Trending Tech برای تماشای: فیلتر بسته بسته بندی برکلی (eBPF)

eBPF ممکن است مانند یک اختصار تکنیکی متراکم دیگر به نظر برسد. اما این اصطلاح – که کوتاه اختصار فیلتر بسته های برکلی است – در حالی که سازمان های بیشتری از eBPF استفاده می کنند تا قابلیت دید سطح پایین را در سیستم های پیچیده داشته باشد ، سر و صدا می کند. در اینجا همه مواردی که باید در مورد فیلتر گسترده بسته برکلی ، نحوه کار eBPF و مهم بودن eBPF بدانید آورده شده است. محیط های مدرن و بومی ابر.

فیلتر تمدید بسته برکلی چیست؟

Extended Berkeley Packet Filter یک رابط در هسته لینوکس است که اجرای کد سفارشی را در خود هسته امکان پذیر می کند. روش های دیگری برای اجرای برنامه ها در حالت هسته در Linux وجود دارد ، مانند بارگیری ماژول هسته. و البته ، در وهله اول ، اکثر برنامه ها در لینوکس نیازی به اجرا در هسته ندارند. اما فیلتر بسته بندی برکلی دارای سه ویژگی کشنده است که آن را از سایر ویژگی ها متفاوت می کند برنامه های مبتنی بر Linux:

• دسترسی سطح پایین: از آنجا که برنامه های فیلتر بسته بسته بندی برکلی در داخل هسته اجرا می شوند ، می توانند به منابع سیستم سطح پایین دسترسی پیدا کنند که در غیر این صورت مستقیماً در دسترس برنامه های معمولی و فضای کاربر قرار نمی گیرند. اگر شما نیاز به نظارت یا جمع آوری داده ها از فرآیندهای عمیق درون محیط لینوکس دارید ، این یک مزیت قدرتمند است.
• سادگی: اجرای برنامه های گسترده فیلتر بسته برکلی نیازی به ایجاد تغییر در کد هسته نیست ، بنابراین برای استفاده از eBPF نیازی به اجرای هسته سفارشی یا کامپایل مجدد هر چیزی نیست. حتی نیازی به بارگیری ماژول های هسته نیست. شما فقط به روشی برای ارتباط با چارچوب eBPF نیاز دارید که به طور پیش فرض درون هسته تعبیه شده است.
• سبک وزن: برنامه هایی که از طریق فیلتر بسته گسترده Berkeley اجرا می شوند ، حداقل منابع را مصرف می کنند. این بدان معناست که شما برای جمع آوری داده ها از طریق eBPF “هزینه” ناچیزی پرداخت می کنید.

چه مدت eBPF وجود دارد؟

مربوط: جریان CentOS در مقابل لینوکس CentOS: کلاه قرمزی تفاوت ها را توضیح می دهد

ریشه های فیلتر بسته گسترده برکلی را می توان به فیلتر بسته برکلی (Filter Packet Filter) ، که برای اولین بار در دهه 1990 به عنوان راهی برای کمک به نظارت بر عملیات شبکه در لینوکس و سایر سیستم های مشابه یونیکس پیاده سازی شد ، جستجو کرد.

eBPF ، که می تواند مورد استفاده قرار گیرد بیش از نظارت بر شبکه (از این رو ، نام تمدید شده فیلتر Berkeley Packet Filter) ، در سال 2014 به هسته لینوکس معرفی شد.

چرا امروزه eBPF مهم است؟

در ابتدا ، ادغام eBPF در هسته لینوکس سر و صدای زیادی ایجاد نکرد ، تا حدی به این دلیل که ابزاری که نوشتن و استقرار برنامه های eBPF را آسان می کند تا دو سال پس از معرفی eBPF بالغ نشدند. اما eBPF طی چند سال گذشته در جوامع متمرکز بر نظارت – از جمله نظارت بر عملکرد برنامه ها و نظارت امنیتی ، به یک موضوع داغ تبدیل شده است. زیرا eBPF مزایای بی نظیری را برای جمع آوری اطلاعات در مورد عملکرد و امنیت برنامه فراهم می کند. در واقع با eBPF امکان مشاهده عمیق هسته هسته لینوکس و نظارت بر نحوه برخورد سیستم با معاملات در پایین ترین سطح ، به تیم ها این امکان را می دهد تا با نظارت بر داده های سطح سطح ، دید عمیق تری نسبت به آنچه که می توانستند به دست آورند.

