在 WebAssembly 中使用 Rust 編寫 eBPF 程式併發布 OCI 鏡像 作者:於桐,鄭昱笙 eBPF(extended Berkeley Packet Filter)是一種高性能的內核虛擬機,可以運行在內核空間中,以收集系統和網路信息。隨著電腦技術的不斷發展,eBPF 的功能日益強 ...
在 WebAssembly 中使用 Rust 編寫 eBPF 程式併發布 OCI 鏡像
作者:於桐,鄭昱笙
eBPF(extended Berkeley Packet Filter)是一種高性能的內核虛擬機,可以運行在內核空間中,以收集系統和網路信息。隨著電腦技術的不斷發展,eBPF 的功能日益強大,並且已經成為各種效率高效的線上診斷和跟蹤系統,以及構建安全的網路、服務網格的重要組成部分。
WebAssembly(Wasm)最初是以瀏覽器安全沙盒為目的開發的,發展到目前為止,WebAssembly 已經成為一個用於雲原生軟體組件的高性能、跨平臺和多語言軟體沙箱環境,Wasm 輕量級容器也非常適合作為下一代無伺服器平臺運行時,或在邊緣計算等資源受限的場景高效執行。
現在,藉助 Wasm-bpf 編譯工具鏈和運行時,我們可以使用 Wasm 將 eBPF 程式編寫為跨平臺的模塊,使用 C/C++ 和 Rust 編寫程式。通過在 WebAssembly 中使用 eBPF 程式,我們不僅讓 Wasm 應用獲得 eBPF 的高性能、對系統介面的訪問能力,還可以讓 eBPF 程式享受到 Wasm 的沙箱、靈活性、跨平臺性、和動態載入的能力,並且使用 Wasm 的 OCI 鏡像來方便、快捷地分發和管理 eBPF 程式。例如,可以類似 docker 一樣,從雲端一行命令獲取 Wasm 輕量級容器鏡像,並運行任意 eBPF 程式。通過結合這兩種技術,我們將會給 eBPF 和 Wasm 生態來一個全新的開發體驗!
使用 Wasm-bpf 工具鏈在 Wasm 中編寫、動態載入、分發運行 eBPF 程式
在前兩篇短文中,我們已經介紹了 Wasm-bpf 的設計思路,以及如何使用 C/C++ 在 Wasm 中編寫 eBPF 程式:
- Wasm-bpf: 架起 Webassembly 和 eBPF 內核可編程的橋梁: https://mp.weixin.qq.com/s/2InV7z1wcWic5ifmAXSiew
- 在 WebAssembly 中使用 C/C++ 和 libbpf 編寫 eBPF 程式: https://zhuanlan.zhihu.com/p/605542090
基於 Wasm,我們可以使用多種語言構建 eBPF 應用,並以統一、輕量級的方式管理和發佈。以我們構建的示例應用 bootstrap.wasm 為例,使用 C/C++ 構建的鏡像大小最小僅為 ~90K,很容易通過網路分發,並可以在不到 100ms 的時間內在另一臺機器上動態部署、載入和運行,並且保留輕量級容器的隔離特性。運行時不需要內核特定版本頭文件、LLVM、clang 等依賴,也不需要做任何消耗資源的重量級的編譯工作。對於 Rust 而言,編譯產物會稍大一點,大約在 2M 左右。
本文將以 Rust 語言為例,討論:
- 使用 Rust 編寫 eBPF 程式並編譯為 Wasm 模塊
- 使用 OCI 鏡像發佈、部署、管理 eBPF 程式,獲得類似 Docker 的體驗
我們在倉庫中提供了幾個示常式序,分別對應於可觀測、網路、安全等多種場景。
編寫 eBPF 程式並編譯為 Wasm 的大致流程
一般說來,在非 Wasm 沙箱的用戶態空間,使用 libbpf-bootstrap 腳手架,可以快速、輕鬆地使用 C/C++構建 BPF 應用程式。編譯、構建和運行 eBPF 程式(無論是採用什麼語言),通常包含以下幾個步驟:
- 編寫內核態 eBPF 程式的代碼,一般使用 C/C++ 或 Rust 語言
- 使用 clang 編譯器或者相關工具鏈編譯 eBPF 程式(要實現跨內核版本移植的話,需要包含 BTF 信息)。
- 在用戶態的開發程式中,編寫對應的載入、控制、掛載、數據處理邏輯;
- 在實際運行的階段,從用戶態將 eBPF 程式載入進入內核,並實際執行。
使用 Rust 編寫 eBPF 程式並編譯為 Wasm
