eBPF 开发框架

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1413 字

4 分钟

eBPF 开发框架

2026-01-18

eBPF

/

底层原理

eBPF 程序的开发涉及两个部分：内核态的 eBPF 程序（C/Rust 编写，编译为字节码）和用户态的加载器（管理程序生命周期、读取 Map 数据）。不同的开发框架提供了不同的抽象层次和开发体验——从 libbpf 的底层控制到 bpftrace 的一行命令，从 C 的性能到 Rust 的安全，从 Go 的生态到 Aya 的纯 Rust。

本章对比四大 eBPF 开发框架，帮你做出正确的技术选型。

一、框架全景对比#

1.1 四大框架#

框架	语言	内核态	用户态	复杂度
libbpf	C	C	C	中
cilium/ebpf	Go	C	Go	中
Aya	Rust	Rust	Rust	高
bpftrace	DSL	DSL	C++	低

1.2 选择决策树#

flowchart TD START["选择 eBPF 框架"] --> Q1{"使用场景？"} Q1 -->|"快速诊断"| BPFTRACE["bpftrace 一行命令"] Q1 -->|"生产级开发"| Q2{"团队语言偏好？"} Q2 -->|"C"| LIBBPF["libbpf CO-RE 基石"] Q2 -->|"Go"| GOEBPF["cilium/ebpf bpf2go"] Q2 -->|"Rust"| AYA["Aya 纯 Rust"] Q2 -->|"Python"| BCC["BCC Python 前端"] style BPFTRACE fill:#c8e6c9,stroke:#2e7d32 style LIBBPF fill:#bbdefb,stroke:#1565c0 style GOEBPF fill:#fff9c4,stroke:#f9a825 style AYA fill:#ffccbc,stroke:#d84315

1.3 BCC：Python 前端的 eBPF 工具集#

BCC（BPF Compiler Collection）是决策树中”Python 前端”的选项，在运维场景中广泛使用。它的架构与 libbpf/Aya 有本质区别：

BCC 的核心特征是运行时编译——Python 脚本中嵌入的 C 代码在执行时才被 LLVM 编译为 BPF 字节码。这意味着无需预编译，但也意味着每次运行都需要 LLVM，且编译结果依赖当前内核版本（不支持 CO-RE）。

1
# BCC Python 示例：追踪 openat 系统调用
2
from bcc import BPF
3

4
bpf_text = """
5
#include <uapi/linux/ptrace.h>
6
struct data_t { u32 pid; char comm[16]; char filename[256]; };
7
BPF_PERF_OUTPUT(events);
8

9
TRACEPOINT_PROBE(syscalls, sys_enter_openat) {
10
    struct data_t data = {};
11
    data.pid = bpf_get_current_pid_tgid() >> 32;
12
    bpf_get_current_comm(&data.comm, sizeof(data.comm));
13
    bpf_probe_read_user_str(&data.filename, sizeof(data.filename), args->filename);
14
    events.perf_submit(args, &data, sizeof(data));
15
}
16
"""
17

18
b = BPF(text=bpf_text)
19

20
def print_event(cpu, data, size):
21
    event = b["events"].event(data)
22
    print(f"PID={event.pid} COMM={event.comm} FILE={event.filename}")
23

24
b["events"].open_perf_buffer(print_event)
25
while True:
26
    b.perf_buffer_poll()

优点	缺点
Python 前端，开发快速	运行时编译，依赖 LLVM
丰富的内置工具集	不支持 CO-RE，需目标内核头文件
适合运维脚本	性能不如编译型方案
社区成熟，工具丰富	生产部署需安装 LLVM + kernel headers

二、libbpf：C 语言开发库#

2.1 libbpf 的架构#

libbpf 是 Linux 内核官方的 eBPF 用户态库，是 CO-RE 的基石：

flowchart TB subgraph 用户态程序 APP["应用程序"] SKEL["骨架代码 hello.skel.h"] LIBBPF["libbpf bpf_object__open/load/attach"] end subgraph eBPF程序 BPF_C["hello.bpf.c"] BPF_O["hello.bpf.o 字节码 + BTF"] end BPF_C -->|"clang 编译"| BPF_O BPF_O -->|"bpftool gen skeleton"| SKEL SKEL --> APP APP --> LIBBPF LIBBPF -->|"bpf() 系统调用"| KERNEL["内核"] style LIBBPF fill:#c8e6c9,stroke:#2e7d32

