Расширенный фильтр пакетов Беркли (eBPF) произвел революцию в наблюдаемости ядра Linux, мониторинге производительности и безопасности. eBPF позволяет разработчикам запускать изолированные программы непосредственно в ядре без изменения кода ядра, открывая возможности для эффективного мониторинга, отслеживания и манипулирования данными. В сочетании с языком программирования Go ebpf, известным своей простотой, параллелизмом и надежной экосистемой, eBPF становится мощным инструментом для создания производительных, безопасных и масштабируемых приложений. В этой статье мы рассмотрим eBPF в Go, как он работает, варианты его использования и практический пример.

Что такое eBPF?
eBPF, первоначально разработанный для фильтрации пакетов, превратился в технологию более общего назначения, используемую для широкого спектра задач программирования на уровне ядра. Программы eBPF выполняются внутри ядра Linux, что позволяет взаимодействовать с системными событиями, сетевыми пакетами и системными вызовами без необходимости изменения самого ядра.

Используя eBPF, разработчики получают:
• Глубокий обзор внутренней работы ядра.
• Безопасность за счет изолированного выполнения со строгой проверкой.
• Производительность за счет минимальных накладных расходов и обработки событий в реальном времени.
• Гибкость отслеживания, профилирования и применения политик безопасности.
Эта универсальность привела к тому, что eBPF стал популярным в инструментах наблюдения, таких как Prometheus, платформах безопасности, таких как Cilium, и сетевых инструментах.

Зачем использовать Go с eBPF?
Go — современный язык программирования, известный своей простотой, моделью параллелизма и мощной стандартной библиотекой. Эти качества делают его идеальным для работы с eBPF, поскольку Go упрощает разработку масштабируемых и эффективных систем, сохраняя при этом управляемость кодовой базы. Богатая экосистема инструментов и библиотек Go в сочетании с мощью eBPF позволяет инженерам писать высокопроизводительный код уровня ядра на более простом в обслуживании языке.

Преимущества использования Go с eBPF:
• Высокая производительность: Go работает быстро, а в сочетании с минимальными накладными расходами eBPF приложения могут работать на скоростях, близких к ядру.
• Простота использования: синтаксис Go и модель параллелизма позволяют ускорить циклы разработки.
• Эффективное управление памятью: сбор мусора в Go обеспечивает чистоту обращения с памятью, снижая риск утечек памяти, типичных для программ eBPF на основе C.

Ключевые концепции eBPF в Go
Прежде чем мы углубимся в код Go, давайте рассмотрим некоторые основополагающие концепции eBPF:
1. Программы eBPF
Программа eBPF — это небольшая функция, которая запускается в ядре в ответ на определенное событие. Программа помещается в песочницу и подвергается различным проверкам, чтобы убедиться, что она не причиняет вреда системе. Типичные события включают обработку сетевых пакетов, трассировку функций и счетчики производительности.
2. Карты eBPF
Карты eBPF — это структуры данных, используемые для хранения данных, к которым могут обращаться программы eBPF. Эти карты могут содержать метрики, данные конфигурации и другую важную информацию, совместно используемую между пользовательским пространством и пространством ядра.
3. Верификатор eBPF
Перед выполнением программа eBPF должна пройти проверку, которая проверяет наличие небезопасного или ошибочного поведения. Верификатор гарантирует, что программа не приведет к сбою ядра или утечке данных.
4. Хуки eBPF
Программы eBPF прикрепляются к событиям ядра через перехватчики, которые могут включать точки трассировки, kprobes (точки входа в функцию), uprobes (трассировка функций в пользовательском пространстве) и фильтры сокетов.
Создание программ eBPF на Go
Для работы с eBPF в Go основной библиотекой, которую следует использовать, является Cilium/ebpf, собственная библиотека Go, которая позволяет взаимодействовать с программами, картами и помощниками eBPF.

