誰もが魔法についての好きな本を持っています。誰かがトールキンを持っている、誰かがプラチェットを持っている、私のような誰かがマックスフライを持っている。今日は、私のお気に入りのITマジックであるBPFとその周辺の最新のインフラストラクチャについて説明します。

BPFは現在ピークにあります。テクノロジーは飛躍的に発展し、最も予想外の場所に浸透し、平均的なユーザーがますますアクセスできるようになっています。今日のほとんどすべての人気のある会議で、このトピックに関するレポートを聞くことができます。GopherConRussiaも例外ではありません。私のレポートのテキストバージョンを紹介します。

この記事にはユニークな発見はありません。 BPFとは何か、BPFで何ができるのか、そしてBPFがどのように個人的に役立つのかをお見せしようと思います。 Go関連の機能についても見ていきます。

私の記事を読んだ後は、ハリー・ポッターの本を最初に読んだ子供の目と同じように目を輝かせて、家に帰ったり、仕事をして新しい「おもちゃ」を試してみてください。

eBPFとは何ですか？

それで、燃えるような目をした34歳のひげを生やした男があなたに話すのはどのような魔法ですか？

私たちは2020年にあなたと一緒に住んでいます。 Twitterを開くと、ソフトウェアが非常にひどい品質で作成されているため、すべてを捨てて最初からやり直すのが簡単であると主張する不機嫌そうな紳士のツイートを読むことができます。彼らはもはやそれを我慢できないので、職業を辞めると脅す人さえいます：すべてが絶えず壊れていて、不便で、遅いです。

おそらく彼らは正しいでしょう：千のコメントがなければ、私たちは見つけることができません。しかし、私が間違いなく同意するのは、最新のソフトウェアスタックがこれまでになく複雑になっているということです。

BIOS、EFI、オペレーティングシステム、ドライバー、モジュール、ライブラリ、ネットワーキング、データベース、キャッシュ、K8のようなオーケストレーター、Dockerのようなコンテナー、そして最後に、ランタイムとガベージコレクターを備えたソフトウェア。本当の専門家は、ブラウザにya.ruを数日間入力した後に何が起こるかという質問に答えることができます。

システムで何が起こっているのかを理解することは非常に困難です。特に、現時点で問題が発生していて、お金を失っている場合はなおさらです。この問題により、システム内で何が起こっているのかを理解するのに役立つように設計されたビジネスラインが出現しました。大企業には、何百万ドルも節約するためにどこを叩くか、どのナットを締めるかを知っているシャーロック部門全体があります。

インタビューでは、朝4時に起きた場合に問題をどのように解決するかをよく尋ねます。

1つのアプローチは、ログを分析することです。しかし問題は、開発者が自分のシステムに入れたものだけが利用できるということです。それらは柔軟ではありません。

2番目に一般的なアプローチは、メトリックを調査することです。メトリックを操作するための最も一般的な3つのシステムは、Goで記述されています。指標は非常に便利ですが、症状を確認できるため、必ずしも原因を理解するのに役立つとは限りません。

人気が高まっている3番目のアプローチは、いわゆる可観測性です。システムの動作について任意に複雑な質問をし、それらに対する回答を得る機能です。質問は非常に複雑になる可能性があるため、回答にはさまざまな情報が必要になる場合があり、質問が行われるまで、どれがどれかわかりません。これは、柔軟性が可観測性に不可欠であることを意味します。

その場でロギングレベルを変更する機能を提供しますか？実行中のプログラムにデバッガーで接続し、その作業を中断せずにそこで何かをしますか？システムに入ってくるリクエストを理解し、遅いリクエストのソースを視覚化し、pprofを介してどのメモリが消費されているかを確認し、時間の経過に伴う変化のグラフを取得しますか？ 1つの関数の待ち時間と待ち時間の引数への依存性を測定しますか？これらすべてのアプローチについて、可観測性について説明します。これは、ユーティリティ、アプローチ、知識、経験のセットであり、すべてではないにしても、作業システムで多くの「利益」を実現する機会を一緒に提供します。現代のスイスのITナイフ。

