作者:于桐,鄭昱笙
eBPF(extended Berkeley Packet Filter)是一種高性能的內(nèi)核虛擬機烦感,可以運行在內(nèi)核空間中,以收集系統(tǒng)和網(wǎng)絡(luò)信息山橄。隨著計算機技術(shù)的不斷發(fā)展墙歪,eBPF 的功能日益強大听系,并且已經(jīng)成為各種效率高效的在線診斷和跟蹤系統(tǒng),以及構(gòu)建安全的網(wǎng)絡(luò)虹菲、服務(wù)網(wǎng)格的重要組成部分靠胜。
WebAssembly(Wasm)最初是以瀏覽器安全沙盒為目的開發(fā)的,發(fā)展到目前為止毕源,WebAssembly 已經(jīng)成為一個用于云原生軟件組件的高性能浪漠、跨平臺和多語言軟件沙箱環(huán)境,Wasm 輕量級容器也非常適合作為下一代無服務(wù)器平臺運行時霎褐,或在邊緣計算等資源受限的場景高效執(zhí)行址愿。
現(xiàn)在,借助 Wasm-bpf 編譯工具鏈和運行時冻璃,我們可以使用 Wasm 將 eBPF 程序編寫為跨平臺的模塊响谓,使用 C/C++ 和 Rust 編寫程序。通過在 WebAssembly 中使用 eBPF 程序省艳,我們不僅讓 Wasm 應(yīng)用獲得 eBPF 的高性能娘纷、對系統(tǒng)接口的訪問能力,還可以讓 eBPF 程序享受到 Wasm 的沙箱跋炕、靈活性赖晶、跨平臺性、和動態(tài)加載的能力辐烂,并且使用 Wasm 的 OCI 鏡像來方便遏插、快捷地分發(fā)和管理 eBPF 程序。例如棉圈,可以類似 docker 一樣,從云端一行命令獲取 Wasm 輕量級容器鏡像眷蜓,并運行任意 eBPF 程序分瘾。通過結(jié)合這兩種技術(shù),我們將會給 eBPF 和 Wasm 生態(tài)來一個全新的開發(fā)體驗吁系!
使用 Wasm-bpf 工具鏈在 Wasm 中編寫德召、動態(tài)加載、分發(fā)運行 eBPF 程序
在前兩篇短文中汽纤,我們已經(jīng)介紹了 Wasm-bpf 的設(shè)計思路上岗,以及如何使用 C/C++ 在 Wasm 中編寫 eBPF 程序:
- Wasm-bpf: 架起 Webassembly 和 eBPF 內(nèi)核可編程的橋梁: https://mp.weixin.qq.com/s/2InV7z1wcWic5ifmAXSiew
- 在 WebAssembly 中使用 C/C++ 和 libbpf 編寫 eBPF 程序: https://zhuanlan.zhihu.com/p/605542090
基于 Wasm,我們可以使用多種語言構(gòu)建 eBPF 應(yīng)用蕴坪,并以統(tǒng)一肴掷、輕量級的方式管理和發(fā)布敬锐。以我們構(gòu)建的示例應(yīng)用 bootstrap.wasm 為例,使用 C/C++ 構(gòu)建的鏡像大小最小僅為 ~90K呆瞻,很容易通過網(wǎng)絡(luò)分發(fā)台夺,并可以在不到 100ms 的時間內(nèi)在另一臺機器上動態(tài)部署、加載和運行痴脾,并且保留輕量級容器的隔離特性颤介。運行時不需要內(nèi)核特定版本頭文件、LLVM赞赖、clang 等依賴滚朵,也不需要做任何消耗資源的重量級的編譯工作。對于 Rust 而言前域,編譯產(chǎn)物會稍大一點辕近,大約在 2M 左右。
本文將以 Rust 語言為例话侄,討論:
- 使用 Rust 編寫 eBPF 程序并編譯為 Wasm 模塊
- 使用 OCI 鏡像發(fā)布亏推、部署、管理 eBPF 程序年堆,獲得類似 Docker 的體驗
我們在倉庫中提供了幾個示例程序吞杭,分別對應(yīng)于可觀測、網(wǎng)絡(luò)变丧、安全等多種場景芽狗。
編寫 eBPF 程序并編譯為 Wasm 的大致流程
一般說來,在非 Wasm 沙箱的用戶態(tài)空間痒蓬,使用 libbpf-bootstrap 腳手架童擎,可以快速、輕松地使用 C/C++構(gòu)建 BPF 應(yīng)用程序攻晒。編譯顾复、構(gòu)建和運行 eBPF 程序(無論是采用什么語言),通常包含以下幾個步驟:
- 編寫內(nèi)核態(tài) eBPF 程序的代碼鲁捏,一般使用 C/C++ 或 Rust 語言
- 使用 clang 編譯器或者相關(guān)工具鏈編譯 eBPF 程序(要實現(xiàn)跨內(nèi)核版本移植的話芯砸,需要包含 BTF 信息)。
- 在用戶態(tài)的開發(fā)程序中给梅,編寫對應(yīng)的加載假丧、控制、掛載动羽、數(shù)據(jù)處理邏輯包帚;
