Sandbox eBPF nel Kernel Linux Sandbox eBPF nel Kernel Linux

Ecco il riassunto per i più impazienti:

eBPF ti permette di eseguire programmi isolati nel kernel di Linux
Fornisce approfondimenti dettagliati sul comportamento del sistema e delle applicazioni
Il basso overhead significa che puoi usarlo in produzione senza problemi
È versatile: dall'analisi della rete al monitoraggio della sicurezza, eBPF è al tuo fianco

eBPF 101: Le Basi

Prima di addentrarci nei dettagli, vediamo come funziona eBPF. Pensalo come piantare piccoli e efficienti spie nel tuo kernel Linux. Queste spie (programmi eBPF) possono riferire su tutto, dalle chiamate di sistema ai pacchetti di rete, senza bisogno di modificare il tuo kernel o riavviare il sistema.

Ecco il trucco magico:

Scrivi un programma eBPF (di solito in C)
Questo programma viene compilato in bytecode eBPF
Il bytecode viene verificato per la sicurezza (niente panico del kernel, grazie mille)
Viene quindi compilato JIT e iniettato nel kernel
Il tuo programma viene eseguito quando si verificano eventi specifici, raccogliendo dati o modificando il comportamento

È come avere una squadra di ninja microscopici e altamente addestrati pronti a riferire su qualsiasi aspetto del tuo sistema in un attimo.

Impostare il tuo Laboratorio eBPF

Pronto a sporcarti le mani? Creiamo un ambiente di prova per eBPF. Prima di tutto, avrai bisogno di un kernel Linux relativamente recente (4.4+, ma più recente è meglio). Poi, installiamo alcuni strumenti:


sudo apt-get update
sudo apt-get install -y bpfcc-tools linux-headers-$(uname -r)

Questo installa BCC (BPF Compiler Collection), che ci offre una bella interfaccia Python per lavorare con eBPF. Ora, scriviamo il nostro primo programma eBPF:


from bcc import BPF

# Definisci il programma eBPF
prog = """
int hello(void *ctx) {
    bpf_trace_printk("Hello, eBPF World!\\n");
    return 0;
}
"""

# Carica il programma eBPF
b = BPF(text=prog)

# Attaccalo a una funzione del kernel
b.attach_kprobe(event="sys_clone", fn_name="hello")

# Stampa l'output
print("Programma eBPF caricato. Tracciamento di sys_clone()... Ctrl+C per uscire.")
b.trace_print()

Salva questo come hello_ebpf.py ed eseguilo con sudo python3 hello_ebpf.py. Congratulazioni! Hai appena creato un programma eBPF che saluta ogni volta che viene creato un nuovo processo.

Monitoraggio dei Processi: Chi Sta Consumando la Mia CPU?

Ora che abbiamo fatto un primo passo, approfondiamo. Un caso d'uso comune per eBPF è il monitoraggio del comportamento dei processi. Creiamo un programma che traccia l'uso della CPU per processo:


from bcc import BPF
from time import sleep

# Programma eBPF
prog = """
#include <uapi/linux/ptrace.h>
#include <linux/sched.h>

struct key_t {
    u32 pid;
    u64 cpu;
};

BPF_HASH(stats, struct key_t);

int on_switch(struct pt_regs *ctx, struct task_struct *prev) {
    struct key_t key = {};
    u64 delta, *time;

    key.pid = prev->pid;
    key.cpu = bpf_get_smp_processor_id();

    time = stats.lookup(&key);
    if (time) {
        delta = bpf_ktime_get_ns() - *time;
        stats.increment(key, delta);
    }

    key.pid = bpf_get_current_pid_tgid() >> 32;
    stats.update(&key, &bpf_ktime_get_ns());

    return 0;
}
"""

b = BPF(text=prog)
b.attach_kprobe(event="finish_task_switch", fn_name="on_switch")

print("Monitoraggio dell'uso della CPU... Ctrl+C per uscire")
while True:
    sleep(1)
    print("\nTop 5 processi che consumano CPU:")
    b["stats"].print_log2_hist("Uso della CPU", "pid", section_print_fn=lambda k, v: f"PID {k.pid:<6} CPU {k.cpu:<3}")

Questo script si attacca alla funzione finish_task_switch, permettendoci di tracciare quanto tempo ogni processo trascorre sulla CPU. Eseguilo e osserva quali processi stanno consumando i tuoi preziosi cicli di CPU!