Rust 可能是 WebAssembly 生態系統中支持最好的語言。Rust 不僅支持幾個 WebAssembly 編譯目標,而且 wasmtime、Spin、Wagi 和其他許多 WebAssembly 工具都是用 Rust 編寫的。因此,我們也提供了 Rust 的開發示例:
- Wasm 和 WASI 的 Rust 生態系統非常棒
- 許多 Wasm 工具都是用 Rust 編寫的,這意味著有大量的代碼可以復用。
- Spin 通常在對其他語言的支持之前就有Rust的功能支持
- Wasmtime 是用 Rust編寫的,通常在其他運行時之前就有最先進的功能。
- 可以在 WebAssembly 中使用許多現成的 Rust 庫。
- 由於 Cargo 的靈活構建系統,一些 Crates 甚至有特殊的功能標誌來啟用Wasm的功能(例如Chrono)。
- 由於 Rust 的記憶體管理技術,與同類語言相比,Rust 的二進位大小很小。
我們同樣提供了一個 Rust 的 eBPF SDK,可以使用 Rust 編寫 eBPF 的用戶態程式並編譯為 Wasm。藉助 aya-rs 提供的相關工具鏈支持,內核態的 eBPF 程式也可以用 Rust 進行編寫,不過在這裡,我們還是復用之前使用 C 語言編寫的內核態程式。
首先,我們需要使用 rust 提供的 wasi 工具鏈,創建一個新的項目:
rustup target add wasm32-wasi
cargo new rust-helloworld
之後,可以使用 Makefile 運行 make 完成整個編譯流程,並生成 bootstrap.bpf.o eBPF 位元組碼文件。
使用 wit-bindgen 生成類型信息,用於內核態和 Wasm 模塊之間通信
wit-bindgen 項目是一套著眼於 WebAssembly,並使用組件模型的語言的綁定生成器。綁定是用 *.wit 文件描述的,文件中描述了 Wasm 模塊導入、導出的函數和介面。我們可以 wit-bindgen 它來生成多種語言的類型定義,以便在內核態的 eBPF 和用戶態的 Wasm 模塊之間傳遞數據。
我們首先需要在 Cargo.toml 配置文件中加入 wasm-bpf-binding 和 wit-bindgen-guest-rust 依賴:
wasm-bpf-binding = { path = "wasm-bpf-binding" }
這個包提供了 wasm-bpf 由運行時提供給 Wasm 模塊,用於載入和控制 eBPF 程式的函數的綁定。
wasm-bpf-binding在 wasm-bpf 倉庫中有提供。
[dependencies]
wit-bindgen-guest-rust = { git = "https://github.com/bytecodealliance/wit-bindgen", version = "0.3.0" }
[patch.crates-io]
wit-component = {git = "https://github.com/bytecodealliance/wasm-tools", version = "0.5.0", rev = "9640d187a73a516c42b532cf2a10ba5403df5946"}
wit-parser = {git = "https://github.com/bytecodealliance/wasm-tools", version = "0.5.0", rev = "9640d187a73a516c42b532cf2a10ba5403df5946"}
這個包支持用 wit 文件為 rust 客戶程式生成綁定。使用這個包的情況下,我們不需要再手動運行 wit-bindgen。
接下來,我們使用 btf2wit 工具,從 BTF 信息生成 wit 文件。可以使用 cargo install btf2wit 安裝我們提供的 btf2wit 工具,並編譯生成 wit 信息:
cd btf
clang -target bpf -g event-def.c -c -o event.def.o
btf2wit event.def.o -o event-def.wit
cp *.wit ../wit/
- 其中
