eBPF is emerging as a preferred method for security observability over traditional user-space agents. By attaching probes directly to the Linux kernel's syscall interface, it provides consistent...

Article: Kernel-Level Ground Truth: Why eBPF is Replacing User-Space Agents for Security Observability
InfoQ
InfoQ ·

本文讨论了Seccomp和eBPF在容器安全中的优势与局限性。Seccomp无法解引用用户态指针和识别敏感文件路径,而eBPF提供了更丰富的上下文信息。文章介绍了eBPF在Linux安全模块(LSM)中的应用,强调其动态加载和高可编程性。Falco和Tetragon作为安全监控工具,分别提供基于syscall的检测和内核态的实时阻断能力。建议在不同场景下结合使用Seccomp、Falco和Tetragon以实现分层防御。

eBPF 安全监控:不改内核也能审计 syscall
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
Jan Kristof Nidzwetzki:利用eBPF和硬件断点监控PostgreSQL

Jan Kristof Nidzwetzki:利用eBPF和硬件断点监控PostgreSQL
Planet PostgreSQL
Planet PostgreSQL ·

GitHub has introduced a new approach to improving deployment safety by leveraging eBPF, enabling the company to detect and prevent hidden circular dependencies that could block recovery during...

GitHub Uses eBPF to Eliminate Deployment Risks and Prevent Circular Failures
InfoQ
InfoQ ·

eBPF(扩展伯克利包过滤器)是一种内核技术,允许动态挂载小程序以采集系统事件,解决了传统监控的痛点,实现零侵入、内核级可见性和低开销。文章介绍了eBPF的可观测性路径,包括bcc、bpftrace和libbpf + CO-RE,分析了钩子类型及应用场景,并提供了实际案例和选型建议。eBPF的应用使内核成为重要的数据源。

【可观测性工程】eBPF 可观测性全景:bcc、bpftrace、libbpf 的工程路径
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

本文探讨了Linux内核的工程接口及eBPF在生产环境中的应用,涵盖容器数据面Cilium的演变、低开销的追踪与观测,以及用户态分配器对系统性能的影响,共收录10篇相关内容。

Linux 内核与 eBPF 工程索引
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
GitHub如何利用eBPF提升部署安全性

GitHub如何利用eBPF提升部署安全性
The GitHub Blog
The GitHub Blog ·

Docker 默认网络模型使用 veth、bridge 和 iptables,导致性能损失。macvlan 和 ipvlan 提供更高的吞吐量和更低的延迟。Cilium 通过 eBPF 替代 iptables,显著提升性能。在选择网络方案时,需要考虑延迟、性能和复杂度。

【从零造容器】容器网络性能真相:veth vs macvlan vs eBPF 数据面
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

bpftrace 是一种基于 eBPF 技术的高级追踪工具,能够在不修改代码的情况下监控内核和应用行为。它支持快速诊断系统调用、磁盘 I/O 和网络连接等问题,并生成延迟直方图以识别性能瓶颈。bpftrace 安装简单,适合用于生产环境中的一次性调查和快速分析,但使用时需注意性能开销和内核版本要求,以确保系统稳定。

eBPF 追踪实战:用 bpftrace 在生产环境找到那个慢请求
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
Jan Kristof Nidzwetzki:pg_plan_alternatives:利用eBPF追踪PostgreSQL的查询计划替代方案

Jan Kristof Nidzwetzki:pg_plan_alternatives:利用eBPF追踪PostgreSQL的查询计划替代方案
Planet PostgreSQL
Planet PostgreSQL ·
RISC架构的前沿:eBPF是否已为ARM64和RISC-V做好准备?

RISC架构的前沿:eBPF是否已为ARM64和RISC-V做好准备?
The New Stack
The New Stack ·
Jan Kristof Nidzwetzki:PostgreSQL自旋锁的eBPF追踪

Jan Kristof Nidzwetzki:PostgreSQL自旋锁的eBPF追踪
Planet PostgreSQL
Planet PostgreSQL ·
思科利用eBPF重新思考防火墙与漏洞缓解

思科利用eBPF重新思考防火墙与漏洞缓解
The New Stack
The New Stack ·
当日志失效时如何调试Kubernetes应用程序 – eBPF追踪手册

当日志失效时如何调试Kubernetes应用程序 – eBPF追踪手册
freeCodeCamp.org
freeCodeCamp.org ·
P99 CONF 体验:使用 eBPF、Rust 等实现低延迟

P99 CONF 体验:使用 eBPF、Rust 等实现低延迟
The New Stack
The New Stack ·
eBPF如何推动下一代可观察性

eBPF如何推动下一代可观察性
The New Stack
The New Stack ·
研究:eBPF并不总是网络应用的‘灵丹妙药’

研究:eBPF并不总是网络应用的‘灵丹妙药’
The New Stack
The New Stack ·
基于OpenTelemetry eBPF Instrumentation的基础:Grafana Beyla 2.5的新特性

基于OpenTelemetry eBPF Instrumentation的基础:Grafana Beyla 2.5的新特性
engineering on Grafana Labs
engineering on Grafana Labs ·

eBPF程序在Linux内核网络栈中的应用涵盖多个层次,包括XDP、TC和cgroup等。本文分析了七类网络eBPF钩子的实现及应用,探讨了TC BPF的direct-action模式和多程序链机制,cgroup BPF的网络策略控制,以及socket ops在TCP生命周期中的作用。这些钩子使得构建高性能网络数据面成为可能,适用于负载均衡和安全策略等场景。

【Linux 网络子系统深度拆解】eBPF 网络钩子全景:TC/XDP/socket/cgroup
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

Rust 官方博客更新了 crates.io 的多项改进,包括可信发布、动态 OpenGraph 图像和文档重建,提升了用户体验和性能。同时介绍了可扩展数据类型编程、Polars 数据库库和 Rex 内核扩展框架等新特性,强调 Rust 的安全性和高效性。

【Rust日报】2025-07-13 Rex - 弥补 Rust 语言和 eBPF 验证器之间的差距
Rust.cc
Rust.cc ·
👤 个人中心
在公众号发送验证码完成验证