eBPF：云原生下一阶段背后的隐形力量

让我们从头开始。eBPF（扩展伯克利包过滤器）是内置于Linux内核的一项技术，它允许沙箱程序在 kernel 内部安全运行。最初，它是为低级数据包过滤而设计的，但随着时间的推移，它已发展成为现代计算中最强大、最灵活的工具之一。

eBPF的独特之处在于，它能在内核级别提供深度可见性和可编程性，而无需修改内核代码或应用程序。你可以接入系统调用、网络流量或性能事件并采取行动——所有这些都有安全保障，因此不会导致内核崩溃。

如果这听起来很抽象，那实际情况是：eBPF 让我们能够在系统的最低层级实时观察和控制正在发生的事情，而无需通过智能体、边车或复杂的工具来增加应用程序的负担。

eBPF在云原生中的应用场景

大多数开发者甚至许多平台工程师都不会编写eBPF程序。但他们几乎肯定在使用这些程序，而且往往没有意识到这一点。在云原生环境中，eBPF正出现在一些最关键的领域：

• 服务网格：Istio的Ambient Mesh和其他项目正依赖eBPF来替代重量级的边车代理。eBPF不再在各处注入Envoy，而是直接在内核层面捕获和管理流量。
• 可观测性：像Pixie和Cilium的Hubble这样的项目利用eBPF收集遥测数据，无需开发者对代码进行插桩或注入代理。“零插桩可观测性”正成为现实。
• 安全性：像Falco和Tetragon这样的工具依靠eBPF来监控系统调用并实时检测恶意活动。这是内置于内核的运行时安全性。
• 网络：Cilium或许是最著名的例子，它用高性能、基于eBPF的网络替代了Kubernetes集群中的iptables。

简而言之，eBPF正悄然成为我们在云原生技术栈中实现服务通信、可见性和保护的核心支柱。

为什么eBPF具有变革性

这为什么重要？因为eBPF正在消除我们在云原生领域一直面临的一些最大痛点。

• 边车开销：多年来，我们一直将边车视为在服务网格和可观测性领域开展业务的必要成本。但边车意味着更多的Pod、更多的资源消耗以及更多的延迟。eBPF通过将功能纳入内核，改变了这一局面。
• 深度可见性：eBPF 能让我们深入了解系统行为，其深度是任何用户态工具都无法比拟的。这意味着更好的调试、更出色的性能分析以及更完善的可观测性。
• 效率：eBPF 让我们无需在智能体或代理之间重复逻辑，而是可以在内核层面进行集中处理和优化，从而节省计算资源和内存。
• 可扩展性：由于eBPF具有可编程性，新的用例不断涌现——从负载均衡到入侵检测再到性能调优。

这就是为什么许多人将eBPF称为自容器本身以来最重要的Linux创新。

eBPF的无形力量

事情是这样的：eBPF并不引人注目。开发者在日常工作中不会接触到它。平台工程师可能只会通过Cilium或Pixie等工具间接接触到它。但在幕后，eBPF正在悄然重塑云原生生态系统。

正如Kubernetes成为容器的控制平面一样，eBPF正逐渐成为网络、可观测性和安全性的基础。未来可能会是这样的：Kubernetes调度你的工作负载，而eBPF则为确保这些工作负载安全高效运行的策略和可见性提供支持。

eBPF的美妙之处在于它是无形的。你不会像“使用GitOps”或“使用Kubernetes”那样“使用eBPF”。你只需使用那些恰好运行在eBPF上的工具，生活就会变得更轻松。

风险与权衡

当然，eBPF并非魔法。它存在一些挑战和风险：

• 内核复杂度：编写和调试eBPF程序需要专业知识。大多数工程师不会直接接触它。
• 可移植性：eBPF在很大程度上依赖于Linux内核版本。并非每个发行版都支持所有功能，而Windows的支持虽然在不断发展，但仍不够成熟。
• 生态系统碎片化：多个项目正以不同方式使用eBPF。标准化仍在推进中，最终可能会出现重叠且不兼容的方案。

因此，尽管eBPF功能强大，但它并非即插即用。我们需要防护措施、标准和通用实践，以确保在获得其益处的同时，不会产生新的麻烦。

云原生 2.0：eBPF 时代

以下是我的预测：云原生的下一阶段——你可以称之为云原生2.0——将由eBPF来定义。

• 服务网格将依靠eBPF进行流量拦截，减少对边车的依赖。
• 可观测性平台将使用eBPF实现零插桩遥测，这对开发者来说更便捷，对运维人员来说成本更低。
• 安全工具将接入内核，以更快地检测威胁，并以更低的开销执行策略。
• 平台工程团队将把由eBPF驱动的工具视为隐形基础设施，将它们嵌入到黄金路径中，而不会让开发人员接触到其复杂性。

换句话说，eBPF不会取代Kubernetes，但它将成为未来十年创新的同等重要的基础。

Shimmy 的观点

在安全领域，我们一直都在谈论“可执行情报”这一理想。仅仅收集日志和警报是远远不够的，关键在于理解它们、对它们进行优先级排序并采取行动。然而，我们常常淹没在大量无用信息中，使得工程师们变得麻木。

在可观测性方面，我看到了同样的模式。我们在数据收集方面已经做得非常出色。现在，eBPF为我们提供了一种新型信号：深入内核、实时且高保真。但真正的机会不仅仅在于收集这些信号，而在于将其与行动相结合。

想象这样一个世界：你的可观测性平台不仅能向你展示跟踪数据，还能在延迟飙升时自动回滚不良部署；你的安全系统不仅能标记可疑行为，还能在其扩散前在核心层面将其拦截；你的网络不仅具备可观测性，还能自我修复。

这就是eBPF的力量。它不花哨，不显眼，却具有变革性。

结束语

eBPF是云原生下一阶段背后的隐形力量。它已然存在，嵌入在我们许多人日常使用的工具中。它正在降低开销、增强可见性并强化安全性。

问题不在于你是否会采用eBPF。如果你正在运行Kubernetes、服务网格或使用现代可观测性工具，那你其实已经在使用它了。真正的问题是，我们将以多快的速度接纳eBPF，将其作为云原生的隐形基石。

如果说容器定义了云原生1.0，Kubernetes定义了云原生1.5，那么我认为eBPF将会定义云原生2.0。它不会大肆宣扬，也不会显而易见，但它会无处不在，而且至关重要。

作者简介：Alan Shimel 原文链接：https://cloudnativenow.com/features/ebpf-the-silent-power-behind-cloud-natives-next-phase/