به عنوان مثال ، نظارت بر شبکه را در نظر بگیرید. به طور سنتی ، تنها منبع واقعی دید شما در عملکرد شبکه ، ردیابی ترافیک هنگام عبور از شبکه و جستجوی منابعی مانند سیاههها بود. اگر می خواستید دقیقاً بفهمید که بسته های شخصی هنگام ارسال یا دریافت توسط برنامه چه اتفاقی افتاده است ، راهی عالی برای این کار وجود ندارد ، مگر اینکه سیستم عامل را به گونه ای سفارشی کنید که این داده ها را نشان دهد – -که انجام آن به ندرت عملی بود.

با استفاده از فیلتر بسته بسته بندی برکلی ، می توانید برنامه ای برای انجام ردیابی های سطح پایین در داخل سیستم عامل بدون هیچ گونه پیکربندی خاصی برای سیستم عامل بنویسید.

eBPF همچنین به ویژه در شرایطی که جمع آوری داده های نظارت معمولی دشوار یا غیرممکن است مفید است – مانند مواردی که با برنامه هایی که در ظروف زودگذر اجرا می شوند سر و کار دارید. از آنجا که eBPF داده ها را در سطح سیستم عامل جمع می کند نه از داخل برنامه ها یا کانتینرها ، به شما این امکان را می دهد که بدون نیاز به کشف راهی برای خارج کردن داده ها از محفظه – و حتی بدون اجرای موارد خاص ، هر آنچه را که می خواهید ردیابی کنید. برای بدست آوردن داده ها ، داخل ظرف (یا یک ماشین جانبی) کد بزنید.

از برخی جهات ، eBPF نمونه ای از تفاوت های بین است مشاهده و نظارت. به طور سنتی ، تیم های IT فقط آنچه را که در سطح محیط زندگی آنها رخ داده است ، کنترل می کنند. فناوری هایی مانند eBPF با اجازه دادن به مهندسان برای ردیابی آنچه در اعماق سیستم ها اتفاق می افتد ، به امکان مشاهده کامل کمک می کنند.

چه کسی از eBPF سود می برد؟

فیلتر بسته گسترده برکلی مزایایی را برای ذینفعان در سراسر سازمان فناوری اطلاعات فراهم می کند. برای توسعه دهندگان ، این به معنای زمان بسیار کمتری است که برای نوشتن و ساختن کد هسته سفارشی صرف می کنند تا بفهمند چه اتفاقی در داخل هسته می افتد. برای تیم های فناوری اطلاعات ، نظارت بر پشته ها را با کاهش تعداد ابزارهایی که مهندسان برای استقرار در سیستم ها به کار می گیرند ، ساده می کند.

و برای ذینفعان مشاغل ، eBPF می تواند به سیستم های کارآمدتر و قابل اطمینان تر کمک کند. واقعیت این است که eBPF و بسیاری از موارد ابزارهای اصلی مرتبط با آن هستند فناوری منبع باز معامله را نیز شیرین می کند ، زیرا این بدان معناست که مشاغل برای استفاده از eBPF نیازی به سرمایه گذاری در فناوری گران قیمت انحصاری ندارند.

چگونه می توانید eBPF دریافت کنید؟

اگر در شش یا هفت سال گذشته هر زمان بخواهید هسته لینوکس ایجاد کنید ، eBPF باید از قبل نصب شود. با این حال ، برای تعامل با آن ، شما معمولاً می خواهید از ابزاری استفاده کنید که نوشتن و استقرار برنامه هایی را که با پسوند eBPF ارتباط دارند آسان می کند. مثالها شامل bpftrace و سلیوم.

برخی از سیستم عامل های نظارت و مشاهده انحصاری ، مانند Flowmill (که بود توسط Splunk به دست آورد در سال 2020) و کنتیک، همچنین ادغام eBPF را به عنوان یکی از روش های دستیابی به دید در سیستم های پیچیده آغاز کرده اند. بنابراین ، اگر نمی خواهید کار کثیف مدیریت برنامه های eBPF و تجزیه و تحلیل داده های آنها را خودتان انجام دهید ، می توانید یک مجموعه تجاری مشاهده را که از eBPF در زیر هود استفاده می کند مستقر کنید.