Preface　前　　言
為什么要寫這本書
在當(dāng)今快速發(fā)展的技術(shù)領(lǐng)域，Linux內(nèi)核作為開源操作系統(tǒng)的核心，面臨著越來越多的挑戰(zhàn)。而eBPF作為Linux內(nèi)核中的一項革命性技術(shù)，為我們提供了一種全新的方式來觀察和微調(diào)系統(tǒng)的狀態(tài)與行為。隨著大模型和人工智能（AI）的迅猛發(fā)展，理解和優(yōu)化操作系統(tǒng)的性能變得尤為重要，這不僅影響著應(yīng)用程序的表現(xiàn)，還決定著我們?nèi)绾卫�用大�?guī)模計算資源。
與此同時，隨著云原生技術(shù)和微服務(wù)應(yīng)用的不斷進(jìn)步，可觀測性的技術(shù)基石—日志、鏈路追蹤和監(jiān)控指標(biāo)，尤其是近年來備受推崇的持續(xù)性能優(yōu)化能力，幾乎都在利用eBPF來實現(xiàn)對應(yīng)用和服務(wù)的觀測。行業(yè)中涌現(xiàn)出了如Pixie、OpenTelemetry等優(yōu)秀的開源項目。在網(wǎng)絡(luò)領(lǐng)域，著名的Cilium項目是基于eBPF 開發(fā)的，而在安全領(lǐng)域，eBPF的LSM技術(shù)正在被應(yīng)用于開源的安全項目（如Falco）中。eBPF技術(shù)已成為云原生社區(qū)備受矚目的技術(shù)話題之一。
盡管eBPF技術(shù)備受關(guān)注，但人們對其底層原理，特別是它與內(nèi)核的關(guān)系，理解得并不充分。市場上關(guān)于這方面的書籍非常少，特別是專門討論eBPF技術(shù)在Linux內(nèi)核各子系統(tǒng)中應(yīng)用的書籍更是鳳毛麟角。為此，我們編寫了本書，內(nèi)容涵蓋eBPF的指令架構(gòu)、CO-RE編程原理，并結(jié)合Linux內(nèi)核層面的應(yīng)用、網(wǎng)絡(luò)、內(nèi)存、I/O、調(diào)度、安全進(jìn)行原理和代碼級別的深入探討，使讀者能夠知其所以然。
本書特色
本書具有以下特色。
1.為專業(yè)開發(fā)者量身定制
本書專為從事可觀測系統(tǒng)開發(fā)、云原生應(yīng)用系統(tǒng)及操作系統(tǒng)開發(fā)、網(wǎng)絡(luò)及安全領(lǐng)域開發(fā)工作的eBPF用戶打造。本書將深入探討eBPF的底層工作原理，詳細(xì)介紹Linux各個子系統(tǒng)的關(guān)鍵技術(shù)和數(shù)據(jù)結(jié)構(gòu)。結(jié)合eBPF技術(shù)，本書將幫助你解決系統(tǒng)運(yùn)維中遇到的性能瓶頸和故障定位等問題，并提供豐富的實戰(zhàn)案例。
2.滿足現(xiàn)代開發(fā)需求
許多開發(fā)者使用Java、Go等高級語言構(gòu)建上層應(yīng)用，但往往忽略了底層系統(tǒng)的重要性，面對CPU性能瓶頸等問題時，常常感到無從下手。本書將幫助你在開發(fā)可觀測性系統(tǒng)時，更好地定位和解決內(nèi)核層面的問題。
3.深入Linux內(nèi)核，掌握核心技術(shù)
本書不僅深入探討eBPF的指令架構(gòu)和開發(fā)方式，還將結(jié)合Linux的網(wǎng)絡(luò)、I/O、內(nèi)存和調(diào)度子系統(tǒng)進(jìn)行實踐。你不僅能深入了解Linux內(nèi)核的數(shù)據(jù)結(jié)構(gòu)，還能通過eBPF掌握解析Linux內(nèi)核狀態(tài)和行為的方法，特別是復(fù)雜的定位和性能分析技巧。
4.結(jié)合實際案例，提升系統(tǒng)效能