2.2 libbpf 开发流程#

1
# 1. 编写 eBPF 程序
2
cat > hello.bpf.c << 'EOF'
3
#include "vmlinux.h"
4
#include <bpf/bpf_helpers.h>
5

6
struct { __uint(type, BPF_MAP_TYPE_RINGBUF); __uint(max_entries, 256*1024); } events SEC(".maps");
7

8
SEC("tracepoint/syscalls/sys_enter_execve")
9
int hello(void *ctx) {
10
    bpf_trace_printk("Hello from eBPF!", 18);
11
    return 0;
12
}
13

14
char LICENSE[] SEC("license") = "GPL";
15
EOF
16

17
# 2. 编译
18
clang -g -O2 -target bpf -D__TARGET_ARCH_x86 -c hello.bpf.c -o hello.bpf.o
19

20
# 3. 生成骨架
21
bpftool gen skeleton hello.bpf.o > hello.skel.h
22

23
# 4. 编写用户态程序（包含 hello.skel.h）
24
# 5. 编译用户态程序
25
gcc -o hello hello.c -lbpf -lelf -lz
26

27
# 6. 运行
28
sudo ./hello

2.3 libbpf 骨架 API#

1
// 骨架提供的核心 API
2
struct hello_bpf *hello_bpf__open(void);          // 打开
3
struct hello_bpf *hello_bpf__open_and_load(void);  // 打开+加载
4
int hello_bpf__load(struct hello_bpf *skel);       // 加载
5
int hello_bpf__attach(struct hello_bpf *skel);     // 附加
6
void hello_bpf__destroy(struct hello_bpf *skel);   // 销毁
7

8
// 访问 Map 和程序
9
int fd = bpf_map__fd(skel->maps.my_map);
10
int prog_fd = bpf_program__fd(skel->progs.my_prog);

2.4 libbpf 的优缺点#

优点	缺点
CO-RE 原生支持	C 语言开发体验
内核官方维护	需要手动管理骨架
最小依赖	错误处理不够友好
性能最优	缺乏高级抽象

三、cilium/ebpf：Go 语言开发库#

3.1 cilium/ebpf 的架构#

cilium/ebpf 是 Cilium 团队维护的 Go eBPF 库，通过 bpf2go 实现编译时代码生成：

3.2 cilium/ebpf 开发流程#

1
package main
2

3
//go:generate go run github.com/cilium/ebpf/cmd/bpf2go -target bpfel -type event bpf hello.bpf.c -- -I/usr/include/bpf -D__TARGET_ARCH_x86
4

5
import (
6
    "fmt"
7
    "os"
8
    "os/signal"
9
    "github.com/cilium/ebpf/ringbuf"
10
)
11

12
func main() {
13
    // 加载 eBPF 程序（bpf2go 生成的代码）
14
    objs := bpfObjects{}
15
    if err := loadBpfObjects(&objs, nil); err != nil {
16
        panic(err)
17
    }
18
    defer objs.Close()
19

20
    // 附加到 tracepoint
21
    // ...
22

23
    // 读取 Ring Buffer
24
    rd, err := ringbuf.NewReader(objs.Events)
25
    if err != nil {
26
        panic(err)
27
    }
28
    defer rd.Close()
29

30
    fmt.Println("Tracing execve calls...")
31

32
    sig := make(chan os.Signal, 1)
33
    signal.Notify(sig, os.Interrupt)
34

35
    for {
36
        select {
37
        case <-sig:
38
            return
39
        case record := <-rd.Events():
40
            event := (*bpfEvent)(unsafe.Pointer(&record.RawSample[0]))
41
            fmt.Printf("PID=%d COMM=%s\n", event.Pid, event.Comm)
42
        }
43
    }
44
}