- 在實際運行的階段,從用戶態(tài)將 eBPF 程序加載進入內(nèi)核运吓,并實際執(zhí)行渴邦。
使用 Rust 編寫 eBPF 程序并編譯為 Wasm
Rust 可能是 WebAssembly 生態(tài)系統(tǒng)中支持最好的語言疯趟。Rust 不僅支持幾個 WebAssembly 編譯目標(biāo),而且 wasmtime几莽、Spin迅办、Wagi 和其他許多 WebAssembly 工具都是用 Rust 編寫的。因此章蚣,我們也提供了 Rust 的開發(fā)示例:
- Wasm 和 WASI 的 Rust 生態(tài)系統(tǒng)非常棒
- 許多 Wasm 工具都是用 Rust 編寫的站欺,這意味著有大量的代碼可以復(fù)用。
- Spin 通常在對其他語言的支持之前就有Rust的功能支持
- Wasmtime 是用 Rust編寫的纤垂,通常在其他運行時之前就有最先進的功能矾策。
- 可以在 WebAssembly 中使用許多現(xiàn)成的 Rust 庫。
- 由于 Cargo 的靈活構(gòu)建系統(tǒng)峭沦,一些 Crates 甚至有特殊的功能標(biāo)志來啟用Wasm的功能(例如Chrono)贾虽。
- 由于 Rust 的內(nèi)存管理技術(shù),與同類語言相比吼鱼,Rust 的二進制大小很小蓬豁。
我們同樣提供了一個 Rust 的 eBPF SDK,可以使用 Rust 編寫 eBPF 的用戶態(tài)程序并編譯為 Wasm菇肃。借助 aya-rs 提供的相關(guān)工具鏈支持地粪,內(nèi)核態(tài)的 eBPF 程序也可以用 Rust 進行編寫,不過在這里琐谤,我們還是復(fù)用之前使用 C 語言編寫的內(nèi)核態(tài)程序蟆技。
首先,我們需要使用 rust 提供的 wasi 工具鏈斗忌,創(chuàng)建一個新的項目:
rustup target add wasm32-wasi
cargo new rust-helloworld
之后质礼,可以使用 Makefile 運行 make 完成整個編譯流程,并生成 bootstrap.bpf.o eBPF 字節(jié)碼文件织阳。
使用 wit-bindgen 生成類型信息眶蕉,用于內(nèi)核態(tài)和 Wasm 模塊之間通信
wit-bindgen 項目是一套著眼于 WebAssembly,并使用組件模型的語言的綁定生成器唧躲。綁定是用 *.wit 文件描述的造挽,文件中描述了 Wasm 模塊導(dǎo)入、導(dǎo)出的函數(shù)和接口惊窖。我們可以 wit-bindgen 它來生成多種語言的類型定義刽宪,以便在內(nèi)核態(tài)的 eBPF 和用戶態(tài)的 Wasm 模塊之間傳遞數(shù)據(jù)厘贼。
我們首先需要在 Cargo.toml 配置文件中加入 wasm-bpf-binding 和 wit-bindgen-guest-rust 依賴:
wasm-bpf-binding = { path = "wasm-bpf-binding" }
這個包提供了 wasm-bpf 由運行時提供給 Wasm 模塊界酒,用于加載和控制 eBPF 程序的函數(shù)的綁定。
-
wasm-bpf-binding在 wasm-bpf 倉庫中有提供嘴秸。
[dependencies]
wit-bindgen-guest-rust = { git = "https://github.com/bytecodealliance/wit-bindgen", version = "0.3.0" }
[patch.crates-io]
wit-component = {git = "https://github.com/bytecodealliance/wasm-tools", version = "0.5.0", rev = "9640d187a73a516c42b532cf2a10ba5403df5946"}
wit-parser = {git = "https://github.com/bytecodealliance/wasm-tools", version = "0.5.0", rev = "9640d187a73a516c42b532cf2a10ba5403df5946"}
這個包支持用 wit 文件為 rust 客戶程序生成綁定毁欣。使用這個包的情況下庇谆,我們不需要再手動運行 wit-bindgen。
接下來凭疮,我們使用 btf2wit 工具饭耳,從 BTF 信息生成 wit 文件≈唇猓可以使用 cargo install btf2wit 安裝我們提供的 btf2wit 工具寞肖,并編譯生成 wit 信息:
