eBPF eBPF实验 什么是eBPF? eBPF(扩展的Berkley数据包过滤器)是一种旨在在Linux内核中安全执行。 它是: 具有大量代码路径分析的验证程序 内核解释器 即时编译器 潜在的处理器卸载机制 它在多个地方使用以向内核提供运行时可配置的代码注入。 如何创建eBPF? 可以直接创建eBPF机器代码(64位指令),然后通过bpf系统调用将其注入内核。 甚至在用户区C程序中甚至都有用于合成指令的宏。 但是,通常更容易用高级语言指定eBPF程序。 最常见的是“ C”,将LLVM编译器工具与“ bpf”计算机目标一起使用。 如何与eBPF程序进行交互? eBPF程序附加到内核中的各种钩子上。 他们本质上是事件处理程序。 从内核挂钩中调用它们,并为其指定特定于挂钩类型的上下文对象。 它们返回结果代码,其含义由挂钩类型定义。 eBPF验证程序可确保代码始终终止,并且永远不