輕量易部署!Coolbpf 釋出不依賴 Clang 的指令碼化程式設計特性 lwcb | 龍蜥技術

OpenAnolis小助手發表於2023-03-01
指令碼程式設計


文/eBPF技術探索 SIG

基於 CO-RE(Compile Once – Run Everywhe)實現的 Coolbpf 專案,新推出輕量級指令碼化程式設計特性 lwcb(Lightweight Coolbpf)。lwcb 是一款面向 eBPF 的指令碼語言和 tracing 開發工具,它可以解析使用者編寫的指令碼,生成 eBPF 位元組碼,從而實現對 Linux 核心系統的跟蹤診斷、效能分析和監控。此外,lwcb 還提供了大量內建函式,如 tcpstate 可以輕鬆將整數轉換成 tcp 狀態字串,tcphdr、iphdr 可以讓使用者從 skb 裡獲取 tcphdr 或 iphdr 結構體,有助於快速編寫核心網路相關的 eBPF 程式。lwcb 也讓使用者方便地新增更多的內建函式,覆蓋更多應用場景。

01 lwcb 特性

輕量級、易部署

lwcb 使用 rust 開發了一個小巧的解析器,不依賴於 Clang。它採用輕量級的編譯器,並且為編譯器新增了 eBPF 後端,使其不需要依賴於 llvm。lwcb 編譯後只有一個大小約為 8MB 的獨立二進位制程式,部署非常方便快捷。以往部署 BCC 和 bpftrace 等工具,需要在目標執行機器上安裝一堆編譯和執行庫。

指令碼化、開發快

lwcb 當前支援類似於 bpftrace 的指令碼解釋執行能力,優勢是不需要編譯。同時提供了更多內建函式,方便開發和使用。另外,他天然支援 CO-RE 的能力,在不同核心版本上安全執行。可以說,功能比較強大。

lwcb 功能性強主要體現在以下幾點:

  1. 更多的內建函式:如tcphdr、iphdr、tcpstate 等等。

  2. 探測點函式引數自動注入功能:

lwcb -t 'kprobe:tcp_rcv_established { ih = iphdr(skb); print("sip: %s dip: %s\n", ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr))); }'

使用者可以直接訪問 tcp_rcv_established 函式的 skb 引數,進而獲取 IP 地址和埠號資訊。

  1. 支援 BTF,能夠進行型別推導。如 th = tcphdr(skb);,lwcb能夠根據 BTF 資訊,知道 skb 的型別是 struct sk_buff*,th 的型別是 struct tcphdr *。使用者可以直接來訪問 struct tcphdr結構體中的成員,如 th->source,而無需再宣告 th 的型別。

  2. 支援 python,使得 lwcb 可以充分利用python來進行復雜的資料處理,類似於 bcc 的開發方式。使用者可以透過 import pylwcb 來使用 lwcb 的功能。下面是一個簡單的例子:

import pylwcb
lwcb_program = """
    kprobe:tcp_rcv_established {
        th = tcphdr(skb);
        ih = iphdr(skb);
        print(ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr)), bswap(th->source), bswap(th->dest));
    }
    """
lwcb = pylwcb.Pylwcb(lwcb_program)
lwcb.attach()
events = lwcb.read_events()
for event in events:
    print(event)

  1. 支援批次探測點,kprobe:(struct sock *sk) 會跟蹤核心裡所有攜帶有 struct sock *sk 引數的函式。可以利用該功能,實現更細粒度的 function graph。

kprobe:(struct sock *sk) {
  sport = sk->__sk_common.skc_num;
  if (sport == 22) {
    print("%s %s\n", timestr(ns()), ksym(reg("ip")));
  }
}

02 lwcb 使用方法

只需要更新 Coolbpf () 到 1.0.0 版本,就可以使用 lwcb 指令碼化程式設計功能。

編譯 lwcb

  1. 準備編譯環境()

安裝 rust 編譯工具鏈:curl --proto '=https' --tlsv1.2 -sSf | sh

克隆 Coolbpf 程式碼:git clone .git

進入到 lwcb 目錄:cd coolbpf/lwcb

  1. 編譯:cargo build --release 即可完成編譯,生成的 lwcb 可執行程式在:target/release/lwcb。

  2. 此外,lwcb 執行還需要 BTF 檔案,可以從該網址()下載對應核心的 BTF 檔案,然後放在 /boot 目錄下。

lwcb 執行單行命令

lwcb -t <TEXT> 可以直接執行單條命令形式的 eBPF 程式,如:

lwcb -t 'kprobe:tcp_rcv_established {print("%s :triggerred by tcp_rcv_established\n", timestr(ns()));}

lwcb 執行指令碼

lwcb <*.cb> 可以直接執行指令碼。在 coolbpf/tools/lwcb 目錄已經有若干個 lwcb 指令碼,我們可以透過命令:lwcb tcpdrop.cb 來執行 tcpdrop 指令碼。

03 pylwcb:lwcb 的 python 模組

pylwcb 是 lwcb 的 python 模組。透過 pylwcb 我們可以使用 lwcb 提供的指令碼化能力,同時可以利用 python 強大的資料處理能力。

04 pylwcb 使用方法

編譯 pylwcb

  1. 編譯環境準備

a. 進入到 pylwcb 專案目錄:cd coolbpf/lwcb/pylwcb。

b. 建立獨立的 python 虛擬環境:python -m venv .env。

c. 啟用該開發虛擬環境:source .env/bin/activate。

d. 安裝 pylwcb 編譯環境依賴的 python 庫:pip install tomli && pip install setuptools_rust && pip install maturin。

  1. 編譯 pylwcb:我們可以透過命令:maturin develop 來編譯 pylwcb,進而生產相應的 python 模組。一般生成的 python 模組所在目錄是:.env/lib64/python3.6/site-packages/。

使用 pylwcb

下面是一個簡單的 pylwcb 指令碼示例:

import pylwcb
lwcb_program = """
kprobe:tcp_rcv_established {
    th = tcphdr(skb);
    ih = iphdr(skb);
    print(ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr)), bswap(th->source), bswap(th->dest));
}
"""
lwcb = pylwcb.Pylwcb(lwcb_program)
lwcb.attach()
events = lwcb.read_events()
for event in events:
    print(event)

  • lwcb_program 存放了 lwcb 指令碼程式碼,其主要功能是探測核心的 tcp_rcv_established 函式,列印 tcp 接收到報文的四元組,即源地址、目的地址、源埠和目的埠。

  • lwcb = pylwcb.Pylwcb(lwcb_program) 建立了 Pylwcb 例項。

  • lwcb.attach() 編譯並載入 eBPF 程式。

  • lwcb.read_events() 讀取 eBPF 程式的輸出。



相關連結可移步龍蜥公眾號(OpenAnolis龍蜥)2023年2月28日相同推送檢視。

—— 完 ——


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70004278/viewspace-2937557/,如需轉載,請註明出處,否則將追究法律責任。

相關文章