BPF学习笔记1

1090阅读 0评论2022-03-31 frankzfz
分类:云计算

BPF的英文是Berkeley  Packet  Filter的缩写,直白的翻译过来就是伯克利数据包过滤器,从这个英文翻译可以看出,BPF原先是针对网络的数据包进行各种操作处理的一个工具集。目前已经发展到对内核事件和用户空间事件进行跟踪的一套综合的工具集。BPF的原理简单解释为,在各种内核事件和应用程序事件的发生的前面,运行一小段程序,通过运行的这段程序获取到例如:函数调用的流程、结构体内的变量值等有利于分析问题的信息。BPF2014年正式加入Linux内核主线,随着BPF的在内核中发展,以及 eBPF的出现,已经可以对内核中绝大部分的子系统进行跟踪观测。

   BPF跟踪检测有两个前端的工具BCCbpftraceBCCBPF编译器集合,BPF  Compiler Collection,他提供了开发BPF跟踪程序的高级框架,提供了一个编写内核BPF程序的C语言环境,同时也提供了 PythonLua等用户端的接口。BCC自身大概提供了97BPF工具(截止到BCC-0.24版本。),bpftrace大概提供了35个可用工具。当然我们可以在这个基础和框架之下,开发符合我们自己的实际需求的BPF工具。

     BPF工具主要是为分析和定位Linux系统中出现一些性能问题,包括内核和应用程序两个方向,当然也可以通过打印出调用程序的堆栈信息,获取到函数的调用关系。


                                                            图:BCC工具
                                                         图:bpftrace工具

BPF主要思维导向图:

上一篇:centos7下编译llvm
下一篇:BPF学习笔记2-基于BCC的BPF示例程序