小编点评

**摘要 1** BPF是一种内核代码执行的编译工具，可以用于网络数据包过滤、安全分析、性能优化等领域。 **摘要 2** BPF的起源可以追溯到1992年的Linux论文，该论文提出一种新的网络数据包过滤的框架。 **摘要 3** 以下是BPF的功能： - 网络数据包过滤 - 安全分析 - 性能优化 **摘要 4** 学习BPF的目标和方向包括： - 深入理解BPF的原理和工作机制 - 了解BPF的各种功能和特性 - 掌握编写和使用BPF工具的技能 - 结合火焰图和进程相关信息进行性能分析

正文

BPF的简单学习

---

前言

本来规划过年期间学习一下bpf相关的内容
但是因为自己没有坚持学习,所以到最后一天才开始整理.
本来想深入学习一下相关内容,但是已经感觉已经无法完成.
最近大半年进行了很多性能诊断分析的工作,很多时候感觉已经到达瓶颈.
感觉必须要深入到内核,深入到指令运行周期才可以有所提升. 
基于此,本次简单记录一下这些地方.可能不是很对. 希望自己能够慢慢完善.

---

摘要

1. 概念
2. 发展历史
3. 部分简单使用.
4. 学习的目标和方向

---

概念和发展历史

bpf 是 柏克利包过滤器
Berkeley packet fliter
他出现的年份非常早,跟linux的诞生基本同期
最早出现于1992年的论文，这篇论文主要提出一种新的网络数据包的过滤的框架
最开始bpf的目标主要是进行网络报的过滤
但是随着技术的发展,bpf有了更深入的发展可以实现更多的功能比如
2013年有人对bpf进行了彻底的改造,可以增加:安全,网络,甚至是基于内核的编程等特性.

因为有这个比较大的区别所以,之前仅用于网络报过滤的称之为 cbpf classic bpf 
最新的改进则称之为 ebpf extend bpf 

---

区别

第一: 
cBPF支持的功能比较单一，只能够作用于网络的数据包的过滤上。
eBPF不仅支持网络的数据包的过滤上，也支持其他的事件类型，
如XDP、Perf Event、kprobe、tracepoint等等。
cBPF的功能在eBPF其实对应的就是Socket的部分。
第二: 
引入Map机制。在cBPF我们通过接收队列将过滤后数据获取出来，
但是在eBPF我们可以将数据放到Map空间中。
Map空间是用户空间和内核空间共享的，
所以一般是在内核中将数据存入到Map空间中，然后在用户空间取出数据。
第三: 
指令集变得更复杂了，与此同时，有了专门的用于编译BPF字节码的编译器clang/llvm。
第四:
还有在安全机制方面等等一些改变

---

工具的变迁

在cbpf的时代,一般就是tcpdump或者是wireshark等的抓包工具进行使用.
在ebpf的时代,更多的性能侦测,以及kernel的hook的实现,有了更深刻的用户.
最开始ebpf 有一套 bcc 工具 bpf complie collection 的工具组合. 
但是因为较为复杂和难学:
需要安装定制的包, 并且需要使用一些C或者是C++的语言进行编写. 
最近几年尤其是内核进入5.0和6.0的时代.
增加了libbpf工具包以及实现了 CO-RE的机制, 使得ebpf的工具链有了更大的发挥余地
Complie Once - Run Everywhere
这些工具可以使用python后者是go等语言进行编写工具链. 

---

简单学习bcc

注意 因为需要比较高的内核版本,所以本次选用 OpenEuler 22.03 
内核版本为:
Linux openeuler2203 5.10.0-60.18.0.50.oe2203.x86_64 
#1 SMP Wed Mar 30 03:12:24 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

安装bcc工具链
yum install bcc kernel-devel kernel-headers  -y 
mkdir -p /bcc && cd /bcc 

注意安装完之后会在 /usr/share/bcc/tools/ 目录下面有很多工具
可以执行里面的工具进行处理. 

比如 ./filetop

但是这边总是报错 未解决.

modprobe: FATAL: Module kheaders not found in directory /lib/modules/5.10.0-60.18.0.50.oe2203.x86_64
Unable to find kernel headers. Try rebuilding kernel with CONFIG_IKHEADERS=m (module) or installing the kernel development package for your running kernel version.
<built-in>:1:10: fatal error: './include/linux/kconfig.h' file not found
#include "./include/linux/kconfig.h"
         ^~~~~~~~~~~~~~~~~~~~~~~~~~~
1 error generated.
Traceback (most recent call last):
  File "/usr/share/bcc/tools/./filetop", line 164, in <module>
    b = BPF(text=bpf_text)
  File "/usr/lib/python3.9/site-packages/bpfcc/__init__.py", line 479, in __init__
    raise Exception("Failed to compile BPF module %s" % (src_file or "<text>"))
Exception: Failed to compile BPF module <text>

---

学习的目标和方向

结合火焰图
结合进程的相关信息
linux 内核的知识 完善自己的调优技术链..