小红花·文摘

eBPF（扩展伯克利包过滤器）是一种内核技术，允许动态挂载小程序以采集系统事件，解决了传统监控的痛点，实现零侵入、内核级可见性和低开销。文章介绍了eBPF的可观测性路径，包括bcc、bpftrace和libbpf + CO-RE，分析了钩子类型及应用场景，并提供了实际案例和选型建议。eBPF的应用使内核成为重要的数据源。

【可观测性工程】eBPF 可观测性全景：bcc、bpftrace、libbpf 的工程路径

土法炼钢兴趣小组的博客 ·

本文探讨了Linux内核的工程接口及eBPF在生产环境中的应用，涵盖容器数据面Cilium的演变、低开销的追踪与观测，以及用户态分配器对系统性能的影响，共收录10篇相关内容。

Linux 内核与 eBPF 工程索引

土法炼钢兴趣小组的博客 ·

GitHub如何利用eBPF提升部署安全性

The GitHub Blog ·

Docker 默认网络模型使用 veth、bridge 和 iptables，导致性能损失。macvlan 和 ipvlan 提供更高的吞吐量和更低的延迟。Cilium 通过 eBPF 替代 iptables，显著提升性能。在选择网络方案时，需要考虑延迟、性能和复杂度。

【从零造容器】容器网络性能真相：veth vs macvlan vs eBPF 数据面

土法炼钢兴趣小组的博客 ·

bpftrace 是一种基于 eBPF 技术的高级追踪工具，能够在不修改代码的情况下监控内核和应用行为。它支持快速诊断系统调用、磁盘 I/O 和网络连接等问题，并生成延迟直方图以识别性能瓶颈。bpftrace 安装简单，适合用于生产环境中的一次性调查和快速分析，但使用时需注意性能开销和内核版本要求，以确保系统稳定。

eBPF 追踪实战：用 bpftrace 在生产环境找到那个慢请求

土法炼钢兴趣小组的博客 ·

Jan Kristof Nidzwetzki：pg_plan_alternatives：利用eBPF追踪PostgreSQL的查询计划替代方案

Planet PostgreSQL ·

RISC架构的前沿：eBPF是否已为ARM64和RISC-V做好准备？

The New Stack ·

Jan Kristof Nidzwetzki：PostgreSQL自旋锁的eBPF追踪

Planet PostgreSQL ·

思科利用eBPF重新思考防火墙与漏洞缓解

The New Stack ·

当日志失效时如何调试Kubernetes应用程序 – eBPF追踪手册

freeCodeCamp.org ·

P99 CONF 体验：使用 eBPF、Rust 等实现低延迟

The New Stack ·

eBPF如何推动下一代可观察性

The New Stack ·

研究：eBPF并不总是网络应用的‘灵丹妙药’

The New Stack ·

基于OpenTelemetry eBPF Instrumentation的基础：Grafana Beyla 2.5的新特性

engineering on Grafana Labs ·

eBPF程序在Linux内核网络栈中的应用涵盖多个层次，包括XDP、TC和cgroup等。本文分析了七类网络eBPF钩子的实现及应用，探讨了TC BPF的direct-action模式和多程序链机制，cgroup BPF的网络策略控制，以及socket ops在TCP生命周期中的作用。这些钩子使得构建高性能网络数据面成为可能，适用于负载均衡和安全策略等场景。