しかし、これはどのように行うことができますか？市場には、単純、複雑、危険、低速など、多くの機器がありました。しかし、今日の記事のトピックはBPFです。

Linuxカーネルはイベント駆動型です。カーネル内およびシステム全体で発生するほとんどすべてのことは、一連のイベントとして表すことができます。中断はイベントであり、ネットワークを介したパケットの受信はイベントであり、プロセッサの別のプロセスへの転送はイベントであり、関数の起動はイベントです。

したがって、BPFはLinuxカーネルのサブシステムであり、イベントに応答してカーネルによって起動される小さなプログラムを作成することを可能にします。これらのプログラムは、システムで何が起こっているかを明らかにし、それを制御することができます。

とても長い紹介でした。現実に近づきましょう。

1994年には、BPFの最初のバージョンが見られました。これは、ネットワークパケットを表示またはスニッフィングするためのtcpdumpユーティリティの簡単なルールを作成するときに遭遇した可能性があります。 tcpdumpでは、「フィルター」を設定して、すべてではなく、関心のあるパッケージのみを表示できます。たとえば、「tcpプロトコルのみとポート80のみ」などです。通過するパケットごとに、その特定のパケットを保存するかどうかを決定する関数が実行されました。パッケージはたくさんある可能性があります。つまり、関数は非常に高速である必要があります。 tcpdumpフィルターはBPF関数に変換されたばかりで、その例を次の図に示します。

tcpdumpの単純なフィルターがBPFプログラムとして提示されます

元のBPFは、いくつかのレジスタを備えた非常に単純な仮想マシンでした。しかし、それにもかかわらず、BPFはネットワークパケットのフィルタリングを大幅に加速しました。かつて、これは大きな前進でした。

2014年、AlexeyStarovoitovはBPFの機能を拡張しました。彼はレジスターの数とプログラムの許容サイズを増やし、JITコンパイルを追加し、プログラムの安全性をチェックするベリファイアを作成しました。しかし、最も印象的なことは、パケットを処理するときだけでなく、多数のカーネルイベントに応答して、新しいBPFプログラムを起動し、カーネルとユーザースペースの間で情報をやり取りできることでした。

これらの変更により、BPFの新しいユースケースへの道が開かれました。以前は複雑で危険なカーネルモジュールを作成することによって行われていたいくつかのことは、BPFを介して比較的簡単に実行できるようになりました。なぜこれがクールなのですか？モジュールの作成中にミスをすると、パニックにつながることがよくあるからです。ふわふわのGo-shnoyパニックではなく、カーネルパニックになります。その後は再起動するだけです。

現在、平均的なLinuxユーザーは、以前はハードコアカーネル開発者または他の誰もが利用できた、内部を調べるための超能力を持っています。このオプションは、iOSまたはAndroid用のプログラムを簡単に作成する機能に匹敵します。古い電話では不可能であるか、はるかに困難でした。

Alexeyの新しいバージョンのBPFは、eBPFという名前でした（extended-extendedという単語から）。しかし、今ではすべての古いバージョンのBPFに取って代わり、非常に人気が高まっているため、簡単にするために単にBPFと呼んでいます。

BPFはどこで使用されますか？

では、BPFプログラムをアタッチできるこれらのイベントまたはトリガーは何であり、人々はどのようにしてこの新しく発見された力を利用し始めたのでしょうか。

現在、トリガーには2つの大きなグループがあります。

最初のグループは、ネットワークパケットの処理とネットワークトラフィックの管理に使用されます。これらは、XDP、トラフィック制御イベント、その他いくつかです。

これらのイベントは次の目的で必要です。

, . Cloudflare Facebook BPF- DDoS-. ( BPF- ), . .
, , — , , . . Facebook, , , .
スマートバランサーを構築します。最も顕著な例はCiliumプロジェクトで、これはK8sクラスターでメッシュネットワークとして最も頻繁に使用されます。Ciliumはトラフィックを管理し、バランスを取り、リダイレクトし、分析します。そして、これはすべて、ネットワークパケットまたはソケットに関連するイベントに応答してカーネルが実行する小さなBPFプログラムの助けを借りて行われます。

