Unlocking eBPF: From Packet Filtering to Cloud‑Native Observability

BPF是什么？

要回答BPF是什么，首先要了解为什么需要它。传统的网络监控器在用户空间运行，需要将内核数据复制到用户空间并进行上下文切换，这导致巨大的性能开销。随着网络流量的爆炸式增长，直接在内核空间分析数据成为必要，BPF应运而生，提供在内核中高效安全执行程序的机制。

BPF（Berkeley Packet Filter）最早由Steven McCanne和Van Jacobson在1992年提出，能够在Unix内核实现高速的数据包过滤，比当时的技术快20倍。后来演进为eBPF（extended BPF），成为通用执行引擎，支持系统追踪、网络优化等多种场景。

BPF技术发展史

自1992年发布以来，BPF技术快速发展，出现了诸多工具和平台，如BCC、Cilium、Falco、bpftrace、kubectl‑trace以及腾讯云的IPVS‑BPF模式。

BPF的超能力

1. BPF Hooks ：内核中约有10种可加载BPF程序的挂点，包括kprobes、uprobes、system calls、fentry/fexit、tracepoints、tc/xdp等。

2. BPF Map ：用于存储程序状态和统计信息，支持多种类型（Hash、Array、LRU、Ring Buffer、Stack Trace、LPM 等），并且可以在用户空间访问和持久化。

3. BPF Helper Functions ：提供对内核功能的安全封装，使BPF程序能够跨内核版本移植。

这些特性实现了强安全（通过验证器）、高性能（JIT 编译）和持续交付（无缝升级）。

BPF的限制

只能调用内核列出的 Helper 函数。

不允许包含不可达指令。

循环次数受限，必须在有限时间内结束。

堆栈大小限制为 512 字节（截至 Linux 5.8），可通过 Map 替代。

字节码指令数最初限制为 4096，已放宽至 100 万。

BPF应用场景

1. Cilium ：基于 eBPF 实现的 Kubernetes CNI 插件，提供高效的 Service/Pod/Container 网络安全和负载均衡。

2. Falco ：Sysdig 开源的云原生运行时安全项目，使用 raw_tracepoint 和 BPF Map 实时监控进程行为。

3. Kubectl‑trace ：基于 bpftrace 的插件，帮助在 Kubernetes 中追踪和排查应用。

蓬勃发展的BPF社区和生态

学习资源包括 ebpf.io 、LWN、Cilium 文档、Kernel 官方 BPF QA 等。社区活跃在 GitHub、Slack 等平台，贡献者遍布阿里巴巴、腾讯、字节跳动等公司。

我是如何学习BPF技术的

作者通过观看 Cilium 视频、阅读英文资料、动手编写 XDP 程序、调试 BPF 辅助函数，逐步掌握了寄存器使用、Map 创建以及实际项目的落地。

学习BPF给我带来的收获

能够阅读 Linux 内核代码、理解系统调用和文件系统原理，并通过技术博客提升软技能。

Q&A

包括是否必须阅读源码、Cilium 回退、内核版本要求、BPF Map 持久化等常见问题的解答。