eBPF چیست؟ چطور باعث اجرای برنامه در هسته میشود؟
با پیچیدهتر شدن زیر ساختهای نرم افزاری و افزایش نیاز به امنیت، کارایی و مشاهده پذیری دقیق سیستمها، دسترسی هوشمندانه و ایمن به هسته سیستم عامل بیش از هر زمان دیگری اهمیت پیدا کرده است. هسته لینوکس به عنوان قلب سیستم عامل، اطلاعات و قابلیتهای ارزشمندی را در خود جای داده که دسترسی مستقیم به آن همواره با ریسک و محدودیت همراه بوده است. در این میان، فناوری eBPF به عنوان راهکاری نوین و قدرتمند معرفی شد تا بدون ایجاد اختلال در پایداری سیستم، امکان اجرای برنامههای سفارشی، مانیتورینگ دقیق و تحلیل رویدادهای سطح هسته را فراهم کند. eBPF با ترکیب امنیت، انعطاف پذیری و عملکرد بالا، به یکی از مهمترین ابزارها در حوزه شبکه، امنیت و مشاهده پذیری در لینوکس تبدیل شده است.
eBPF چیست؟
Extended Berkeley Packet Filter (eBPF) یک فناوری است که به توسعه دهندگان این امکان را میدهد تا بتوانند در هسته لینوکس برنامههایی امن و قابل اجرا بسازند. با eBPF دسترسی به داخلیترین قسمتهای سیستم عامل ممکن میشود و چالشها و مشکلات در حوزه شبکه قابل مشاهده خواهند بود. برنامههای ساخته شده با eBPF در هسته لینوکس، برای فیلتر کردن بستههای شبکه، مانیتورینگ هسته و سیستم، اجرای عملیاتهای مربوط به سیستم و… قابل استفاده هستند.
تفاوت eBPF و BPF
ابزارهای فیلتر بسته در فضای کاربر استفاده میشدند که این موضوع باعث مصرف منابع CPU و عدم عملکرد خوب قابلیتها میشد. در این زمان BPF از یک روش متفاوت استفاده کرد. این ابزار درون هسته و مانند یک ماشین مجازی اجرا میشد و فیلتر کردن بستهها را در این فضا انجام میداد. این موضوع باعث کاهش مصرف منابع CPU و ترافیک میشد. با این وجود استفاده از BPF بسیار کم بود و محبوبیتی نداشت. در زمان ارائه نسخه 64 بیتی، این ابزار تغییرات زیادی کرد و قابلیتهای بیشتری از فیلتر بسته به آن افزوده شد. بعد از این اتفاق نام آن به eBPF تغییر کرد.
چرا برای دسترسی به هسته، eBPF نیاز است؟
برنامههای هسته بسیار حساس هستند و یک باگ کوچک در آنها ممکن است مشکلات بزرگی برای سیستم شوند. به همین دلیل دسترسی به هسته محدود است و سیستم عامل به آن دسترسی دارد. اما خب این موضوع چالشهایی نیز داشته است. دسترسی محدود باعث شده بسیاری از برنامهها به رویدادهایی که در سطح هسته است دسترسی نداشته باشند.
در این میان eBPF با ارائه یک فضای محافظت شده در فضای هسته این امکان را برای کاربران ایجاد کرده تا به هسته دسترسی داشته باشند، ولی به آن آسیبی وارد نکنند. eBPF قبل از اجرای کد امنیت و مشکلات آن را بررسی میکند و ریسکها را تا حد زیادی کاهش میدهد.
eBPF چه کاربردهایی دارد؟
در حوزههایی مثل شبکه، امنیت، مشاهده پذیری و مواردی از این قبیل، eBPF گزینهای مناسب است. پردازشهای پیچیده، ترافیک شبکه و قابلیتهای امنیتی دقیق اما سبک با این ابزار ممکن میشود، چیزی که با ابزارهای دیگر ممکن نبود یا دقیق نبود. کاربردهای eBPF شامل:
- بررسی و مانیتورینگ Syscallها
- پیاده سازی و پیکربندی فایروالهای هوشمند
- بررسی و تحلیل شبکه
- بررسی پردازشها
قابلیتهای eBPF
- با eBPF توسعه دهندگان به هسته دسترسی زیادی دارند و میتوانند برنامهها را برای آن بنویسند و اجرا کنند
- بهره وری از محصولات و برنامههایی که بر پایه eBPF ساخته شدهاند.