3.3 bpf2go 代码生成#

1
# 生成 Go 代码
2
go generate ./...
3

4
# bpf2go 会生成以下文件：
5
# hello_bpfel.go    — Go 类型定义和加载函数
6
# hello_bpfel.o     — 编译后的 eBPF 字节码

3.4 cilium/ebpf 的优缺点#

优点	缺点
Go 语言生态	编译时依赖 clang
类型安全	bpf2go 增加构建复杂度
丰富的 Map 操作	不支持所有 eBPF 特性
Cilium 团队维护	Go GC 可能影响实时性

四、Aya：Rust eBPF 框架#

4.1 Aya 的架构#

Aya 是纯 Rust 的 eBPF 框架，不依赖 libbpf：

4.2 Aya eBPF 程序#

1
// eBPF 程序（Rust）
2
#![no_std]
3
#![no_main]
4

5
use aya_bpf::{
6
    bindings::xdp_action,
7
    macros::xdp,
8
    programs::XdpContext,
9
};
10
use aya_log_ebpf::info;
11

12
#[xdp(name="hello_xdp")]
13
pub fn hello_xdp(ctx: XdpContext) -> u32 {
14
    info!(&ctx, "received a packet");
15
    xdp_action::XDP_PASS
16
}
17

18
#[panic_handler]
19
fn panic(_info: &core::panic::PanicInfo) -> ! {
20
    unsafe { core::hint::unreachable_unchecked() }
21
}

4.3 Aya 用户态程序#

1
// 用户态程序（Rust）
2
use aya::{Bpf, programs::Xdp, BpfLoader};
3
use std::net::Interface;
4

5
fn main() -> Result<(), anyhow::Error> {
6
    // 加载 eBPF 程序
7
    let mut bpf = BpfLoader::new().load_file("hello.o")?;
8

9
    // 获取 XDP 程序
10
    let program: &mut Xdp = bpf.program_mut("hello_xdp")?.try_into()?;
11
    program.load()?;
12

13
    // 附加到网卡
14
    let iface = Interface::from_str("eth0")?;
15
    program.attach(&iface, XdpFlags::default())?;
16

17
    println!("XDP program attached to eth0");
18

19
    // 事件循环
20
    loop {
21
        std::thread::sleep(std::time::Duration::from_secs(1));
22
    }
23
}

4.4 Aya 的优缺点#

优点	缺点
纯 Rust，无 libbpf 依赖	Rust 学习曲线
内存安全	生态不如 libbpf 成熟
Cargo 集成	编译时间较长
宏简化开发	文档相对较少

五、bpftrace：高级追踪语言#

5.1 bpftrace 的定位#

bpftrace 是 eBPF 的高级前端，用类似 awk 的 DSL 编写追踪脚本：

1
# 一行命令追踪
2
sudo bpftrace -e 'tracepoint:syscalls:sys_enter_openat { printf("%s → %s\n", comm, str(args->filename)); }'
3

4
# 脚本文件
5
cat > trace_open.bt << 'EOF'
6
#!/usr/bin/env bpftrace
7

8
tracepoint:syscalls:sys_enter_openat
9
/comm == "myapp"/
10
{
11
    printf("PID=%d FILE=%s\n", pid, str(args->filename));
12
}
13

14
tracepoint:syscalls:sys_exit_openat
15
/comm == "myapp" && args->ret < 0/
16
{
17
    printf("FAILED: PID=%d RET=%d\n", pid, args->ret);
18
}
19
EOF
20

21
sudo bpftrace trace_open.bt

5.2 bpftrace 的优缺点#

优点	缺点
一行命令即可追踪	不适合复杂程序
无需编译	性能不如编译型方案
丰富的内置函数	不支持 CO-RE
适合快速诊断	不适合生产级部署

六、框架选型指南#

6.1 按场景选择#

场景	推荐框架	原因
快速诊断/临时追踪	bpftrace	一行命令，无需编译
生产级网络程序	libbpf	性能最优，CO-RE 支持
K8s/云原生开发	cilium/ebpf	Go 生态，与 K8s 集成
安全工具开发	Aya	Rust 内存安全
Python 运维脚本	BCC	Python 前端，快速原型
教学实验	bpftrace	最低学习门槛