event-def.c是包含了我們需要的結構體信息的的 C 程式文件。只有在導出符號中用到的結構體才會被記錄在 BTF 中。
對於 C 結構體生成的 wit 信息,大致如下:
default world host {
record event {
pid: s32,
ppid: s32,
exit-code: u32,
--pad0: list<s8>,
duration-ns: u64,
comm: list<s8>,
filename: list<s8>,
exit-event: s8,
}
}
wit-bindgen-guest-rust 會為 wit 文件夾中的所有類型信息,自動生成 rust 的類型,例如:
#[repr(C, packed)]
#[derive(Debug, Copy, Clone)]
struct Event {
pid: i32,
ppid: i32,
exit_code: u32,
__pad0: [u8; 4],
duration_ns: u64,
comm: [u8; 16],
filename: [u8; 127],
exit_event: u8,
}
編寫用戶態載入和處理代碼
為了在 WASI 上運行,需要為 main.rs 添加 #![no_main] 屬性,並且 main 函數需要採用類似如下的形態:
#[export_name = "__main_argc_argv"]
fn main(_env_json: u32, _str_len: i32) -> i32 {
return 0;
}
用戶態載入和掛載代碼,和 C/C++ 中類似:
let obj_ptr =
binding::wasm_load_bpf_object(bpf_object.as_ptr() as u32, bpf_object.len() as i32);
if obj_ptr == 0 {
println!("Failed to load bpf object");
return 1;
}
let attach_result = binding::wasm_attach_bpf_program(
obj_ptr,
"handle_exec\0".as_ptr() as u32,
"\0".as_ptr() as u32,
);
...
polling ring buffer:
let map_fd = binding::wasm_bpf_map_fd_by_name(obj_ptr, "rb\0".as_ptr() as u32);
if map_fd < 0 {
println!("Failed to get map fd: {}", map_fd);
return 1;
}
// binding::wasm
let buffer = [0u8; 256];
loop {
// polling the buffer
binding::wasm_bpf_buffer_poll(
obj_ptr,
map_fd,
handle_event as i32,
0,
buffer.as_ptr() as u32,
buffer.len() as i32,
100,
);
}
使用 handler 接收返回值:
extern "C" fn handle_event(_ctx: u32, data: u32, _data_sz: u32) {
let event_slice = unsafe { slice::from_raw_parts(data as *const Event, 1) };
let event = &event_slice[0];
let pid = event.pid;
let ppid = event.ppid;
let exit_code = event.exit_code;
if event.exit_event == 1 {
print!(
"{:<8} {:<5} {:<16} {:<7} {:<7} [{}]",
"TIME",
"EXIT",
unsafe { CStr::from_ptr(event.comm.as_ptr() as *const i8) }
.to_str()
.unwrap(),
pid,
ppid,
exit_code
);
...
