[Linux] BPF, eBPF

BPF와 eBPF나 모니터링 관련 분야에서 주로 사용되는 핵심 기술 중 하나다.
개념 정리만 좀 해둔다.

BPF?

BPF는 Berkely Packet Filter의 준말로, 네트워크 모니터링을 위한 매커니즘이다.
1992년에 BSD에서 먼저 제시되었고 Linux 진영에서도 수입해와서 잘 쓰고 있다.

리눅스에서는 진짜 가상머신을 하나 띄우는 형태로 사용된다.

https://medium.com/@chivier.humber_15513/ebpf-a-new-swiss-army-knife-in-the-system-2d6421c8d39
그래서 예전에는 BPF로 트레이싱을 하는데 성능 낭비가 좀 있는 편이었다고 한다. 요즘은 JIT이 들어가서 좀 나아졌다는 모양이다.

BPF의 대표적인 사용례는 tcpdump 같은 패킷 캡쳐 도구다.

내부적으로 BPF를 활용해서 가로채기를 구현한다.

근데 이런 것 정도가 일반적인 BPF 응용의 한계다. BPF의 매커니즘을 커널 리소스 전반에 있어서 적용하고자 나타난 것이 eBPF다.

eBPF

eBPF는 확장된 BPF(Extended Berkeley Packet Filter)의 준말이다.

요즘 보통 BPF라고 하면 eBPF를 말하는 경우가 더 많다. 응용프로그램 수준에서 사용할 일이 더 많기 때문이다.
이건 네트워크 캡쳐에 국한되는게 아니라, 파일시스템 접근, 메모리 할당, 스케줄러, 함수 실행 시간 등 프로그램 전반에 대한 추적을 가능케 한다.
Linux만 지원되는게 아니라 Windows에도 이식되었다. 메이저 플랫폼에서는 다 사용 가능하다.

한술더떠서 Linux 커널 버전 3.18부터는 아예 리눅스 커널에 eBPF용 가상머신이 내장되어있다. 64비트 레지스터가 10개나 들어있는 가상머신이다.

https://www.iggiewang.cn/2022/12/27/eBPF-Introduction/

https://medium.com/@chivier.humber_15513/ebpf-a-new-swiss-army-knife-in-the-system-2d6421c8d39
성능 부담도 그리 크진 않은 편이다.
보통 1% 정도의 리소스만을 점유한다는게 통론인 것 같다.

eBPF는 다음과 같은 형태로 사용된다.

1. C를 활용해서 BPF 제어 프로그램을 작성한다.

2. LLVM clang 등을 사용해서 코드를 BPF 바이트코드로 컴파일한다.

3. BPF 바이트코드 프로그램을 실행한다.

4. BPF 프로그램은 커널에서 발생하는 여러가지 이벤트들을 전송받는다.

Container 환경에서

eBPF가 특히나 두각을 나타내는 부분은 kubernetes 같은 컨테이너 인프라 환경이다.

컨테이너마다 bpf를 구성하는건 아니고, HOST에만 설치해놓고 cgroup-bpf 같은 cgroup을 공유하면서 응용하는 형태가 된다.

eBPF를 제대로 사용하려면 네트워크 수준의 구성이 필요하기 때문에, CNI도 거기에 맞춰주는게 좋다.
eBPF를 가장 잘 지원하는 k8s CNI는 아마 Cilium인 것 같다.
https://cilium.io/
반드시 이걸 써야하는건 아니다. calico 같은 기존 CNI로도 충분히 구성은 할 수 있다.

참조
https://netflixtechblog.com/how-netflix-uses-ebpf-flow-logs-at-scale-for-network-insight-e3ea997dca96
https://hyeyoo.com/133
https://kim-dragon.tistory.com/274
https://en.wikipedia.org/wiki/Berkeley_Packet_Filter
https://stackoverflow.com/questions/72299646/what-is-the-difference-between-bpf-and-ebpf
https://medium.com/@chivier.humber_15513/ebpf-a-new-swiss-army-knife-in-the-system-2d6421c8d39
https://en.wikipedia.org/wiki/EBPF