基于Ubuntu20.04版本的cilium1.10.1安装使用
基础概念 linux的内核空间和系统空间 linux系统分为内核空间和用户空间并且相互隔离,内核空间运行内核相关的指令,可以执行任意指令(比如cpu的特权指令的使用,或者驱动程序运行等),用户空间运行非内核的进程(比如自己平常写的java代码等),若用户空间的程序需要调用底层相关的指令(比如说读取文件,分配回收内存等),此时需要调用内核提供的接口来完成对应的有限的操作,这个过程叫做系统调用。如果我们用户空间的程序要直接操作内核并没有提供接口的指令时,通常是需要修改内核代码来满足需求,但后来内核提供了一个内核模块(LKM)来满足此种需求,lkm直接将指令加载至内核执行,不需要再通过系统调用的方式来完成,运行时加载,不需要编译内核也不需要重启系统,但此方法若操作不当,也会直接让内核崩溃,进而增加了安全维护成本.
BPF 伯克利包过滤器(Berkeley Packet Filter,缩写 BPF): 是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发 最初是在1992年构思的,目的是提供一种过滤数据包的方法,并避免从内核到用户空间的无用数据包复制,从而极大地提高性能。它最初包含一个简单的字节码,该字节码从用户空间注入到内核中,并由验证程序进行检查(以防止内核崩溃或安全问题)并附加到套接字,然后在每个接收到的数据包上运行
tcpdump就是基于BPF技术实现的,FreeBSD和WinPcap在内的一些平台,使用即时编译(JIT)编译器来把BPF指令转换为原始字节码,以进一步提高性能。Linux有一个BPF JIT编译器,但被默认禁用。
EBPF 随着现代硬件及指令的发展,BPF对于一些硬件上的指令支持有限,因此,Alexei Starovoitov引入了扩展的BPF设计,从3.18版本开始,Linux 内核提供了一种扩展的BPF虚拟机,被称为“extended BPF”,简称为eBPF。利用现代硬件的优势,允许将eBPF指令更紧密地映射到ISA,以提高性能,它也能够被用于非网络相关的功能,比如附在不同的tracepoints上,从而获取当前内核运行的许多信息
架构图如下 工作原理
eBPF程序“附加”到内核中的指定代码路径,遍历代码路径时,将执行所有附加的eBPF程序,为了解决LKM这种安全性的问题,eBPF 程序需要满足一系列的需求,才能被加载到内核。Verifier 会遍历对 eBPF 程序在内核中可能的执行路径进行遍历, 确保程序能够在不出现导致内核锁定的循环的情况下运行完成。除此之外还有其它必须满足的检查,例如有效的寄存器状态、程序大小以及越界等,如果所有的检查都通过了,eBPF 程序被加载并编译到内核中,并监听特定的信号。该信号以事件 的形式出现,会被传递给被加载的 eBPF 程序。一旦被触发,字节码就会根据其中的指令执行并收集信息。 简单说下eBPF 的工作流程: 1:把 eBPF 程序编译成字节码。 2:在载入到 Hook 之前,在虚拟机中对程序进行校验。 3:把程序附加到内核之中,被特定事件触发。 4:JIT 编译。 5:在程序被触发时,调用辅助函数处理数据。 6:在用户空间和内核空间之间使用键值对共享数据。
cilium 如果要实现对流量的监控和规则处理,则我们需要去编写对应的EBPF程序来实现,cilium是基于EBPF来实现的容器管理平台部署的应用程序之间的网络和api连接管理工具,由于eBPF在Linux内核中运行,因此可以在不更改应用程序代码或容器配置的情况下应用和更新Cilium安全策略
Hubble Hubble是一个完全分布式的网络和安全性可观察性平台。它建立在Cilium和eBPF之上,以完全透明的方式深入了解服务以及网络基础结构的通信和行为。
Hubble可以查看以下功能的信息: 服务依赖关系和相互通信的展示:
1:哪些服务正在相互通信?多久一次?服务依赖关系图是什么样的? 2:正在进行哪些HTTP调用?服务从哪些卡夫卡主题中消费或产生什么? 网络监控和警报: