2021年11月24日 · eBPF 的 kubectl 插件，能够对 node/pod 等 k8s 资源使用 bpftrace 监控。 最新的版本 v0.1.2 (2021.7)还仅支持 bpftrace，未来的版本会同时支持 bpftrace 和 bcc(代码已合入主分支但还没 release)。

kube-proxy组件侦听来自kubernetes的所有服务请求，并在iptables中为每个服务IP创建条目，以实现到Pod的正确路由。 如果我们为上面的示例ips转储iptables并进行检查，我们将看到此情况: 如我们所见，服务IP 102.66.12.133被“映射”到端口80上的容器IP 102.121.46.193。 为什么要替换 kube-proxy ? 那么，为什么要替换kube-proxy呢？ kube-proxy组件已被广泛使用，就像事实上的部署一样，因此没有真正的理由无故删除它。 上面与iptables相关的入门文章中也暗示了另一个 …

BPF 是一项革命性的技术，可在无需编译内核或加载内核模块的情况下，安全地高效地附加到内核的各种事件上，对内核事件进行监控、跟踪和可观测性。 BPF 可用于多种用途，如：开发 性能分析工具 、软件定义网络和安全等。 我很荣幸获得今年 openEuler Summit 大会的演讲资格，做 BPF 技术知识和实践经验的分享。 本文将作为技术分享，从 BPF 技术由来、架构演变、BPF 跟踪、以及 容器安全 面对新挑战，如何基于 BPF 技术实现 容器 运行时安全等方面进行介绍。 …

2024年1月23日 · dolphin插件使用eBPF技术并基于K8s框架设计，提供了容器网络多维度 (pod、flow、自定义)监控和故障快速诊断能力，让客户可以更深入的观测K8s集群网络的运行情况，协助运维人员提前预防和快速定位故障。 设计框架如下图所示： dolphin支持运行在CCE Turbo集群，通过daemonset部署在K8s node上，使用CRD管理监控任务，监控结果为telemetry exporter格式，支持普罗主动拉取监控结果。 CRD定义如下： name: example-task #监控任务名. …

eBPF 是一种可以在不改变 Kernel 的前提下，开发 Kernel 相关能力的一种技术。 开发 eBPF 的程序需要使用 C 语言，因为 Kernel 是 C 语言开发的，eBPF 在开发的过程中会依赖 Kernel 的 uapi 以及 Linux 的 Hepler 方法来完成处理。 Linux 是基于事件模型的系统，也支持了 eBPF 类型 Hook，在一些 Hook 点执行挂载的 eBPF 程序。 在不同的挂载点，支持不同类型的 eBPF 程序类型。 为什么 eBPF 会有类型？ 主要考虑的是，Linux 本身的能力非常多，而提供给外部可调 …

eBPF是一项革命性的技术，可以在Linux内核中运行沙盒程序，而无需更改内核源代码或加载内核模块。 通过使Linux内核可编程，基础架构软件可以利用现有的层，从而使它们更加智能和功 …

2023年7月18日 · However, utilizing eBPF in these applications may require escalating pod privileges to CAP_SYS_ADMIN or CAP_SYS_BPF level, which can compromise security. This article aims to demonstrate how to use eBPF object pinning to utilize eBPF in unprivileged Pods.

2022年8月29日 · eBPF 源于 BPF，本质上是处于内核中的一个高效与灵活的虚类 虚拟机 组件，以一种安全的方式在许多内核 hook 点执行字节码。 BPF 最初的目的是用于高效网络报文过滤，经过重新设计，eBPF 不再局限于网络协议栈，已经成为内核顶级的子系统，演进为一个通用执行引擎。 开发者可基于 eBPF 开发 性能分析工具 、软件定义网络、安全等诸多场景。 本文将介绍 eBPF 的前世今生，并构建一个 eBPF 环境进行开发实践，文中所有的代码可以在我的 GitHub [1] 中 …

2020年12月1日 · 简述概括， eBPF 是一套通用执行引擎，提供了可基于系统或程序事件高效安全执行特定代码的通用能力，通用能力的使用者不再局限于内核开发者；eBPF 可由执行字节码指令、存储对象和 Helper 帮助函数组成，字节码指令在内核执行前必须通过 BPF 验证器 Verfier 的验证，同时在启用 BPF JIT 模式的内核中，会直接将字节码指令转成内核可执行的本地指令运行。 同时，eBPF 也逐渐在观测（跟踪、性能调优等）、安全和网络等领域发挥重要的角色。

2017年12月7日 · By using eBPF, Cilium can dynamically generate and apply rules—even at the device level with XDP—without making changes to the Linux kernel itself. The Cilium Agent runs on each host.