}
接下來即可使用 cargo 編譯運行:
$ cargo build --target wasi32-wasm
$ sudo wasm-bpf ./target/wasm32-wasi/debug/rust-helloworld.wasm
TIME EXEC sh 180245 33666 /bin/sh
TIME EXEC which 180246 180245 /usr/bin/which
TIME EXIT which 180246 180245 [0] (1ms)
TIME EXIT sh 180245 33666 [0] (3ms)
TIME EXEC sh 180247 33666 /bin/sh
TIME EXEC ps 180248 180247 /usr/bin/ps
TIME EXIT ps 180248 180247 [0] (23ms)
TIME EXIT sh 180247 33666 [0] (25ms)
TIME EXEC sh 180249 33666 /bin/sh
TIME EXEC cpuUsage.sh 180250 180249 /root/.vscode-server-insiders/bin/a7d49b0f35f50e460835a55d20a00a735d1665a3/out/vs/base/node/cpuUsage.sh
使用 OCI 鏡像發佈和管理 eBPF 程式
開放容器協議 (OCI) 是一個輕量級,開放的治理結構,為容器技術定義了規範和標準。在 Linux 基金會的支持下成立,由各大軟體企業構成,致力於圍繞容器格式和運行時創建開放的行業標準。其中包括了使用 Container Registries 進行工作的 API,正式名稱為 OCI 分發規範 (又名“distribution-spec”)。
Docker 也宣佈推出與 WebAssembly 集成 (Docker+Wasm) 的首個技術預覽版,並表示公司已加入位元組碼聯盟 (Bytecode Alliance),成為投票成員。Docker+Wasm 讓開發者能夠更容易地快速構建面向 Wasm 運行時的應用程式。
藉助於 Wasm 的相關生態,可以非常方便地發佈、下載和管理 eBPF 程式,例如,使用 wasm-to-oci 工具,可以將 Wasm 程式打包為 OCI 鏡像,獲取類似 docker 的體驗:
wasm-to-oci push testdata/hello.wasm <oci-registry>.azurecr.io/wasm-to-oci:v1
wasm-to-oci pull <oci-registry>.azurecr.io/wasm-to-oci:v1 --out test.wasm
我們也將其集成到了 eunomia-bpf 的 ecli 工具中,可以一行命令從雲端的 Github Packages 中下載並運行 eBPF 程式,或通過 Github Packages 發佈:
# push to Github Packages
ecli push https://ghcr.io/eunomia-bpf/sigsnoop:latest
# pull from Github Packages
ecli pull https://ghcr.io/eunomia-bpf/sigsnoop:latest
# run eBPF program
ecli run https://ghcr.io/eunomia-bpf/sigsnoop:latest
我們已經在 LMP 項目的 eBPF Hub 中,有一些創建符合 OCI 標準的 Wasm-eBPF 應用程式,並利用 ORAS 簡化擴展 eBPF 應用開發,分發、載入、運行能力的嘗試[11],以及基於 Wasm 同時使用多種不同語言開發 eBPF 的用戶態數據處理插件的實踐。基於最新的 Wasm-bpf 框架,有更多的探索性工作可以繼續展開,我們希望嘗試構建一個完整的針對 eBPF 和 Wasm 程式的包管理系統,以及更多的可以探索的應用場景。
總結
本文以 Rust 語言為例,討論了使用 Rust 編寫 eBPF 程式並編譯為 Wasm 模塊以及使用 OCI 鏡像發佈、部署、管理 eBPF 程式,獲得類似 Docker 的體驗。更完整的代碼,請參考我們的 Github 倉庫:https://github.com/eunomia-bpf/wasm-bpf.
接下來,我們會繼續完善在 Wasm 中使用多種語言開發和運行 eBPF 程式的體驗,提供更完善的示例和用戶態開發庫/工具鏈,以及更具體的應用場景。
參考資料
- wasm-bpf Github 開源地址:https://github.com/eunomia-bpf/wasm-bpf
- 什麼是 eBPF:https://ebpf.io/what-is-ebpf
- WASI-eBPF: https://github.com/WebAssembly/WASI/issues/513
- 龍蜥社區 eBPF 技術探索 SIG https://openanolis.cn/sig/ebpfresearch
- eunomia-bpf 項目:https://github.com/eunomia-bpf/eunomia-bpf
- eunomia-bpf 項目龍蜥 Gitee 鏡像:https://gitee.com/anolis/eunomia
- Wasm-bpf: 架起 Webassembly 和 eBPF 內核可編程的橋梁:https://mp.weixin.qq.com/s/2InV7z1wcWic5ifmAXSiew
- 當 Wasm 遇見 eBPF :使用 WebAssembly 編寫、分發、載入運行 eBPF 程式:https://zhuanlan.zhihu.com/p/573941739
- Docker+Wasm技術預覽:https://zhuanlan.zhihu.com/p/583614628
- LMP eBPF-Hub: https://github.com/linuxkerneltravel/lmp
- wasm-to-oci: https://github.com/engineerd/wasm-to-oci
- btf2wit: https://github.com/eunomia-bpf/btf2wit