Analisi della Rete con eBPF

eBPF non è solo per il monitoraggio dei processi; è anche uno strumento potente per l'analisi della rete. Creiamo un semplice programma per tracciare le connessioni di rete:


from bcc import BPF

# Programma eBPF
prog = """
#include <uapi/linux/ptrace.h>
#include <net/sock.h>
#include <bcc/proto.h>

BPF_HASH(ipv4_sends, u32, u64);

int trace_ip_send(struct pt_regs *ctx, struct sock *sk) {
    u32 dst = sk->__sk_common.skc_daddr;
    ipv4_sends.increment(dst);
    return 0;
}
"""

b = BPF(text=prog)
b.attach_kprobe(event="ip_send_skb", fn_name="trace_ip_send")

print("Tracciamento degli invii IP... Ctrl+C per uscire")
try:
    while True:
        b.perf_buffer_poll()
except KeyboardInterrupt:
    print("\nPrincipali destinazioni IP:")
    b["ipv4_sends"].print_log2_hist("Pacchetti", "IP")

Questo script traccia le connessioni IPv4 in uscita, offrendoti una visione d'insieme di dove il tuo sistema sta inviando pacchetti. È come avere un mini Wireshark integrato nel kernel!

Integrazione di eBPF con Prometheus e Grafana

Ora che stiamo raccogliendo tutti questi dati interessanti, visualizziamoli! Useremo Prometheus per raccogliere le nostre metriche eBPF e Grafana per creare bellissime dashboard.

Per prima cosa, modifichiamo il nostro script di monitoraggio della CPU per esporre le metriche per Prometheus:


from bcc import BPF
from prometheus_client import start_http_server, Gauge
import time

# ... (codice del programma eBPF precedente qui)

# Metriche Prometheus
PROCESS_CPU_USAGE = Gauge('process_cpu_usage', 'Uso della CPU per processo', ['pid', 'cpu'])

def update_metrics():
    for k, v in b["stats"].items():
        PROCESS_CPU_USAGE.labels(pid=k.pid, cpu=k.cpu).set(v.value)

if __name__ == '__main__':
    b = BPF(text=prog)
    b.attach_kprobe(event="finish_task_switch", fn_name="on_switch")

    # Avvia il server HTTP di Prometheus
    start_http_server(8000)

    print("Monitoraggio dell'uso della CPU... Metriche disponibili su :8000")
    while True:
        time.sleep(1)
        update_metrics()

Ora, configura Prometheus per raccogliere queste metriche e imposta una dashboard Grafana per visualizzarle. Avrai una visione in tempo reale dell'uso della CPU del tuo sistema che farebbe invidia a qualsiasi amministratore di sistema!

Monitoraggio della Sicurezza: Catturare i Cattivi

eBPF non riguarda solo le prestazioni; è anche uno strumento potente per il monitoraggio della sicurezza. Creiamo un semplice sistema di rilevamento delle intrusioni che osserva gli accessi sospetti ai file:


from bcc import BPF

prog = """
#include <uapi/linux/ptrace.h>
#include <linux/fs.h>

BPF_HASH(suspicious_accesses, u32);

int trace_open(struct pt_regs *ctx, const char __user *filename, int flags) {
    char fname[256];
    bpf_probe_read_user_str(fname, sizeof(fname), (void *)filename);
    
    if (strstr(fname, "/etc/shadow") != NULL) {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        suspicious_accesses.increment(pid);
    }
    
    return 0;
}
"""

b = BPF(text=prog)
b.attach_kprobe(event="do_sys_open", fn_name="trace_open")

print("Monitoraggio degli accessi sospetti ai file... Ctrl+C per uscire")
try:
    while True:
        b.perf_buffer_poll()
except KeyboardInterrupt:
    print("\nAccessi sospetti rilevati:")
    b["suspicious_accesses"].print_log2_hist("Tentativi", "PID")

Questo script monitora i tentativi di accesso al file /etc/shadow, che potrebbe indicare qualcuno che cerca di rubare gli hash delle password. È un esempio semplice, ma dimostra come eBPF possa essere utilizzato per il monitoraggio della sicurezza in tempo reale.

