内核虚拟机原理：网络可编程

自 3.15 以来，您可能一直在关注内核社区中扩展的 Berkeley 包过滤器 (eBPF) 的开发，或者您可能仍然将 Berkeley 包过滤器与 Van Jacobson 在 1992 年所做的工作联系在一起。您可能已经使用 BPF 和 tcpdump 多年，或者您可能已经开始在您的数据平面中使用！

本文从网络性能的角度描述其关键发展，以及为什么现在这对网络运营商、系统管理员和企业解决方案提供商变得重要，就像它自成立以来就一直适用于运营商的大型数据中心和云计算网络。

BPF 或 eBPF——有什么区别？

虚拟机

从根本上说，eBPF 仍然是 BPF：它是一个小型虚拟机，运行从用户空间注入并附加到内核中特定挂钩的程序。它可以对网络数据包进行分类和操作。多年来，它一直在 Linux 上用于过滤数据包并避免对用户空间进行昂贵的复制，例如使用 tcpdump。然而，虚拟机的范围在过去几年中已经发生了翻天覆地的变化。

Classic BPF (cBPF)，旧版本，由一个 32 位宽的累加器、一个也可以在指令中使用的 32 位宽的“X”寄存器和 16 个用作暂存存储器的 32 位寄存器组成. 这显然导致了一些关键限制。顾名思义，经典的伯克利包过滤器主要限于（无状态）包过滤。任何更复杂的事情都将在其他子系统中完成。

eBPF通过使用扩展的寄存器和指令集、添加映射（没有任何大小限制的键/值存储）、512 字节堆栈、更复杂的查找、帮助程序，显着扩展了 BPF 的用例集可从程序内部调用的函数，以及链接多个程序的可能性。现在可以进行状态处理，与用户空间程序的动态交互也是如此。由于这种改进的灵活性，使用 eBPF 处理的数据包的分类级别和可能的交互范围已大大扩展。

但新功能不能以牺牲安全为代价。为确保正确行使 VM 增加的责任，内核中实现的验证程序已被修订和合并。这个验证器检查代码中的任何循环（这可能导致可能的无限循环，从而挂起内核）和任何不安全的内存访问。它拒绝任何不符合安全标准的程序。每次用户尝试注入程序时，都会在实时系统上执行此步骤，然后将 BPF 字节码 JITed 到所选平台的本机汇编指令中。

为了允许在 eBPF 的限制内难以实现或优化的任何关键功能，有许多帮助程序旨在协助执行过程，例如地图查找或随机数的生成。

钩子 - 数据包在哪里分类？

由于其灵活性和实用性，eBPF 的钩子数量正在激增。但是，我们将重点关注数据路径低端的那些。这里的关键区别在于 eBPF 在驱动程序空间中添加了一个额外的钩子。此挂钩称为 eXpress DataPath，或 XDP。这允许用户在将 skb（套接字缓冲区）元数据结构添加到数据包之前丢弃、反射或重定向数据包。性能可以提高约 4-5 倍。

将 eBPF 卸载到 NFP

这可能的关键原因是因为 BPF 机器映射到我们在 NFP 上的流处理内核的能力非常好，这意味着运行在 15-25W 之间的基于 NFP 的 Agilio CX SmartNIC 可以从主机卸载大量处理. 在下面的负载平衡示例中，NFP 处理的数据包数量与来自主机的近 12 个 x86 内核的总和相同，由于 PCIe 带宽限制，主机在物理上无法处理数量（使用的内核：Intel Xeon CPU E5-2630 v4 @ 2.20GHz）。

性能是使用 BPF 硬件卸载是编程 SmartNIC 的正确技术的主要原因之一。但这不是唯一的：让我们回顾一下其他一些激励措施。

好的 - 这一切都很棒 - 但我如何实际使用它？

首先要做的是将内核更新到 4.16 或更高版本。我会推荐 4.17（撰写本文时的开发版本）或更高版本，以利用尽可能多的功能。请参阅用户指南以获取最新版本的功能，以及如何使用它们的示例。

