基于ebpf统计docker容器网络流量

最新推荐文章于 2026-04-08 11:53:09 发布
原创 最新推荐文章于 2026-04-08 11:53:09 发布 · 5.5k 阅读 · 19
标签
#linux #bpf #网络
本文介绍了如何利用ebpf技术在Linux下统计Docker容器的网络流量,包括L3、L4和L2层面的流量统计方法。在实践中,面临如cgroupID获取、流量统计误差、性能瓶颈等问题,并分享了对应的解决方案,如使用percpu_hash_map以提高并发计数的准确性和性能。

Linux下统计网络带宽的工具很多,但大部分是按网卡、进程、IP维度进行统计。统计容器维度的网络流量,虽然可在容器的namespace查看,或者由cgroup提供的net_cls做标记再配合iptable统计,但使用起来并不方便,这里介绍一种基于ebpf来统计容器维度网络流量的办法,以及使用时遇到的坑。

原理与实现

ebpf的原理不再介绍了,用来做流量统计,最大的优势是十分灵活,能够根据需求对统计项目进行定制。基本原理就是记录内核中各网络相关函数的参数,再按不同维度,如 cgroupID, 进程,IP地址等进行分类,统计,计算,输出。

统计流量

ebpf可通过跟踪内核函数,统计不同层次的网络流量。各层的流量差异主要在于包头,重传,控制报文等等。

L4 TCP 纯数据流量:

上行:kprobe统计  tcp_sendmsg(struct sock *sk,struct msghdr *msg, size_t size)   size 

下行:kprobe统计  tcp_cleanup_rbuf(struct sock *sk, int copied)   copied 

L4 UDP 纯数据流量:

上行:kprobe统计 udp_sendmsg(struct sock *sk, struct msghdr *msg, size_t len)   len 

下行:kprobe统计 skb_consume_udp(struct sock *sk, struct sk_buff *skb, int len)   len 

L3 IP 流量

上行: kprobe统计 ip_output(struct net *net, struct sock *sk, struct sk_buff *skb) skb->len 

下行: kprobe统计 ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt,struct net_device *orig_dev) skb->len 

L2 全部网络包流量:

上行:tracepoint统计 net/net_dev_queue   args->len 

下行:tracepoint统计 net/netif_receive_skb  args->len 

获取容器ID

容器基于cgroup创建,容器内的进程生成时其 task_struct->cgroups 会记录其所属cgroup相关信息。ebpf程序运行在内核态,可直接访问进程的task_struct结构,进而获取其cgroupID, 在统计流量时即可方便的区分当前网络流量属于哪个cgroup。