cd btf
clang -target bpf -g event-def.c -c -o event.def.o
btf2wit event.def.o -o event-def.wit
cp *.wit ../wit/
- 其中
event-def.c是包含了我們需要的結(jié)構(gòu)體信息的的 C 程序文件。只有在導(dǎo)出符號中用到的結(jié)構(gòu)體才會被記錄在 BTF 中衰腌。
對于 C 結(jié)構(gòu)體生成的 wit 信息新蟆,大致如下:
default world host {
record event {
pid: s32,
ppid: s32,
exit-code: u32,
--pad0: list<s8>,
duration-ns: u64,
comm: list<s8>,
filename: list<s8>,
exit-event: s8,
}
}
wit-bindgen-guest-rust 會為 wit 文件夾中的所有類型信息,自動生成 rust 的類型右蕊,例如:
#[repr(C, packed)]
#[derive(Debug, Copy, Clone)]
struct Event {
pid: i32,
ppid: i32,
exit_code: u32,
__pad0: [u8; 4],
duration_ns: u64,
comm: [u8; 16],
filename: [u8; 127],
exit_event: u8,
}
編寫用戶態(tài)加載和處理代碼
為了在 WASI 上運行琼稻,需要為 main.rs 添加 #![no_main] 屬性,并且 main 函數(shù)需要采用類似如下的形態(tài):
#[export_name = "__main_argc_argv"]
fn main(_env_json: u32, _str_len: i32) -> i32 {
return 0;
}
用戶態(tài)加載和掛載代碼饶囚,和 C/C++ 中類似:
let obj_ptr =
binding::wasm_load_bpf_object(bpf_object.as_ptr() as u32, bpf_object.len() as i32);
if obj_ptr == 0 {
println!("Failed to load bpf object");
return 1;
}
let attach_result = binding::wasm_attach_bpf_program(
obj_ptr,
"handle_exec\0".as_ptr() as u32,
"\0".as_ptr() as u32,
);
...
polling ring buffer:
let map_fd = binding::wasm_bpf_map_fd_by_name(obj_ptr, "rb\0".as_ptr() as u32);
if map_fd < 0 {
println!("Failed to get map fd: {}", map_fd);
return 1;
}
// binding::wasm
let buffer = [0u8; 256];
loop {
// polling the buffer
binding::wasm_bpf_buffer_poll(
obj_ptr,
map_fd,
handle_event as i32,
0,
buffer.as_ptr() as u32,
buffer.len() as i32,
100,
);
}
使用 handler 接收返回值:
extern "C" fn handle_event(_ctx: u32, data: u32, _data_sz: u32) {
let event_slice = unsafe { slice::from_raw_parts(data as *const Event, 1) };
let event = &event_slice[0];
let pid = event.pid;
let ppid = event.ppid;
let exit_code = event.exit_code;
if event.exit_event == 1 {
print!(
"{:<8} {:<5} {:<16} {:<7} {:<7} [{}]",
"TIME",
"EXIT",
unsafe { CStr::from_ptr(event.comm.as_ptr() as *const i8) }
.to_str()
.unwrap(),
pid,
ppid,
exit_code
);
...
