBPF program: %v", err)
    }
    defer prog.Close()

    // Attach the eBPF program to the system call entry point
    err = unix.SetSyscallEntry(prog, unix.SYS_write)
    if err != nil {
        log.Fatalf("failed to attach eBPF program: %v", err)
    }

    log.Println("eBPF program successfully attached.")
}

هنا، نقوم بتحميل برنامج eBPF المجمع ونرفقه باستدعاء نظام الكتابة باستخدام حزمة Go's syscall.

4. مراقبة المخرجات
بمجرد تشغيل البرنامج، يبدأ في تتبع مكالمات النظام. يمكنك فحص الأعداد عن طريق الوصول إلى خريطة eBPF، والتي يتم إجراؤها في Go باستخدام مكتبة eBPF.

func readMap() {
    syscallCount := ebpf.Map("syscall_count")
    defer syscallCount.Close()

    iter := syscallCount.Iterate()
    var pid uint32
    var count uint64

    for iter.Next(&pid, &count) {
        log.Printf("PID: %d, Syscall Count: %d\n", pid, count)
    }
}

حالات الاستخدام لـ Go eBPF
يحتوي الجمع بين Go وeBPF على العديد من حالات الاستخدام القوية عبر مجالات مختلفة:

1. إمكانية الملاحظة والرصد
تعمل أدوات مثل bpftrace على الاستفادة من eBPF لجمع المقاييس والسجلات الدقيقة دون تحمل تكاليف باهظة. في Go، يمكنك إنشاء مسارات مقاييس مخصصة تراقب أداء التطبيق أو حركة مرور الشبكة في الوقت الفعلي.
2. إنفاذ الأمن
باستخدام Go، يمكنك إنشاء أنظمة تراقب الأحداث الحساسة للأمان تلقائيًا (على سبيل المثال، مكالمات النظام غير المصرح بها، وسلوك الشبكة المشبوه) عن طريق كتابة برامج eBPF مخصصة لمراقبة هذه الأنشطة وتسجيلها.
3. تحسين أداء الشبكة
يسمح eBPF بمراقبة دقيقة لحزم الشبكة واستخدام النطاق الترددي. ومن خلال الجمع بين هذا وأداء Go، يمكنك إنشاء أنظمة فعالة لموازنة التحميل وتشكيل حركة المرور وتحليل الشبكة في الوقت الفعلي.

خاتمة
يعمل Go eBPF على تمكين المطورين من كتابة تطبيقات فعالة وعالية الأداء تعمل على تعزيز إمكانية المراقبة والتحكم على مستوى kernel. سواء كنت تقوم بإنشاء أدوات لمراقبة الأداء أو فرض الأمان أو تحسين الشبكة، فإن الجمع بين Go ومرونة eBPF يوفر إمكانات هائلة. من خلال فهم المفاهيم الأساسية والحصول على خبرة عملية مع Go eBPF، يمكنك إطلاق العنان للقوة الحقيقية لنواة Linux لتطبيقاتك.