static void fill
最低0.47元/天 解锁文章
xyin_kevin
关注
最快的ebpf开发环境搭建方式
whz-emm的博客
11-22 1002
ebpf开发环境
eBPF 入门开发实践教程九:捕获进程调度延迟,以直方图方式记录
云微的blog
06-03 1556
runqlat 是一个 Linux 内核 BPF 程序,通过柱状图来总结调度程序运行队列延迟,显示任务等待运行在 CPU 上的时间长度。编译这个程序可以使用 ecc 工具,运行时可以使用 ecli 命令。runqlat 是一种用于监控Linux内核中进程调度延迟的工具。它可以帮助您了解进程在内核中等待执行的时间,并根据这些信息优化进程调度,提高系统的性能。如果您希望学习更多关于 eBPF 的知识和实践,可以访问我们的教程代码仓库以获取更多示例和完整的教程。
eBPF监控工具实战案例:附完整可运行代码
最新发布
彭大帅的博客
04-08 263
本文介绍了基于Python+BCC库实现的11个Linux系统监控案例,覆盖进程、文件、网络等7大运维场景。案例包括:进程执行监控、敏感文件访问检测、TCP连接跟踪、CPU调度延迟分析、磁盘IO监控、内存分配追踪、DNS查询记录、端口扫描检测、信号发送监控、系统调用错误统计以及容器网络连接审计。所有代码均需root权限运行,适用于Linux 5.4+内核环境。每个案例提供完整实现代码和典型应用场景说明,如安全审计、性能排查和异常检测等。这些BPF程序可直接运行或二次开发,为系统监控和安全防护提供高效低开销的
基于 eBPF 的 prometheus 监控方案
金荣的个人技术博客
04-13 5726
从最新资源构建二进制文件: $ go get -u -v github.com/cloudflare/ebpf_exporter/... cp -ip go/bin/ebpf_exporter /usr/local/bin/ebpf_exporter 运行一个示例: $ sudo ebpf_exporter --config.file=src/github.com/cloudflare/ebpf_exporter/examples/bio.yaml 输出结果如下: 浏览器访问9435端口,输出结
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
阿里巴巴云原生的博客
03-10 3084
当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。
如何使用ebpf统计某个端口的流量
c_cppcoder的博客
01-04 1594
如何使用ebpf统计某个端口的流量
揭秘Docker容器安全加固:如何用eBPF实现无侵入式流量监控与威胁检测
FastCompile的博客
01-06 395
通过eBPF实现Docker容器无侵入监控,解决部署中安全可见性难题。适用于微服务流量追踪与威胁检测,结合轻量部署与实时策略,提升容器安全。配套详细文档指导落地,值得收藏。
【限时公开】资深架构师私藏的eBPF+Docker部署文档,仅此一份
VarLens的博客
01-06 872
掌握eBPFDocker协同部署的核心方法,解决容器环境性能监控难题。本部署文档详细解析在云原生场景下如何利用eBPF实现精细化观测与安全管控,涵盖原理剖析、实操步骤与典型应用案例,提升系统可观测性与运行效率,值得收藏。
揭秘DockereBPF环境搭建全过程:从零到成功仅需这7步
InitPulse的博客
01-06 671
掌握DockereBPF环境搭建难题?本文详述Docker eBPF安装步骤,覆盖内核配置、工具链部署与容器集成,适用于性能监控与安全审计场景,操作清晰高效,值得收藏。
为什么顶级公司都在用eBPF监控Docker?你不可错过的5大核心优势
ByteShoal的博客
01-06 572
掌握Docker容器监控难题?eBPF技术正成为顶级公司首选。本文解析Docker eBPF部署文档,涵盖无侵入监控、实时性能追踪等5大核心优势,适用于微服务与云原生场景,助你高效构建可观测系统,值得收藏。
使用 ebpf 深入分析容器网络 dup 包问题
flynetcn的专栏
09-10 1083
| 导语我们日常工作中都会遇到内核网络相关问题,包括网络不通、丢包、重传、性能问题等等,排查和解决非常困难,而容器更加重了这种复杂度,涉及2、3层转发,iptable,ipvs,namespace等,即使是网络专家,面对如此复杂的环境也非常的头大的。我们基于eBPF开发了skbtracer工具,不用修改内核代码,不用编写内核模块而能够使Linux主机网络变成一个彻底的白盒,能够看到一个数据包从产生发出去的全部过程,包括不限于数据流、namespace、路由信息跟踪,丢包原因,netfilter处...
使用 eBPF 在云中实现网络可观测性
n9ecommunity的博客
08-25 560
可观测性是一种了解和解释应用当前状态的能力,也是一种知道何时出现问题的方法。随着在 Kubernetes 和 OpenShift 上以微服务形式进行云部署的应用程序越来越多,可观察性受到了广泛关注。许多应用程序都有严格的承诺,比如在停机时间、延迟和吞吐量方面的 SLA,因此网络层面的可观测性是一项非常必要的功能。网络层面的可观测性由不同的编排器提供,有的是内置支持,有的是通过插件和 operator 提供。最近,eBPF(扩展的伯克利数据包过滤器)因其性能和灵活性成为在终端主机内核实现可观察性的热门选择。
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1989
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
bpftrace 使用笔记
奋斗中拥有
07-16 5632
bpftrace 使用笔记 bpftrace 是基于BPF和BCC的开源系统跟踪工具. bpftrace 自带了许多性能工具,同时还提供一个高级编程语言环境,用于创建自定义的工具. 一般Linux发行版都可直接通过安装包安装使用, 我自己的环境由于升级了KERNEL导致不能正常使用, 只能通过源码重新构建使用. 环境准备: $ uname -a Linux fc29 5.12.7-300.fc29.x86_64 #1 SMP Fri May 28 13:45:39 CST 2021 x86_64 x86_6
2024 年 eBPF网络趋势预测
dwh0403的专栏
01-27 1111
在将来作者预测会有更多的 eBPF 应用在移动设备上的使用案例,不仅限于安卓设备。观测集群中发生的一切将会带来巨大的数据量,这将会显著增加可观测性的成本开销,特别是涉及数百个 Kubernetes 集群和数十万个 Pod 场景中。有趣的是,另一种流行的云原生技术 Wasm 也有类似的说法,Wasm 提供了一个能够在 Web 浏览器中运行 C/C++、C# 和 Rust 程序的抽象。的目标是确保 eBPF 程序安全运行,并防止危险行为,但随着 eBPF技术广泛的应用,可能会出现某些形式的漏洞被利用。
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 972
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
Linux网络协议:当eBPF遇上Linux内核网络 | Linux内核之旅
RToax
05-15 1166
《直播预告 | 当eBPF遇见Linux内核网络》 哔哩哔哩:https://www.bilibili.com/video/BV1ch411U75f?from=search&seid=16377189218093260407 目录 分享大纲 目录 Linux内核网络数据包收发流程 Linux内核网络数据包接收流程 Linux内核网络数据包发送流程 eBPF优化Linux内核网络性能 NAPI GRO,RSS,RPS,XPS,RFS DPDK XDP XDP与DPDK对比 X
使用ebpf分析网络报文传输时延
dillanzhou的博客
08-31 3171
最近需要分析某个链路上的单向网络延迟,数据的发送端使用一个用户态协议栈,而接收端则使用linux内核协议栈。获取延迟的方式是在发送端在发送报文的尾部添加一个发送时间戳,在接收端获取报文后将接收端时间戳与发送时间戳进行对比,从而获得中间的延迟时间。由于发送端和接收端位于同一设备(使用不同的网卡),又分别处于用户态和内核态,因此使用了两端都能高性能访问的tsc时钟作为时间戳来源。 为了在接收端尽可能...
Docker 网络模式、数据卷和数据卷容器
qq_35479765的博客
09-07 598
文章目录
基于 Coolbpf 的应用可观测实践 | 龙蜥技术
weixin_60347558的博客
10-13 762
随着 eBPF 技术的广泛应用,在操作系统层面提供了更多的观测能力,站在操作系统层面对应用的行为数据进行 trace 追踪成了一种应用监控的新手段,本文主要介绍基于 eBPF 实现对应用网络数据监控的背后逻辑。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值