Что такое BPF, eBPF и зачем он нужен в современном Linux

BPF (Berkeley Packet Filter), а точнее его современная версия eBPF (extended BPF) — это технология ядра Linux, которая позволяет безопасно запускать пользовательский код прямо внутри ядра.

Звучит опасно, но именно в этом и сила eBPF:
он даёт возможность наблюдать, фильтровать и анализировать работу системы без написания kernel-модулей, без перезагрузки и без риска уронить ядро.

Сегодня eBPF — это основа:

• современного сетевого стека,
• observability и трассировки,
• security и runtime-защиты,
• высокопроизводительных сетевых решений.

Короткая история BPF

Изначально BPF появился ещё в 90-х как механизм фильтрации сетевых пакетов в tcpdump.
Его задача была простой: быстро отбрасывать ненужные пакеты в ядре, не копируя их в userspace.

Со временем стало понятно, что идея универсального байткода внутри ядра очень мощная.
Так появился eBPF, который превратился из фильтра пакетов в универсальную виртуальную машину внутри ядра Linux.

Что такое eBPF простыми словами

eBPF — это:

• небольшие программы,
• которые загружаются в ядро,
• проверяются на безопасность,
• и выполняются в строго ограниченном окружении.

Ключевые особенности:

• ❌ нет произвольного доступа к памяти
• ❌ нет циклов без ограничений
• ❌ нельзя «повесить» ядро
• ✅ гарантированное завершение программы

Перед запуском каждая eBPF-программа проходит verifier — строгую проверку корректности и безопасности.

Где и как работает eBPF

eBPF-программы могут подключаться к разным точкам системы:

Основные точки привязки (hooks)

• Сеть
  • XDP (очень ранняя обработка пакетов)
  • tc (traffic control)
• Системные вызовы
  • вход/выход из syscalls
• Функции ядра
  • kprobes / kretprobes
• Пользовательские приложения
  • uprobes
• Трассировка
  • tracepoints

Это позволяет наблюдать систему на уровне ядра, но без модификации его кода.

eBPF Maps: как хранится состояние

eBPF-программы сами по себе статичны, но им нужно где-то хранить данные.
Для этого используются eBPF maps — специальные структуры данных, доступные и ядру, и userspace.

Примеры:

• hash map (ключ → значение)
• array
• ring buffer
• perf events

Через maps:

• собираются метрики,
• передаются события,
• хранятся счётчики и состояния.

Практический пример: зачем eBPF реально нужен

Наблюдаемость (observability)

eBPF позволяет:

• видеть latency syscalls,
• понимать, какие функции ядра вызываются,
• анализировать задержки сети,
• находить «узкие места» без профилировщиков.

Инструменты:

• bcc
• bpftrace
• perf
• libbpf

Сеть и производительность

С помощью eBPF:

• фильтруют пакеты ещё до сетевого стека (XDP),
• реализуют балансировку,
• пишут firewall без iptables.

Примеры:

• Cilium
• Calico (eBPF dataplane)
• Facebook Katran

Безопасность

eBPF активно используется для runtime-защиты:

• отслеживание execve
• контроль сетевых соединений
• обнаружение подозрительных действий

Примеры:

• Falco
• Tracee
• Tetragon

Чем eBPF отличается от kernel modules

По сути, eBPF — это безопасная альтернатива kernel-модулям для огромного класса задач.

eBPF и контейнеры

В контейнерных средах eBPF особенно ценен:

• видит реальные процессы и syscalls,
• не зависит от namespaces,
• работает ниже Docker / Kubernetes.

Поэтому большинство современных CNI и security-инструментов в Kubernetes переходят на eBPF.

Ограничения eBPF

Несмотря на мощь, есть ограничения:

• сложный порог входа,
• жёсткие требования verifier,
• ограничение по размеру программы,
• завязка на версию ядра.

Но экосистема активно развивается, и инструменты становятся всё удобнее.

Итоги

• eBPF — это виртуальная машина внутри ядра Linux.
• Он позволяет наблюдать, анализировать и защищать систему без kernel-модулей.
• Используется в сетях, безопасности, observability и контейнерах.
• Это одна из ключевых технологий современного Linux.

Если раньше «заглянуть внутрь ядра» было сложно и опасно, то с eBPF это стало безопасно, гибко и очень эффективно.