Предварительные условия
Чтобы следовать инструкциям, убедитесь, что у вас есть:

1. Система Linux с ядром версии 4.14 или новее.
2. Перейти к установке в вашей системе.
3. Библиотека eBPF Cilium: иди на github.com/cilium/ebpf

Написание базовой программы eBPF на Go
Вот простой пример подключения программы eBPF для отслеживания системных вызовов:

1. Создайте программу eBPF на C
Хотя программы eBPF можно писать и на других языках, C остается наиболее распространенным. Напишите простую программу, которая увеличивает счетчик каждый раз, когда выполняется определенный системный вызов:

#include 
#include 

BPF_HASH(syscall_count, u32, u64);

int trace_syscall(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid();
    u64 *count = syscall_count.lookup(&pid);
    if (count) {
        (*count)  ;
    } else {
        u64 initial_count = 1;
        syscall_count.update(&pid, &initial_count);
    }
    return 0;
}

Эта программа отслеживает системные вызовы, выполняемые процессами, сохраняя количество системных вызовов на каждый идентификатор процесса.

2. Составление программы eBPF
После написания скомпилируйте программу eBPF, используя LLVM:
clang -O2 -target bpf -c syscall_counter.c -o syscall_counter.o

3. Загрузка и запуск программы eBPF в Go
Теперь напишите код Go, который загружает программу eBPF и взаимодействует с ней.
основной пакет

import (
    "log"
    "github.com/cilium/ebpf"
    "golang.org/x/sys/unix"
)

func main() {
    // Load the precompiled eBPF program
    prog, err := ebpf.LoadProgram("syscall_counter.o")
    if err != nil {
        log.Fatalf("failed to load eBPF program: %v", err)
    }
    defer prog.Close()

    // Attach the eBPF program to the system call entry point
    err = unix.SetSyscallEntry(prog, unix.SYS_write)
    if err != nil {
        log.Fatalf("failed to attach eBPF program: %v", err)
    }

    log.Println("eBPF program successfully attached.")
}

Здесь мы загружаем скомпилированную программу eBPF и присоединяем ее к системному вызову записи с помощью пакета системных вызовов Go.

4. Наблюдение за выводом
После запуска программы она начинает отслеживать системные вызовы. Вы можете проверить счетчики, открыв карту eBPF, что делается в Go с использованием библиотеки eBPF.

func readMap() {
    syscallCount := ebpf.Map("syscall_count")
    defer syscallCount.Close()

    iter := syscallCount.Iterate()
    var pid uint32
    var count uint64

    for iter.Next(&pid, &count) {
        log.Printf("PID: %d, Syscall Count: %d\n", pid, count)
    }
}

Примеры использования Go eBPF
Комбинация Go и eBPF имеет несколько эффективных вариантов использования в разных областях:

1. Наблюдение и мониторинг
Такие инструменты, как bpftrace, используют eBPF для сбора детальных показателей и журналов без больших накладных расходов. В Go вы можете создавать собственные конвейеры метрик, которые отслеживают производительность приложений или сетевой трафик в режиме реального времени.
2. Обеспечение безопасности
С помощью Go вы можете создавать системы, которые автоматически отслеживают важные для безопасности события (например, неавторизованные системные вызовы, подозрительное поведение сети), написав собственные программы eBPF, которые наблюдают и регистрируют эти действия.
3. Оптимизация производительности сети
eBPF позволяет осуществлять детальный мониторинг сетевых пакетов и использования полосы пропускания. Объединив это с производительностью Go, вы можете создать эффективные системы для балансировки нагрузки, формирования трафика и анализа сети в реальном времени.

Заключение
Go eBPF дает разработчикам возможность писать эффективные и высокопроизводительные приложения, использующие возможность наблюдения и контроля на уровне ядра. Независимо от того, создаете ли вы инструменты для мониторинга производительности, обеспечения безопасности или оптимизации сети, сочетание Go с гибкостью eBPF открывает огромный потенциал. Поняв ключевые концепции и получив практический опыт работы с Go eBPF, вы сможете раскрыть истинную мощь ядра Linux для своих приложений.