- برنامههای مبتنی بر eBPF را میتوان به سرعت بارگذاری، به روز رسانی یا غیر فعال کرد؛ بدون نیاز به ریبوت سیستم یا اعمال تغییرات پرهزینه در هسته.
با توجه به قابلیتها و تغییرات در آینده، انتظار میرود کاربردهای eBPF در آینده بیشتر شود و نقش آن در امنیت و مشاهده پذیری پر رنگتر از همیشه باشد.
eBPF چگونه کار میکند؟
کاربرد اصلی eBPF، اجرای برنامهها در یک محیط ایزوله شده در هسته توسط ماشین مجازی است. خب برای اینکه بتوان یک برنامه را در آن اجرا کرد، توسعه دهندگان باید کد را نوشته و آن را به بایت کد میانی تبدیل کنند. در قدم بعدی باید یک هوک توسط برنامه نویس برای اتصال برنامه مشخص شود و در یک کتابخانه eBPF بارگذاری شود. مراحل بعدی را eBPF انجام میدهد. موتور اعتبار سنجی eBPF، برنامه را بررسی میکند و بایت کد را به دستورات مخصوص ماشین تبدیل میکند.
در این گام، برنامه eBPF مهیاست تا از طریق هوک تعیین شده مثل یک فراخوانی سیستمی یا رویداد شبکه اجرا شود. بعد از فعال شدن، این برنامه به مجموعهای از توابع از پیش آماده با عنوان «helper» دسترسی دارد؛ توابعی که امکان انجام کارهایی مانند خواندن و نوشتن داده در ساختارهای کلید مقدار، تولید اعداد شبه تصادفی، مسیر دهی بستههای شبکه و بسیاری عملیات دیگر را فراهم میکنند. این helperها برای تضمین امنیت و پایداری، مستقیما توسط هسته تعریف شدهاند، اما قابلیتهای متنوع آنها باعث میشود توسعه دهندگان بتوانند بدون دست کاری یا تغییر در کد هسته، راهکارها و کاربردهای گوناگونی را پیادهسازی کنند.
کلام آخر
eBPF را میتوان پلی هوشمند میان فضای کاربر و هسته لینوکس دانست؛ پلی که بدون قربانی کردن امنیت و پایداری، امکان مشاهده، تحلیل و کنترل عمیق سیستم را فراهم میکند. این فناوری با فراهم کردن انعطاف پذیری بالا، عملکرد بهینه و قابلیت توسعه سریع، مسیر تازهای برای نوآوری در حوزههایی مانند شبکه، امنیت و مشاهده پذیری باز کرده است. با رشد نیاز به سیستمهای مقیاس پذیر، امن و قابل مانیتورینگ، eBPF نه تنها یک ابزار پیشرفته، بلکه به یکی از اجزای کلیدی آینده زیر ساختهای لینوکسی تبدیل خواهد شد.
سوالات متداول
خیر. برنامههای eBPF قبل از اجرا توسط موتور اعتبار سنجی بررسی میشوند تا از نبود حلقه بی نهایت، دسترسی غیر مجاز به حافظه و سایر مشکلات اطمینان حاصل شود. به همین دلیل ریسک کرش کردن هسته بسیار پایین است.
در بسیاری از سناریوها بله. eBPF میتواند با سر بار کمتر و دقت بالاتر اطلاعاتی را جمع آوری کند که ابزارهای سنتی یا قادر به انجام آن نیستند یا هزینه زیادی دارند.
منابع
- https://www.datadoghq.com/knowledge-center/ebpf/
- https://ebpf.io/what-is-ebpf/
اولین دیدگاه را اضافه کنید.