在探索eBPF時，我們將不局限于技術(shù)層面的介紹，還會結(jié)合實際案例展示如何利用eBPF監(jiān)測和優(yōu)化Linux內(nèi)核的性能，進(jìn)而支持系統(tǒng)的高效運(yùn)作。底層系統(tǒng)的良好運(yùn)作是實現(xiàn)高效業(yè)務(wù)的基礎(chǔ)。
讀者對象
本書的目標(biāo)讀者包括應(yīng)用開發(fā)者、eBPF技術(shù)愛好者及可觀測領(lǐng)域、操作系統(tǒng)領(lǐng)域的從業(yè)人員。
如何閱讀本書
雖然在介紹每個Linux子系統(tǒng)可觀測實踐之前，本書盡量概述了該子系統(tǒng)的技術(shù)原理以及eBPF程序可能用到的數(shù)據(jù)結(jié)構(gòu)，但還是建議讀者在閱讀之前，先行了解操作系統(tǒng)的一些基礎(chǔ)概念，比如進(jìn)程創(chuàng)建、虛擬文件系統(tǒng)、內(nèi)存分配和釋放、socket通信等內(nèi)容。
本書從邏輯上分為兩大部分，共9章。
第一部分為eBPF基礎(chǔ)（第1～3章），介紹eBPF的應(yīng)用場景和發(fā)展歷程、指令架構(gòu)及eBPF的編程方法。
第1章概述了eBPF技術(shù)的發(fā)展歷程，介紹了它在網(wǎng)絡(luò)、安全、故障診斷和性能分析等領(lǐng)域的應(yīng)用場景，并闡述了eBPF的基礎(chǔ)架構(gòu)。本章旨在讓讀者全面了解eBPF是什么、能實現(xiàn)哪些功能，以及如何將其應(yīng)用到各自的學(xué)習(xí)、研究和工作中。
第2章詳細(xì)介紹了eBPF關(guān)鍵特性解析，包括eBPF指令集、輔助函數(shù)和程序類型設(shè)計原理，幫助讀者更深刻地理解和認(rèn)識eBPF底層原理，特別是在Linux內(nèi)核中的具體實現(xiàn)。
第3章介紹如何使用libbpf、BCC、eunomia-bpf、Coolbpf等開源項目開發(fā)eBPF程序，特別是詳細(xì)介紹了BTF和CO-RE技術(shù)，幫助讀者進(jìn)一步掌握獨(dú)立開發(fā)eBPF程序的技能。
第二部分為eBPF可觀測性實踐（第4～9章），介紹eBPF在Linux的用戶態(tài)應(yīng)用、內(nèi)核網(wǎng)絡(luò)、內(nèi)存、I/O、調(diào)度及安全方面的可觀測實踐案例。
第4章介紹如何使用eBPF在用戶應(yīng)用層面進(jìn)行可觀測實踐，如Java應(yīng)用的GC觀測，幫助讀者掌握使用eBPF分析微服務(wù)應(yīng)用的性能、延遲、報文數(shù)據(jù)的方法，進(jìn)一步理解eBPF的能力。
第5章介紹內(nèi)核網(wǎng)絡(luò)的收發(fā)包流程、網(wǎng)絡(luò)抖動問題分析，以及內(nèi)核網(wǎng)絡(luò)的可觀測性實踐，幫助讀者掌握使用eBPF分析網(wǎng)絡(luò)抖動的方法。
第6章主要介紹內(nèi)存性能瓶頸的優(yōu)化方法，幫助讀者掌握使用eBPF對內(nèi)存分配延遲、內(nèi)存泄漏等常見問題進(jìn)行觀測的方法。
第7章介紹I/O子系統(tǒng)的原理和性能瓶頸點(diǎn)，幫助讀者掌握使用eBPF對I/O延遲分布、I/O卡頓等問題進(jìn)行觀測的方法。
第8章介紹eBPF在調(diào)度系統(tǒng)上的觀測實踐，如長時間關(guān)中斷、持續(xù)性能追蹤等，幫助讀者掌握使用eBPF對調(diào)度延遲進(jìn)行分析的方法。
第9章介紹eBPF在系統(tǒng)安全上的實踐，如使用LSM進(jìn)行安全防御以及監(jiān)控進(jìn)程的各種行為等。
勘誤和支持
因筆者水平有限，書中難免存在一些不足，如果讀者在閱讀過程中發(fā)現(xiàn)疏漏，或者遇到難以理解的知識點(diǎn)，可以發(fā)電