eBPF
カーネル空間で動作する仮想マシン
eBPF用のバイトコードを渡すとコンパイルされてカーネルに組み込まれる
カーネル内のイベントをhookして処理を実行できる
そもそもBPFとは
Berkley Packet Filter
「The BSD Packet Filter: A New Architecture for User-level Packet Capture」 (1992)
パケットキャプチャやパケットフィルタリングの効率化が目的
ドライバが受け取りカーネル経由で渡ってきたパケットをアプリケーション側でフィルタすると、カーネル側とユーザ側でスイッチングが多く発生する
CPUの動作モード切り替えのことであってる?lemonadern.icon
パケットフィルタ等の動作を行うアプリケーションをカーネル空間で動作する仮想マシン上で実行できるようにする
フィルタリングをパケット側で完結させ、パフォーマンスを向上させる
Linux Kernel には、version 2.1.75 で libpcap として実装された (1997)
tcpdump がこれを利用している
eBPFと対比して cBPF (classic BPF) と呼ばれることがある
eBPF とは
extended BPF
用途をBPFより汎用にした仕組み
→パケットの操作以外もターゲットにする
Linux Kernel 3.17 で実装・拡張が続いている
つかいかた
さすがにバイトコードの手書きはしない
高級言語でフロントエンドを書く
Python, C++, Lua, (Go, Rust)
BCC (BPF Compiler Collection) というツールチェーンを使ってコンパイルする
https://github.com/iovisor/bcc
bpftraceならDSLを書く
https://github.com/bpftrace/bpftrace
注目されている背景(?)
Kubernetes
コンテナ間通信に netfilter/iptables を利用
iptables はコンテナ数の増加にともなって遅くなる(らしいlemonadern.icon)
高速なコンテナ間通信の需要がある
eBPFで実現!
Cilium
https://cilium.io/
参考
https://ebpf.io/what-is-ebpf/
BPF – in-kernel virtual machine
eBPF - 入門概要 編
eBPFに3日で入門した話 - CADDi Tech Blog