linux内核观测技术BPF速读笔记

动机：对bpf这些有点兴趣，通过速度这本书169页，获取一点知识。最近在网上看到的一种观点，很多书很多文字没有经过仔细的打磨，有可能是无用的信息，当然这个无用是很主观的，可能是自己的理解水平有限，但客观来讲就是自己读完没有太大的收获。因此读书要快，先很快的掌握了全貌，再去揪细节。

1&2&3

这几章节，BPF的历史和BPF的数据操作
比较关键的信息是bpf_trace_printk()要在/sys/kernel/debug/tracing/trace_pipe里边查看
BPF 分两类任务 跟踪&网络
第一个helloworld，检测到execve系统调用就输出

4 BPF跟踪

bpf的跟踪类任务

	静态 ABI稳定	动态 ABI不稳定
内核态	跟踪点	kprobes执行前插入 kretprobes返回后插入
用户态	usdt	uprobes执行前插入 uretprobes返回后插入

BPF 可视化：BPF收集信息，处理和可视化任务让给用户态的Perf事件来做

5 BPF工具

BPFtool

命令行工具，查看bpf信息，增删改查bpf映射

BPFTrace

类似与bpf的bash，按照DSL规则写脚本，即可直接运行

6 BPF网络

tcpdump工具

tcpdump—>linux pcap过滤器—>pcap过滤器被编译为bpf程序-d选项可查看BPF汇编指令
使用例子sudo tcpdump -n 'ip and tcp port 80'

源码bpf_load.c

流量控制TC

术语：排队规则qdisc
流量控制（Traffic Control， tc）是Linux内核提供的流量限速、整形和策略控制机制。它以qdisc-class-filter的树形结构来实现对流量的分层控制。参考
文中以cls_bpf分类器编写流量控制的BPF程序，cls_bpf可将BPF程序挂载到入口和出口即可直接访问sk_buff结构

7 XDP

XDP VS TC

TC	访问sk_buff，有数据包的元数据，tc为加载器	tc为加载器	有数据包的元数据
XDP	访问xdp_buff, 在进入主内核网络栈之前执行	ip为加载器	网卡NIC级别

总结

快速了解了下BPF的能力、优缺点。感觉这种速读还是有点意义的。

Q&A

1. 第一章代码make后报错make: *** no rule to make target '/kernel-src/samples/bpf/bpf_load.c', needed by 'build'. stop.
   看看环境配置的[readme](https://github.com/bpftools/linux-observability- with-bpf/blob/master/README.md)吧，要下载一些东西