ebpf 标签归档 | 土法炼钢兴趣小组的算法知识备份

【可观测性工程】持续性能分析（Profiling）：pprof、Pyroscope、Parca、async-profiler、JFR

2026-04-22 | architecture · observability | #profiling #pprof #pyroscope #parca #async-profiler #jfr #ebpf #continuous-profiling #flamegraph #opentelemetry-profiles

从 CPU/heap/goroutine/lock/off-CPU 等 Profiling 种类出发，比较采样与插桩两类 profiler 的工作原理，深入 Go pprof、Java async-profiler/JFR、Python py-spy、Pyroscope、Parca eBPF Profiling，以及 OpenTelemetry Profiles 的最新进展，给出国内字节美团的真实落地经验与工程坑点。

【可观测性工程】eBPF 可观测性全景：bcc、bpftrace、libbpf 的工程路径

2026-04-22 | architecture · observability | #ebpf #bcc #bpftrace #libbpf #co-re #btf #kprobe #uprobe #tracepoint #pixie #deepflow #observability #linux-kernel

eBPF 如何实现零侵入、内核级、低开销的可观测性：从 kprobe/uprobe/tracepoint/fentry 钩子机制，到 bcc 工具集、bpftrace 脚本语言、libbpf+CO-RE 可移植编程，再到 Pixie、DeepFlow、Grafana Beyla 等商业化工具，结合内核版本兼容性与生产部署实战。

【可观测性工程】网络可观测性：Cilium Hubble、Pixie、DeepFlow、Tetragon

2026-04-22 | architecture · observability | #network-observability #cilium #hubble #tetragon #pixie #deepflow #ebpf #flow-log #service-topology #tls-decryption #http2

从 L3/L4/L7 三层观测视角出发，讲解 eBPF socket filter/tc/XDP 的数据采集机制，深入 Cilium Hubble 流日志与指标体系、Tetragon 安全可观测、Pixie 自动化协议解析、国产 DeepFlow 的架构与实践，以及 TLS 解密、HTTP/2 解析、服务拓扑自动发现等核心工程挑战。

持续性能分析（Continuous Profiling）：Parca、Pyroscope、Grafana Beyla

2026-04-22 | architecture · observability | #continuous-profiling #parca #pyroscope #beyla #ebpf #flamegraph #pprof #observability #performance

深入剖析持续性能分析（Continuous Profiling）的原理、架构与落地实践，覆盖 Parca、Pyroscope、Grafana Beyla 三大主流方案，包含 eBPF 采样、符号解析、火焰图、差异分析以及字节跳动、美团的生产案例与工程坑点。

可观测性工程

2026-04-22 | architecture · observability | #observability #opentelemetry #prometheus #ebpf #slo #tracing #profiling #logs #metrics

从 Metrics、Logs、Traces 到 Profiling、eBPF、OpenTelemetry 与 SLO 治理，面向中国工程团队的可观测性系统化手册。

Linux 网络子系统深度拆解

2026-04-20 | linux · networking | #linux-kernel #network-stack #sk_buff #netfilter #tcp #routing #ebpf #xdp

从 sk_buff 到 XDP，从收包路径到 TC 框架——系统拆解 Linux 内核网络子系统的每一个核心模块。基于 Linux 6.6 LTS 源码，配合 bpftrace/perf 实测追踪。

【操作系统百科】eBPF 核心

2026-06-19 | os | #ebpf #bpf-verifier #jit #btf #co-re

BPF 为什么能成为 Linux 的第二用户态？verifier、JIT、map 家族、BTF、CO-RE、BPF_LSM、sched_ext——本文讲 eBPF 的内核侧机制。

【网络工程】eBPF 可编程网络：从包过滤到流量工程

2025-08-05 | network | #ebpf #xdp #cilium #networking #programmable-networking #bpf

eBPF 正在重新定义网络工程——从传统的 iptables/netfilter 规则堆砌，到可编程、可观测、高性能的网络数据平面。本文系统讲解 eBPF 网络程序类型（XDP/TC/Socket）、Map 数据结构、Cilium 的 eBPF 数据平面实现，以及 eBPF 在负载均衡、可观测性和网络安全中的工程实践。

【网络工程】XDP 与 AF_XDP：eBPF 驱动的早期包处理

2025-07-25 | network | #xdp #af-xdp #ebpf #katran #packet-processing #high-performance