これは、動作に影響を与える機能を備えたネットワーク化された問題に関連するトリガーの最初のグループでした。2番目のグループは、より一般的な可観測性に関連しています。このグループのプログラムは、ほとんどの場合、何かに影響を与える能力を持っていませんが、「観察」することしかできません。彼女は私にもっと興味を持っています。

このグループには、次のようなトリガーが含まれています。

perf events — , Linux- perf: , , minor/major- . . , , , - . , , , , .
tracepoints — ( ) , (, ). , — , , , , . - , tracepoints :
- ;
- , ;
- API, , , , , API.
  
  , , , , , pprof .
USDT — , tracepoints, user space-. . : MySQL, , PHP, Python. enable-dtrace . , Go . -, , DTrace . , , Solaris: , , GC -, .

それでは、別のレベルの魔法が始まります。

ftraceトリガーを使用すると、ほとんどすべてのカーネル関数の開始時にBPFプログラムを実行できます。完全に動的。これは、選択したカーネル関数が実行を開始する前に、カーネルがBPF関数を呼び出すことを意味します。またはすべてのカーネル機能-何でも。すべてのカーネル関数にアタッチして、出力内のすべての呼び出しを適切に視覚化できます。
kprobes / uprobesはftraceとほぼ同じものを提供しますが、カーネルとユーザースペースの両方で、関数を実行するときに任意の場所にスナップする機能しかありません。関数の途中にある種のifが変数にあり、この変数の値のヒストグラムをプロットする必要がありますか？問題ない。
kretprobes/uretprobes — , user space. , , . , , PID fork.

繰り返しますが、これらすべてのトリガーのいずれかで呼び出されると、BPFプログラムは、関数引数の読み取り、タイムクロック、変数の読み取り、グローバル変数、スタックトレースの取得、保存など、よく調べることができます。その後、処理のためにユーザースペースにデータを転送し、フィルタリングまたはいくつかの制御コマンドのためにユーザースペースからデータを取得します。美しさ！

あなたのことはわかりませんが、私にとって新しいインフラストラクチャは、私が長い間心配して待っていたおもちゃのようなものです。

API、またはその使用方法

さて、マルコ、あなたは私たちにBPFに目を向けるように説得しました。しかし、どのようにそれにアプローチするのですか？

BPFプログラムが何で構成されているか、そしてそれとどのように相互作用するかを見てみましょう。

まず、検証された場合にカーネルにロードされるBPFプログラムがあります。そこで、JITがマシンコードにコンパイルされ、トリガーが起動するとカーネルモードで実行されます。

BPFプログラムには、2番目の部分であるユーザースペースプログラムと対話する機能があります。これを行うには2つの方法があります。循環バッファに書き込むことができ、ユーザースペース部分はそこから読み取ることができます。また、BPFマップと呼ばれるkey-value-storageでの書き込みと読み取りも可能であり、ユーザースペース部分も同じことを実行できるため、相互に情報を転送できます。

まっすぐな道

BPFを操作する最も簡単な方法は、C言語に似たBPFプログラムを作成し、Clangコンパイラを使用してこのコードを仮想マシンコードにコンパイルすることです。次に、BPFシステム呼び出しを使用してこのコードを直接ロードし、BPFシステム呼び出しを使用してBPFプログラムと対話します。