此处不赘述，还可以注意到，与 eBPF 工作流相关的工具正在开发中，并且已经在遗留 cBPF 版本方面得到了很大的改进。用户现在通常会用 C 编写程序，并使用 clang-LLVM 提供的后端将它们编译成 eBPF 字节码。也可以使用其他语言，包括 Go、Rust 或 Lua。对 eBPF 架构的支持被添加到传统工具中：llvm-objdump 可以以人类可读的格式转储 eBPF 字节码，llvm-mc 可以用作 eBPF 汇编器，strace 可以跟踪对 bpf() 系统调用的调用。其他工具的一些工作仍在进行中：binutils 反汇编器应该很快支持 NFP 微码，而 valgrind 即将获得对系统调用的支持。还创建了新工具：特别是 bpftool。

bpfilter

对于企业系统管理员或 IT 架构师来说，目前仍然悬而未决的一个关键问题是，这如何适用于拥有经过多年完善和维护且基于 iptables 的设置的最终用户。更改此设置的风险在于，很明显，某些事情可能难以接受，必须修改编排层，应该构建新的 API，等等。要解决这个问题，请进入提议的 bpfilter 项目。正如昆汀今年早些时候所写：

“这项技术是针对 Linux 中 iptables 防火墙的基于 eBPF 的新后端的提议。在撰写本文时，它还处于非常早期的阶段：它是由 David Miller（网络系统的维护者）、Alexei Starovoitov 和 Daniel 于 2018 年 2 月中旬左右在 Linux netdev 邮件列表上作为 RFC（征求意见稿）提交的Borkmann（内核中 BPF 部分的维护者）。所以，请记住，后面的所有细节都可能改变，或者根本无法到达内核！ 

从技术上讲，用于配置防火墙的 iptables 二进制文件将保持不变，而内核中的 xtables 部分可以被一组新的命令透明地替换，这些命令需要 BPF 子系统将防火墙规则转换为 eBPF 程序。然后可以将该程序附加到与网络相关的内核挂钩之一，例如在流量控制接口 (TC) 或驱动程序级别 (XDP) 上。规则转换将发生在一种新型内核模块中，该模块介于传统模块和普通 ELF 用户空间二进制文件之间。运行在具有完全权限但不能直接访问内核的特殊线程中，因此提供的攻击面较小，这种特殊类型的模块将能够直接与 BPF 子系统通信（主要通过系统调用）。同时，使用标准用户空间工具来开发、调试甚至模糊它仍然非常容易！除了这个新的模块对象之外，bpfilter 方法的好处还有很多。借助 eBPF 验证程序，预计会提高安全性。重用 BPF 子系统可能会使该组件的维护比传统的 xtables 更容易，并且可能会在以后提供与同样依赖 BPF 的内核其他组件的集成。当然，利用即时 (JIT) 编译，或可能的程序硬件卸载，将大大提高性能！” 重用 BPF 子系统可能会使该组件的维护比传统的 xtables 更容易，并且可能会在以后提供与同样依赖 BPF 的内核其他组件的集成。当然，利用即时 (JIT) 编译，或可能的程序硬件卸载，将大大提高性能！” 

正在开发 bpfilter 作为该问题的解决方案，它允许最终用户无缝迁移到这种新的高性能范例。只需看下面：比较内核和一系列简单的 iptables 规则的卸载到 NFP 与 iptables (netfilter) 后端、较新的 nftables、主机上的 bpfilter 并卸载到 SmartNIC ，下图清楚地显示了性能区别所在.

图 7. bpfilter 与旧 iptables 实现的性能比较

概括

因此，我们有它。就目前而言，内核社区内正在产生的是一个巨大的网络转变。eBPF 是一个强大的工具，它为内核带来了可编程性。它可以处理拥塞控制（TCP-BPF）、跟踪（kprobes、tracepoints）和高性能网络（XDP、cls_bpf）。由于它在社区中的成功，可能会出现其他用例。

除此之外，这种过渡一直延伸到最终用户，他们很快就能无缝地离开旧的 iptables 后端，转而使用更新的、更高效的基于 XDP 的后端——使用与今天相同的工具。特别是，这将允许直接的硬件卸载，并在用户迁移到 10G 及以上网络时提供必要的灵活性。