6.2 按团队技能选择#

团队技能	推荐框架	原因
C 语言熟练	libbpf	最直接的映射
Go 语言团队	cilium/ebpf	Go 生态集成
Rust 爱好者	Aya	纯 Rust 栈
运维工程师	bpftrace/BCC	脚本化，低门槛

Note

框架选择不是互斥的——你可以在不同场景使用不同框架。用 bpftrace 做快速诊断，用 libbpf/cilium/ebpf 做生产级开发，这是最常见的组合。

七、动手实践#

7.1 使用 libbpf 开发 eBPF 程序#

1
# 使用 libbpf-bootstrap 快速开始
2
git clone https://github.com/libbpf/libbpf-bootstrap.git
3
cd libbpf-bootstrap/c
4

5
# 编译
6
make
7

8
# 运行
9
sudo ./minimal
10
sudo ./bootstrap

7.2 使用 cilium/ebpf 开发 eBPF 程序#

1
# 使用 ebpf-go-bootstrap 快速开始
2
git clone https://github.com/cilium/ebpf-go-bootstrap.git
3
cd ebpf-go-bootstrap
4

5
# 编译
6
go generate ./...
7
go build -o app
8

9
# 运行
10
sudo ./app

7.3 使用 Aya 开发 eBPF 程序#

1
# 安装 Aya 工具
2
cargo install aya-tool
3

4
# 创建新项目
5
cargo generate --name my-ebpf https://github.com/aya-rs/aya-template
6

7
cd my-ebpf
8
cargo build --release
9
sudo ./target/release/my-ebpf

八、开发工具链与调试#

8.1 核心开发工具#

工具	用途	安装方式
`bpftool gen skeleton`	从 .o 文件生成骨架头文件	`apt install bpftool`
`pahole`	生成 BTF 类型信息	`apt install dwarves`
`llvm-objdump`	反汇编 eBPF 字节码	随 clang 安装
`bpftool btf dump`	查看内核 BTF 信息	`apt install bpftool`

骨架头文件是 libbpf 开发的核心——它将 Map 定义和程序入口自动包装为结构体，避免手动管理文件描述符：

1
# 生成骨架头文件
2
bpftool gen skeleton example.bpf.o > example.skel.h
3

4
# 在 C 代码中使用
5
# #include "example.skel.h"
6
# struct example_bpf *obj = example_bpf__open();
7
# example_bpf__load(obj);
8
# example_bpf__attach(obj);

8.2 BCC Python 快速示例#

BCC 的优势在于快速原型——几行 Python 就能实现内核追踪：

1
#!/usr/bin/env python3
2
from bcc import BPF
3

4
prog = """
5
#include <uapi/linux/ptrace.h>
6
int trace_open(struct pt_regs *ctx, const char __user *filename) {
7
    bpf_trace_printk("open: %s\\n", filename);
8
    return 0;
9
}
10
"""
11
b = BPF(text=prog)
12
b.attach_kprobe(event="do_sys_openat2", fn_name="trace_open")
13
b.trace_print()

Note

CO-RE 是 libbpf 和 cilium/ebpf 的基础能力。如果你的目标内核不支持 BTF（5.2 以下），只能使用 BCC 的运行时编译模式。生产环境建议内核 5.15+ 以获得完整的 CO-RE 支持。

九、本章小结#

上一章剖析了Cilium 架构深入。本章对比了四大 eBPF 开发框架：

主题	核心要点	关键词
libbpf	C 语言，CO-RE 基石，性能最优，适合底层开发	libbpf
cilium/ebpf	Go 语言，bpf2go 代码生成，适合云原生开发	cilium/ebpf
Aya	Rust，纯 Rust 无 libbpf 依赖，内存安全	Aya
bpftrace	DSL，一行命令追踪，适合快速诊断	bpftrace