利用可能な最初の簡略化は、カーネルソースに付属し、BPFシステム呼び出しを直接操作しないようにするlibbpfライブラリを使用することです。実際、コードをロードするための便利なラッパーを提供し、カーネルからユーザースペースにデータを転送したり戻したりするためのいわゆるマップを操作します。

bcc

そのような使用が人間に優しいとはほど遠いことは明らかです。幸い、iovizorブランドでBCCプロジェクトが登場し、私たちの生活が大幅に簡素化されました。

実際、ビルド環境全体を準備し、単一のBPFプログラムを作成する機会を提供します。このプログラムでは、Cパーツが自動的にアセンブルされてカーネルにロードされ、ユーザースペースパーツはシンプルで理解しやすいPythonで実行できます。

bpftrace

しかし、BCCは多くの点で複雑に見えます。何らかの理由で、人々は特にCでパーツを書くこと

を好みません。iovizorの同じ人がbpftraceツールを導入しました。このツールを使用すると、AWK（または通常はワンライナー）の単純なスクリプト言語でBPFスクリプトを記述できます。

有名なパフォーマンスと可観測性の専門家であるBrendanGreggは、BPFを操作するための利用可能な方法について、次の視覚化を準備しました

。BCCは非常に強力なツールですが、それほど単純ではないことがわかります。bpftraceははるかに単純ですが、それほど強力ではありません。

BPFの使用例

しかし、具体的な例を挙げて、私たちが利用できるようになった魔法の能力を見てみましょう。

BCCとbpftraceの両方にToolsフォルダーが含まれています。このフォルダーには、既製の面白くて便利なスクリプトが多数含まれています。これらは、スクリプトのコードのチャンクをコピーできるローカルスタックオーバーフローでもあります。

たとえば、DNSクエリの待ち時間を示すスクリプトは次のとおりです。

 ╭─marko@marko-home ~ 
╰─$ sudo gethostlatency-bpfcc
TIME      PID    COMM                  LATms HOST
16:27:32  21417  DNS Res~ver #93        3.97 live.github.com
16:27:33  22055  cupsd                  7.28 NPI86DDEE.local
16:27:33  15580  DNS Res~ver #87        0.40 github.githubassets.com
16:27:33  15777  DNS Res~ver #89        0.54 github.githubassets.com
16:27:33  21417  DNS Res~ver #93        0.35 live.github.com
16:27:42  15580  DNS Res~ver #87        5.61 ac.duckduckgo.com
16:27:42  15777  DNS Res~ver #89        3.81 www.facebook.com
16:27:42  15777  DNS Res~ver #89        3.76 tech.badoo.com :-)
16:27:43  21417  DNS Res~ver #93        3.89 static.xx.fbcdn.net
16:27:43  15580  DNS Res~ver #87        3.76 scontent-frt3-2.xx.fbcdn.net
16:27:43  15777  DNS Res~ver #89        3.50 scontent-frx5-1.xx.fbcdn.net
16:27:43  21417  DNS Res~ver #93        4.98 scontent-frt3-1.xx.fbcdn.net
16:27:44  15580  DNS Res~ver #87        5.53 edge-chat.facebook.com
16:27:44  15777  DNS Res~ver #89        0.24 edge-chat.facebook.com
16:27:44  22099  cupsd                  7.28 NPI86DDEE.local
16:27:45  15580  DNS Res~ver #87        3.85 safebrowsing.googleapis.com
^C%

このユーティリティは、DNSクエリの実行時間をリアルタイムで表示するため、たとえば、予期しない異常を検出できます。

そして、これは他の人が自分の端末で入力したものを「スパイ」するスクリプトです。

 ╭─marko@marko-home ~ 
╰─$ sudo bashreadline-bpfcc         
TIME      PID    COMMAND
16:51:42  24309  uname -a
16:52:03  24309  rm -rf src/badoo

