1.3.1 eBPF加載流程和相關組件

eBPF加載流程主要包括以下幾個步驟。

1）編寫eBPF程序：首先，用戶需要使用C語言或eBPF匯編代碼編寫eBPF程序。程序通常包括內核態部分和用戶態部分。內核態部分包含eBPF程序的實際邏輯，用戶態部分負責加載、運行和監控內核態程序，解析內核態輸出的信息。

2）編譯eBPF程序：編寫完eBPF程序后，需要使用LLVM、Clang等工具將它編譯成ELF（Executable and Lin-kable Format，可執行和鏈接格式）文件，然后通過libbpf[2]或其他工具對ELF文件進行解析，按照需要的格式整理數據。接著，通過BPF系統調用，將這些數據加載到內核中。

3）校驗和翻譯：在內核中，有一個校驗器負責對eBPF程序進行校驗，確保其安全性。校驗通過后，使用JIT編譯器對eBPF程序進行翻譯解析，使程序在內核中高效執行。

4）運行和監控：eBPF程序在內核中運行時，會觸發特定事件，并將事件相關信息傳遞給用戶態程序。用戶態程序負責處理這些信息并將結果輸出。當程序運行完成后，用戶態程序可以卸載并結束eBPF程序的運行。

圖1-13展示了eBPF字節碼的加載流程涉及的關鍵技術。

eBPF字節碼加載涉及的關鍵技術的具體說明如下。

1）CO-RE：CO-RE是eBPF程序能夠兼容不同內核版本的關鍵所在，它結合內核提供的BTF文件實現此功能。eBPF字節碼加載時會由CO-RE將一些結構體信息進行重定位，以適應不同內核版本的結構體差異。

2）BPF_PROG_LOAD：BPF_PROG_LOAD是將eBPF字節碼加載到內核中的系統調用。該系統調用還會傳遞其他信息，如eBPF程序類型、安全選項和相關的資源。

3）verifier校驗：在字節碼加載過程中，內核會通過校驗器對eBPF程序進行安全性和正確性檢查。這個驗證過程由verif ier組件負責。verif ier會檢查eBPF程序的字節碼，驗證其訪問權限、指令順序、循環結構等，并確保程序在執行時不會導致內核崩潰或引入安全漏洞。

4）JIT編譯：在通過驗證后，eBPF程序進入JIT編譯階段。在這個階段，JIT編譯器將eBPF字節碼轉換為目標機器碼，以便在運行時高效執行。JIT編譯器會根據目標架構的特性和要求，對eBPF字節碼進行優化和轉換，生成適合目標架構的高效機器碼。截至目前，eBPF的JIT編譯器已經支持了多個架構：ARM32、ARM64、LoongArch、MIPS、PowerPC、RISC-V、s390、SPARC和x86-64。本節主要介紹x86-64平臺的eBPF JIT實現。一旦目標機器碼生成完畢，內核會為它們分配相應的內存空間。這些代碼會根據特定的觸發條件開始執行eBPF程序。