}
接下來即可使用 cargo 編譯運行:
$ cargo build --target wasi32-wasm
$ sudo wasm-bpf ./target/wasm32-wasi/debug/rust-helloworld.wasm
TIME EXEC sh 180245 33666 /bin/sh
TIME EXEC which 180246 180245 /usr/bin/which
TIME EXIT which 180246 180245 [0] (1ms)
TIME EXIT sh 180245 33666 [0] (3ms)
TIME EXEC sh 180247 33666 /bin/sh
TIME EXEC ps 180248 180247 /usr/bin/ps
TIME EXIT ps 180248 180247 [0] (23ms)
TIME EXIT sh 180247 33666 [0] (25ms)
TIME EXEC sh 180249 33666 /bin/sh
TIME EXEC cpuUsage.sh 180250 180249 /root/.vscode-server-insiders/bin/a7d49b0f35f50e460835a55d20a00a735d1665a3/out/vs/base/node/cpuUsage.sh
使用 OCI 鏡像發(fā)布和管理 eBPF 程序
開放容器協(xié)議 (OCI) 是一個輕量級帕翻,開放的治理結(jié)構(gòu),為容器技術(shù)定義了規(guī)范和標(biāo)準(zhǔn)萝风。在 Linux 基金會的支持下成立嘀掸,由各大軟件企業(yè)構(gòu)成,致力于圍繞容器格式和運行時創(chuàng)建開放的行業(yè)標(biāo)準(zhǔn)闹丐。其中包括了使用 Container Registries 進行工作的 API横殴,正式名稱為 OCI 分發(fā)規(guī)范 (又名“distribution-spec”)。
Docker 也宣布推出與 WebAssembly 集成 (Docker+Wasm) 的首個技術(shù)預(yù)覽版卿拴,并表示公司已加入字節(jié)碼聯(lián)盟 (Bytecode Alliance)衫仑,成為投票成員。Docker+Wasm 讓開發(fā)者能夠更容易地快速構(gòu)建面向 Wasm 運行時的應(yīng)用程序堕花。
借助于 Wasm 的相關(guān)生態(tài)文狱,可以非常方便地發(fā)布、下載和管理 eBPF 程序缘挽,例如瞄崇,使用 wasm-to-oci 工具,可以將 Wasm 程序打包為 OCI 鏡像壕曼,獲取類似 docker 的體驗:
wasm-to-oci push testdata/hello.wasm <oci-registry>.azurecr.io/wasm-to-oci:v1
wasm-to-oci pull <oci-registry>.azurecr.io/wasm-to-oci:v1 --out test.wasm
我們也將其集成到了 eunomia-bpf 的 ecli 工具中苏研,可以一行命令從云端的 Github Packages 中下載并運行 eBPF 程序,或通過 Github Packages 發(fā)布:
# push to Github Packages
ecli push https://ghcr.io/eunomia-bpf/sigsnoop:latest
# pull from Github Packages
ecli pull https://ghcr.io/eunomia-bpf/sigsnoop:latest
# run eBPF program
ecli run https://ghcr.io/eunomia-bpf/sigsnoop:latest
我們已經(jīng)在 LMP 項目的 eBPF Hub 中腮郊,有一些創(chuàng)建符合 OCI 標(biāo)準(zhǔn)的 Wasm-eBPF 應(yīng)用程序摹蘑,并利用 ORAS 簡化擴展 eBPF 應(yīng)用開發(fā),分發(fā)轧飞、加載衅鹿、運行能力的嘗試[11]撒踪,以及基于 Wasm 同時使用多種不同語言開發(fā) eBPF 的用戶態(tài)數(shù)據(jù)處理插件的實踐〈蟛常基于最新的 Wasm-bpf 框架制妄,有更多的探索性工作可以繼續(xù)展開,我們希望嘗試構(gòu)建一個完整的針對 eBPF 和 Wasm 程序的包管理系統(tǒng)泵三,以及更多的可以探索的應(yīng)用場景耕捞。
總結(jié)
本文以 Rust 語言為例,討論了使用 Rust 編寫 eBPF 程序并編譯為 Wasm 模塊以及使用 OCI 鏡像發(fā)布烫幕、部署砸脊、管理 eBPF 程序,獲得類似 Docker 的體驗纬霞。更完整的代碼凌埂,請參考我們的 Github 倉庫:https://github.com/eunomia-bpf/wasm-bpf.
接下來,我們會繼續(xù)完善在 Wasm 中使用多種語言開發(fā)和運行 eBPF 程序的體驗诗芜,提供更完善的示例和用戶態(tài)開發(fā)庫/工具鏈瞳抓,以及更具體的應(yīng)用場景。
參考資料
- wasm-bpf Github 開源地址:https://github.com/eunomia-bpf/wasm-bpf
- 什么是 eBPF:https://ebpf.io/what-is-ebpf
- WASI-eBPF: https://github.com/WebAssembly/WASI/issues/513
- 龍蜥社區(qū) eBPF 技術(shù)探索 SIG https://openanolis.cn/sig/ebpfresearch
- eunomia-bpf 項目:https://github.com/eunomia-bpf/eunomia-bpf
- eunomia-bpf 項目龍蜥 Gitee 鏡像:https://gitee.com/anolis/eunomia
- Wasm-bpf: 架起 Webassembly 和 eBPF 內(nèi)核可編程的橋梁:https://mp.weixin.qq.com/s/2InV7z1wcWic5ifmAXSiew
- 當(dāng) WASM 遇見 eBPF :使用 WebAssembly 編寫伏恐、分發(fā)孩哑、加載運行 eBPF 程序:https://zhuanlan.zhihu.com/p/573941739
- Docker+Wasm技術(shù)預(yù)覽:https://zhuanlan.zhihu.com/p/583614628
- LMP eBPF-Hub: https://github.com/linuxkerneltravel/lmp
- wasm-to-oci: https://github.com/engineerd/wasm-to-oci
- btf2wit: https://github.com/eunomia-bpf/btf2wit