この種のスクリプトは、悪い隣人を捕まえたり、会社のサーバーのセキュリティを監査したりするために使用できます。

高レベル言語のフロー呼び出しを表示するためのスクリプト：

 ╭─marko@marko-home ~/tmp 
╰─$ sudo /usr/sbin/lib/uflow -l python 20590
Tracing method calls in python process 20590... Ctrl-C to quit.
CPU PID    TID    TIME(us) METHOD
5   20590  20590  0.173    -> helloworld.py.hello                  
5   20590  20590  0.173      -> helloworld.py.world                
5   20590  20590  0.173      <- helloworld.py.world                
5   20590  20590  0.173    <- helloworld.py.hello                  
5   20590  20590  1.174    -> helloworld.py.hello                  
5   20590  20590  1.174      -> helloworld.py.world                
5   20590  20590  1.174      <- helloworld.py.world                
5   20590  20590  1.174    <- helloworld.py.hello                  
5   20590  20590  2.175    -> helloworld.py.hello                  
5   20590  20590  2.176      -> helloworld.py.world                
5   20590  20590  2.176      <- helloworld.py.world                
5   20590  20590  2.176    <- helloworld.py.hello                  
6   20590  20590  3.176    -> helloworld.py.hello                  
6   20590  20590  3.176      -> helloworld.py.world                
6   20590  20590  3.176      <- helloworld.py.world                
6   20590  20590  3.176    <- helloworld.py.hello                  
6   20590  20590  4.177    -> helloworld.py.hello                  
6   20590  20590  4.177      -> helloworld.py.world                
6   20590  20590  4.177      <- helloworld.py.world                
6   20590  20590  4.177    <- helloworld.py.hello                  
^C%

この例は、Pythonプログラムの呼び出しスタックを示しています。

同じBrendanGreggが、各ユーティリティが「監視」できるサブシステムを示す矢印を使用して、既存のすべてのスクリプトを収集した写真を作成しました。ご覧のとおり、ほぼすべての場合に、すでに膨大な数の既製のユーティリティを利用できます。

ここで何かを見ようとしないでください。写真は参考になります

Goで私たちについてはどうですか？

それでは、Goについて話しましょう。2つの主な質問があります。

GoでBPFプログラムを作成できますか？
Goで書かれたプログラムを解析することは可能ですか？

順番に行きましょう。

現在まで、BPFマシンが理解できる形式にコンパイルできるコンパイラはClangだけです。もう1つの人気のあるコンパイラであるGCCには、まだBPFバックエンドがありません。また、BPFにコンパイルできる唯一のプログラミング言語はCの非常に限定されたバージョンです。

ただし、BPFプログラムには、ユーザースペースにある2番目の部分があります。そしてそれは囲碁で書くことができます。

上で述べたように、BCCでは、ツールの主要言語であるPythonでこの部分を記述できます。同時に、メインリポジトリではBCCはLuaとC ++もサポートし、サードパーティのリポジトリではGoもサポートします。

このようなプログラムは、Pythonプログラムとまったく同じように見えます。最初に、CのBPFプログラムの行があり、次にこのプログラムをどこにアタッチするかを指示し、何らかの方法でそれと対話します。たとえば、EPFマップからデータを取得します。

実際、それだけです。この例については、Githubで詳しく見ることができます。

おそらく主な欠点は、Cライブラリlibbccまたはlibbpfが作業に使用され、そのようなライブラリを使用してGoプログラムを構築することは、公園を散歩するのにまったく似ていないことです。

iovisor / gobpfに加えて、Goでユーザーランドパーツを作成できる現在のプロジェクトがさらに3つ見つかりました。

DropboxバージョンはCライブラリを必要としませんが、Clangを使用してBPFプログラムのカーネル部分を自分でビルドし、Goプログラムを使用してカーネルにロードする必要があります。

Ciliumバージョンには、Dropboxバージョンと同じ機能があります。しかし、それがCiliumプロジェクトの人々によって行われているという理由だけで、言及する価値があります。つまり、成功する運命にあるということです。

私は絵の完成のために3番目のプロジェクトを持ってきました。前の2つのように、外部Cの依存関係はなく、BPF Cプログラムの手動アセンブリが必要ですが、あまり期待できないようです。