XDP 在内核网络栈最早期处理数据包，兼顾 DPDK 级性能与内核生态兼容性。本文从 XDP 的三种执行模式、程序编写实战、AF_XDP 的零拷贝路径到 Facebook Katran L4 负载均衡器的 XDP 实现，系统讲解 eBPF 驱动的高性能包处理。

【网络工程】BPF 网络诊断：bpftrace 与 bcc 工具实战

2025-08-15 | network | #ebpf #bpf #bpftrace #bcc #diagnostics #linux

系统讲解 eBPF 在网络诊断中的工程应用：bcc 工具集（tcplife/tcpretrans/tcpdrop）的使用场景、bpftrace 自定义网络探针编写、XDP 丢包分析、内核协议栈延迟追踪，建立基于 eBPF 的系统化网络诊断方法。

【从零造容器】容器网络性能真相：veth vs macvlan vs eBPF 数据面

2026-04-11 | linux · containers · networking | #veth #macvlan #ipvlan #ebpf #cilium #iptables #container-networking #cni #benchmark #xdp

容器网络为什么比裸机慢？veth + bridge 每个包经过两次 netfilter，macvlan 跳过了 bridge，Cilium 用 eBPF 替掉了 iptables。到底慢多少？我们用 iperf3、wrk 和自定义 echo server 实测。

【eBPF 系列】eBPF：Linux 内核的隐藏武器

2025-01-22 | linux | #ebpf #xdp #kprobe #tracepoint #linux-kernel #networking #observability

eBPF 让你在内核里插代码而不用写内核模块。听起来很美，但验证器的限制、Map 的性能陷阱、BTF 的兼容性噩梦，这些他们不会在教程里告诉你。

【eBPF 系列】eBPF 追踪实战：用 bpftrace 在生产环境找到那个慢请求

2026-04-10 | linux | #ebpf #bpftrace #kprobe #uprobe #tracepoint #off-cpu #latency #observability #performance

你的 P99 延迟突然飙到 500ms，但平均值只有 3ms。日志里什么都没有，Prometheus 图表一片祥和。bpftrace 一行命令，30 秒定位问题。这篇文章告诉你怎么做到的。

【eBPF 系列】eBPF + 容器：Cilium 的数据面为什么不再需要 iptables

2026-06-25 | linux | #cilium #ebpf #kubernetes #iptables #kube-proxy #service-mesh #networking #xdp #container

5000 个 Service、十万条 iptables 规则、一次更新锁五秒——这就是 kube-proxy 的现实。Cilium 用 eBPF Map 的 O(1) 查找干掉了整条 KUBE-SERVICES 链，顺便把 sidecar 也一起埋了。

【eBPF 系列】eBPF + io_uring：Linux 高性能网络栈的终极形态

2025-02-07 | linux | #ebpf #io_uring #xdp #af_xdp #networking #high-performance #kernel-bypass

eBPF 在内核里做决策，io_uring 在内核里做 I/O。当这两个东西连起来，你的数据包从网卡到应用可以完全不经过传统协议栈。

【eBPF 系列】eBPF 性能分析工具链：perf → BCC → bpftrace → Parca 的演化

2027-02-10 | linux · ebpf · profiling | #ebpf #profiling #perf #bpftrace #bcc #parca #flame-graph #off-cpu

你有火焰图，但它只能告诉你 CPU 在忙什么——CPU 不忙的时候呢？从 perf 到 Parca，Linux 性能分析工具链走过了 15 年，是时候搞清楚每个工具的真正定位了。

【eBPF 系列】eBPF 安全监控：不改内核也能审计 syscall

2026-05-10 | linux · security · ebpf | #ebpf #lsm #seccomp #falco #tetragon #syscall #security #container-security #runtime-security #linux-kernel

Seccomp 只能说 yes or no，但攻击者早就学会了在 yes 里面做文章。是时候让 eBPF 接管安全审计了。

【eBPF 系列】XDP：在网卡驱动层就把包丢掉

2026-04-25 | linux · networking · ebpf | #xdp #ebpf #dpdk #ddos #firewall #smartnic #network-performance #linux-kernel

当 DDoS 洪水来袭，iptables 在协议栈里挣扎，而 XDP 在网卡驱动层就把垃圾包丢了。不进协议栈、不分配 skb、不走 netfilter——这才是丢包该有的样子。

eBPF 系列文章索引

2027-03-25 | linux | #ebpf #index #series

从 eBPF 基础到 XDP 防火墙、安全监控、容器网络、性能分析——eBPF 在现代 Linux 的完整应用图谱。