eBPF e inovações em sistemas operacionais

Transcript

1. eBPF e inovações em Sistemas Operacionais Lucas Bleme

2. Agenda Definições Arquitetura Workflow Implementação Casos de Uso Conclusão

3. Uma VM que permite executar código no Kernel. “extended Berkeley

   Packet Filter” BPF introduzido no Linux Kernel 2.1.75 em 1997 eBPF introduzido em Março de 2014 (Daniel Borkmann) O que é eBPF? https://lore.kernel.org/netdev/[email protected]

4. Arquitetura Kernel fonte: https://ebpf.foundation/

5. Suporte nativo VS kernel modules :( Alterar o código fonte

   do kernel ou escrever um kernel module (1) Esperar anos até que a nova versão seja largamente utilizada (2) Prover fixes regularmente para novas versões do kernel Preocupação com limites de segurança

6. eBPF for the rescue fonte: https://ebpf.foundation/

7. Programa eBPF kernel space user space

8. Programa eBPF Subset de C (versão restrita) Sem loops, printf,

   variáveis globais… Orientado a eventos (syscalls, ingresso de pacotes, tracepoints) Pode ser carregado no kernel usando C, Go, Python e Rust

9. Workflow fonte: https://ebpf.foundation/

10. Workflow (hooks) fonte: https://ebpf.foundation/

11. Workflow (maps) fonte: https://ebpf.foundation/

12. Implementação (kernel) __u32 ip_src = iph->saddr; __u32 ip_dst = iph->daddr;

    int pkt_sz = data_end - data;

13. Implementação (kernel com map)

14. Implementação (user space)

15. Casos de uso Networking balanceamento de carga, filtro de pacotes,

    roteamento. Segurança monitorar system calls, fluxos de rede, prevenir ações não autorizadas. Observabilidade identificar fluxos de rede, analisar desempenho, detectar falhas.

16. Casos de uso balanceamento de carga L4 https://engineering.fb.com/2018/05/22/open-source/open-sourcing-katran-a-scalable-network-load-balancer/ “Katran runs

    packet handling XDP routines right after packet has been received by network interface card (NIC)”

17. Casos de uso mitigando DDoS https://blog.cloudflare.com/how-to-drop-10-million-packets/ “With XDP we can

    drop 10 million packets per second on a single CPU.”

18. Casos de uso observabilidade e desempenho https://www.brendangregg.com/Slides/reInvent2019_BPF_Performance_Analysis/ “Flow Exporter uses

    eBPF tracepoints to capture TCP flows at near real time. At much less than 1% of CPU.” https://netflixtechblog.com/how-netflix-uses-ebpf-flow-logs-at-scale-for-network-insight-e3ea997dca96

19. cillium eBPF-based Networking, Security, and Observability bpftrace High-level tracing language

    for Linux eBPF (awk like) BumbleBee OCI compliant eBPF tooling Falco Cloud Native Runtime Security pwru eBPF-based Linux kernel network packet tracer Projetos

20. Conclusão e o Futuro Ferramental ainda é pouco amigável, requer

    conhecimentos de SO (bcc, libbpf, libbpf-bootrstrap, running eBPF in docker containers) Impacto em múltiplas camadas do SO “The next wave of SDN” Dan Wendlandt (isovalent & nicira) Distribuição, interoperabilidade, debugging (bumblebee, ebpf-for-windows, edb)

21. Obrigado :) andreybleme.com/talks Perguntas? [email protected]