実際、別の質問があります。なぜGoでBPFプログラムを作成するのでしょうか。結局のところ、BCCまたはbpftraceを見ると、BPFプログラムは通常500行未満のコードしか必要としません。 bpftrace言語でスクリプトを記述したり、小さなPythonを見つけたりする方が簡単ではありませんか？ここに2つの理由があります。

まず、あなたは本当にGoが大好きで、すべてをやりたいと思っています。さらに、潜在的にGoプログラムは、静的リンク、単純なバイナリなど、マシンからマシンへの移植が容易です。しかし、私たちは特定のコアに縛られているので、すべてがそれほど明白ではありません。ここで停止します。そうしないと、私の記事はさらに50ページになります。

2番目のオプション：単純なスクリプトではなく、内部でBPFも使用する大規模なシステムを作成します。Goにそのようなシステムの例さえあります：

Scopeプロジェクトは、K8sインフラストラクチャまたは別のクラウドで起動されると、周囲で発生するすべてを分析し、コンテナ、サービス、それらがどのように相互作用するかなどを示す1つのバイナリのように見えます。これらの多くはBPFを使用して行われます。興味深いプロジェクト。

Goプログラムの分析

覚えているかと思いますが、もう1つ質問があります。それは、Goで記述されたプログラムをBPFを使用して分析できるかということです。最初に考えた-もちろん！プログラムが書かれている言語にどのような違いがありますか？結局のところ、これはコンパイルされたコードであり、他のすべてのプログラムと同様に、プロセッサ上で何かを計算し、それ自体ではないかのようにメモリを消費し、カーネルを介してハードウェアと対話し、システム呼び出しを介してカーネルと対話します。原則としてこれは正しいですが、さまざまなレベルの複雑さの機能があります。

引数を渡す

1つの機能は、Goが他のほとんどの言語が使用するABIを使用しないことです。たまたま、創設者の父親たちは、彼らがよく知っているプラン9システムのABIを採用することを決定しました。

ABIは、ビット、バイト、およびマシンコードのレベルでのみ、API、相互運用性契約のようなものです。

私たちが興味を持っている主なABI要素は、その引数が関数に渡される方法と、応答が関数から返される方法です。標準のx86-64ABIはプロセッサレジスタを使用して引数と応答を渡しますが、Plan 9ABIはこれにスタックを使用します。

Rob Pikeと彼のチームは、別の標準を作成する予定はありませんでした。Plan9システム用のほぼ既製のCコンパイラがすでにあり、2〜2の単純なもので、すぐにGo用のコンパイラに変換されました。実際のエンジニアリングアプローチ。

しかし、実際には、これはそれほど重大な問題ではありません。まず、Goでレジスタを介して引数を渡すことがすぐにわかります。次に、BPFからスタックから引数を取得することは難しくありません。sargXエイリアスはすでにbpftraceに追加されており、同じことがBCCにも表示されます。おそらく近い将来です。 ..。

Upd：私が報告した瞬間から、ABIでのレジスターの使用への移行に関する詳細な公式提案さえ現れました。

一意のスレッド識別子

2番目の機能は、Goのお気に入りの機能であるgoroutinesと関係があります。関数の待ち時間を測定する1つの方法は、関数の呼び出しにかかる時間を節約し、関数を終了する時間を節約し、差を計算することです。関数名とTID（スレッド番号）を含むキーで開始時間を節約します。同じ関数を異なるプログラムまたは同じプログラムの異なるスレッドから同時に呼び出すことができるため、スレッド番号が必要です。

