申请试用
HOT
登录
注册
 

Building socket-aware BPF programs

阳春白雪
/
发布于
/
2524
人观看

在过去的几年里,bpf在多个方面的力量不断增强。方法:通过在验证器中建立更多的智能,从而允许要加载的复杂程序,并通过API的扩展,例如添加新的映射类型和新的本地bpf函数调用。而bpf有其根源在套接字层应用过滤器时,可以对套接字进行内省与被过滤的流量相关的限制。要将这种意识构建到bpf助手中,验证器需要能够跟踪通话的安全性,包括底层套接字。这个对话将通过对验证器的扩展来在bpf程序中执行引用跟踪。这使得bpf开发人员能够使用在bpf程序的执行生存期,验证器将验证资源在程序完成之前释放一次。在验证器中使用这种新的引用跟踪能力,我们添加了套接字查找并释放对bpf api的函数调用,允许bpf程序安全地查找一套接字,并根据套接字的存在或属性建立逻辑。这个罐头用于根据侦听的存在来平衡流量负载应用程序,或实现有状态的防火墙原语以了解是否以前见过此连接的流量。用这个新的功能上,bpf程序可以更紧密地与网络集成stack对传递内核的流量的理解。

0点赞
0收藏
0下载
相关推荐
确认
3秒后跳转登录页面
去登陆