Ottimizzazione delle Prestazioni: Sfruttare Ogni Ultima Goccia

Usiamo eBPF per identificare e ottimizzare le operazioni di I/O su disco lente:


from bcc import BPF
import time

prog = """
#include <uapi/linux/ptrace.h>
#include <linux/blkdev.h>

BPF_HISTOGRAM(dist);

int trace_req_start(struct pt_regs *ctx, struct request *req) {
    u64 ts = bpf_ktime_get_ns();
    bpf_map_update_elem(&start, &req, &ts, BPF_ANY);
    return 0;
}

int trace_req_completion(struct pt_regs *ctx, struct request *req) {
    u64 *tsp, delta;
    tsp = bpf_map_lookup_elem(&start, &req);
    if (tsp != 0) {
        delta = bpf_ktime_get_ns() - *tsp;
        dist.increment(bpf_log2l(delta / 1000));
        bpf_map_delete_elem(&start, &req);
    }
    return 0;
}
"""

b = BPF(text=prog)
b.attach_kprobe(event="blk_start_request", fn_name="trace_req_start")
b.attach_kprobe(event="blk_mq_start_request", fn_name="trace_req_start")
b.attach_kprobe(event="blk_account_io_completion", fn_name="trace_req_completion")

print("Tracciamento dell'I/O del dispositivo di blocco... Premi Ctrl+C per terminare.")
try:
    while True:
        time.sleep(1)
except KeyboardInterrupt:
    print("\nIstogramma della latenza dell'I/O del blocco:")
    b["dist"].print_log2_hist("usecs")

Questo script misura la latenza delle operazioni di I/O su disco, aiutandoti a identificare potenziali colli di bottiglia nel tuo sistema di archiviazione. Con queste informazioni, puoi prendere decisioni informate sull'ottimizzazione del layout del disco o sull'aggiornamento dell'hardware.

Strumenti eBPF: I Tuoi Nuovi Migliori Amici

Abbiamo appena scalfito la superficie di ciò che è possibile con eBPF. Ecco alcuni strumenti potenti che dovresti conoscere:

bpftrace: Un linguaggio di tracciamento di alto livello per eBPF
bcc: La BPF Compiler Collection, che abbiamo utilizzato nei nostri esempi
cilium: Sicurezza e visibilità della rete usando eBPF
falco: Monitoraggio della sicurezza in tempo reale alimentato da eBPF
pixie: Auto-strumentazione e monitoraggio per Kubernetes

Ognuno di questi strumenti sfrutta eBPF in modi unici, fornendo potenti capacità per il monitoraggio, la sicurezza e l'ottimizzazione delle prestazioni.

Conclusione: La Rivoluzione eBPF

eBPF sta rivoluzionando il modo in cui monitoriamo e ottimizziamo i sistemi Linux. Ci offre una visibilità senza precedenti sul comportamento del sistema con un overhead minimo, permettendoci di eseguire il debug, proteggere e ottimizzare i nostri sistemi in modi che prima erano impossibili o poco pratici.

Come abbiamo visto, eBPF può essere utilizzato per:

Introspezione profonda del sistema
Monitoraggio e ottimizzazione delle prestazioni
Analisi della rete e sicurezza
Soluzioni di monitoraggio personalizzate

La parte migliore? Questo è solo l'inizio. Man mano che eBPF continua a evolversi, possiamo aspettarci strumenti e tecniche ancora più potenti.

Quindi, la prossima volta che ti trovi di fronte a un misterioso problema di prestazioni o a un bug sfuggente, ricorda: eBPF è la tua arma segreta. Buon monitoraggio e che i tuoi sistemi funzionino sempre senza intoppi!

"Con grande potere viene grande responsabilità." Mentre eBPF ti dà superpoteri, ricorda di usarli saggiamente. Testa sempre accuratamente i tuoi programmi eBPF e sii consapevole del loro impatto sulle prestazioni del sistema.

Ora vai e conquista quei sistemi Linux con le tue nuove abilità eBPF!

eBPF 101: Le Basi

Impostare il tuo Laboratorio eBPF

Monitoraggio dei Processi: Chi Sta Consumando la Mia CPU?

Analisi della Rete con eBPF

Integrazione di eBPF con Prometheus e Grafana

Monitoraggio della Sicurezza: Catturare i Cattivi

Ottimizzazione delle Prestazioni: Sfruttare Ogni Ultima Goccia

Strumenti eBPF: I Tuoi Nuovi Migliori Amici

Conclusione: La Rivoluzione eBPF

Altro in questa Categoria Programming

Inversione del Controllo (IoC) e Iniezione delle Dipendenze (DI)

Gestione delle eccezioni in SmallRye Reactive per Quarkus

Il Circo del Bilanciamento del Carico: Kubernetes, HAProxy e Nginx Entrano in un Bar

Script di Shell in Linux

Unisciti alla nostra community 👋