しかし、Goでは、ゴルーチンはシステムスレッド間を移動します。現在、ゴルーチンは1つのスレッドで実行され、少し後に別のスレッドで実行されます。また、Goの場合、キーにTIDを入れるのではなく、GID、つまりゴルーチンのIDを入れますが、取得することはできません。技術的には、このIDは存在します。スタックのどこかにあるので、ダーティハックでそれを取り除くことさえできますが、これを行うことは、主要なGo開発グループの推奨によって厳しく禁止されています。彼らは、私たちがそのような情報を必要としないだろうと感じました。Goroutineローカルストレージと同様に、しかし私は逸脱します。

スタックの拡張

3番目の問題は最も深刻です。非常に深刻なので、2番目の問題を何らかの方法で解決しても、Go関数の待ち時間を測定することはできません。

おそらく、ほとんどの読者はスタックが何であるかをよく理解しています。ヒープまたはヒープとは対照的に、変数にメモリを割り当てることができ、それらを解放することを考えない同じスタック。

Cについて言えば、そこのスタックのサイズは固定されています。この固定サイズを超えると、有名なスタックオーバーフローが発生します。

Goでは、スタックは動的です。古いバージョンでは、メモリのチャンクが連結されていました。これで、動的にサイズ変更された連続したチャンクになりました。これは、選択したピースが私たちにとって十分でない場合、現在のピースを拡張することを意味します。また、展開できない場合は、別の大きなデータを選択して、すべてのデータを古い場所から新しい場所に移動します。これは、セキュリティ保証、cgo、ガベージコレクターに触れている非常に魅力的な話ですが、それは別の記事のトピックです。

Goがスタックを移動するには、プログラムの呼び出しスタック、つまりスタック上のすべてのポインターをウォークする必要があることを知っておくことが重要です。

ここに主な問題があります。BPF関数をアタッチするために使用されるuretprobesは、関数の実行の最後にスタックを動的に変更して、ハンドラー、いわゆるトランポリンへの呼び出しをインライン化します。そして、Goにとって予期しないスタックのそのような変更は、ほとんどの場合、プログラムのクラッシュで終了します。おっと！

しかし、この話はユニークではありません。 C ++の「スタック」アンラベラーも、例外処理時にクラッシュします。

この問題の解決策はありません。そのような場合のいつものように、当事者はお互いの罪の絶対に合理的な議論を交換しています。

しかし、本当にuretprobeを配置する必要がある場合は、問題を回避できます。どうやって？ uretprobeを入れないでください。関数を終了するすべての場所にアップローブを配置できます。そのような場所が1つ、または50か所あるかもしれません。

そしてここで、Goの独自性が私たちの手に渡ります。

通常、そのようなトリックは機能しません。十分に賢いコンパイラは、いわゆるテールコール最適化を実行できます。関数から戻ってコールスタックに沿って戻る代わりに、次の関数の先頭にジャンプするだけです。この種の最適化は、Haskellのような機能言語にとって重要です。それがなければ、スタックオーバーフローなしで一歩を踏み出すことはできなかったでしょう。しかし、そのような最適化では、関数から戻るすべての場所を見つけることはできません。

特徴は、Goコンパイラバージョン1.14がまだテールコールの最適化を実行できないことです。これは、非常に面倒ではありますが、関数のすべての明示的な出口にアタッチするトリックが機能することを意味します。

の例

BPFがGoにとって役に立たないとは思わないでください。これは事実とはほど遠いです。上記のニュアンスに影響を与えない他のすべてを行うことができます。そして、私たちはそうします。

いくつかの例を見てみましょう。

準備のための簡単なプログラムを見てみましょう。基本的には、ポート8080でリッスンし、HTTP要求ハンドラーを持つWebサーバーです。ハンドラーは、URLからnameパラメーターとGoパラメーターを取得し、「サイト」の何らかのチェックを実行してから、3つの変数（名前、年、チェックステータス）すべてをprepareAnswer（）関数に送信します。この関数は、応答を文字列として準備します。

サイト検証は、パイプとゴルーチンを使用して会議サイトが稼働しているかどうかを確認するHTTPリクエストです。そして、応答を準備する機能は、それをすべて読み取り可能な文字列に変えるだけです。

簡単なカールリクエストでプログラムをトリガーします。

最初の例として、bpftraceを使用して、プログラムのすべての関数呼び出しを出力します。ここでは、mainに該当するすべての機能に添付します。 Goでは、すべての関数にパッケージ名-ドット関数名のような記号が付いています。私たちのパッケージはメインであり、関数runtimeはruntimeになります。

curlを実行すると、ハンドラー、サイト検証機能、およびゴルーチンサブ機能が起動し、次に応答準備機能が起動します。クラス！

次に、実行されている関数だけでなく、それらの引数も表示したいと思います。 prepareAnswer（）関数を見てみましょう。彼女には3つの議論があります。 2つのintを印刷してみましょう。

bpftraceを使用しますが、現在は1ライナーではなく、スクリプトです。関数にアタッチし、前述のスタック引数のエイリアスを使用します。

出力には、2020年に渡され、ステータス200を取得し、2021を1回渡したものが表示されます。

ただし、この関数には3つの引数があります。最初のものは文字列です。彼についてはどうですか？

0から4までのすべてのスタック引数を出力してみましょう。そして何がわかりますか？いくつかの大きな数字、いくつかの小さな数字、そして私たちの古い2021と200。最初のこれらの奇妙な数字は何ですか？

ここで、Goデバイスを知っておくと便利です。 Cで文字列が文字のゼロで終了する配列である場合、Goでは文字列は実際には文字の配列（ちなみにゼロで終了しない）へのポインタと長さで構成される構造です。

ただし、Goコンパイラは、文字列を引数として渡すと、この構造を展開して2つの引数として渡します。そして、最初の奇妙な数字は私たちの配列への単なるポインタであり、2番目は長さであることがわかりました。

そして真実：文字列の予想される長さは22です。

したがって、ポインタレジスタスタックと正しいオフセットを介してこれらの2つの値を取得するようにスクリプトを少し修正し、組み込み関数str（）を使用して文字列として出力します。すべてが機能

します。では、ランタイムを見てみましょう。たとえば、私たちのプログラムがどのようなゴルーチンを立ち上げるのか知りたいと思いました。ゴルーチンはnewproc（）関数とnewproc1（）関数によってトリガーされることを私は知っています。それらに接続しましょう。 newproc1（）関数の最初の引数は、funcval構造へのポインターであり、フィールドは1つだけです（関数ポインター）。

この場合、スクリプトで直接構造を定義する機会を利用します。オフセットセットで遊ぶよりも少し簡単です。ここでは、ハンドラーが呼び出されたときに起動されるすべてのゴルーチンを引き出しました。その後、オフセットのシンボルの名前を取得すると、その中にcheckSite関数が表示されます。やったー！

これらの例は、BPF、BCC、およびbpftrace機能の海の低下です。内部の適切な知識と経験があれば、実行中のプログラムを停止したり変更したりすることなく、ほとんどすべての情報を取得できます。

結論

それが私があなたに伝えたかったすべてです。私はあなたに刺激を与えることができたと思います。

BPFは、Linuxで最もトレンディで最も有望なトレンドの1つです。そして、今後数年間で、テクノロジー自体だけでなく、ツールとその配布においても、さらに多くの興味深いことが見られると確信しています。

手遅れになり、誰もがBPFについて知っているわけではない前に、BPFで遊んで、マジシャンになり、問題を解決して、同僚を助けてください。彼らは、魔法のトリックは一度だけ働くと言います。

Goに関しては、いつものように、私たちはかなりユニークでした。私たちは常にいくつかのニュアンスを持っています。コンパイラが異なるか、ABIであるか、ある種のGOPATHが必要です。これは、Googleにはできない名前です。しかし、私たちは尊敬される力になり、人生は良くなるだけだと私は信じています。

eBPF：Linuxの最新のイントロスペクション機能、またはカーネルはもはやブラックボックスではありません