Linuxにおける利用が急速に増えている「Berkeley Packet Filter(BPF)」について、基礎から応用まで幅広く紹介する連載。今回は、BCC(BPF Compiler Collection)によるBPFプログラムの作成について。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Linuxにおける利用が急速に増えている「Berkeley Packet Filter(BPF)」について、基礎から応用まで幅広く紹介する連載「Berkeley Packet Filter(BPF)入門」。今回はBPFプログラム作成のための代表的なライブラリである「BCC(BPF Compiler Collection)」を紹介します。
BCCを利用することで、簡単にトレーシングやネットワーク処理のBPFプログラムを作成することができます。さらに、BCCにはBPFを利用したさまざまなトレーシングツールが含まれているので、一般のツール利用者にとってもBCCは有用です。
BCCはBPFによるプログラム作成を支援するためのライブラリおよび、それを利用したツール群です。
「IOVisor」というLinux Foundationのプロジェクトにより開発されています。BPFプログラム作成のためのライブラリは複数存在しますが、その中でもBCCは代表的な存在です。
BCCのコア部分はC++で記述されていますが、同じ開発リポジトリ上でPythonおよびLuaのバインディングが開発されています。また、Go言語やRustバインディングもあります。一般にBCCはPythonから利用されることが多く、BCCリポジトリに含まれるツールも多くはPythonで記述されています。
本稿でもPythonでBCCを利用します。
ライブラリとしてのBCCは以下の機能を提供します。
BCCでは、「BPF C」と呼ばれる、Cの方言でBPFプログラムを作成します。BPF Cは基本的にはC言語そのものですが、BPFマップの定義などのBPF固有の処理が書きやすくなっています。BCCのプログラムローダーは、「LLVM/Clang」を用いてBPF CのAST (Abstract Syntax Tree)を解析、変更した上でBPFプログラムにコンパイルし、カーネルにロードします。
BCCでは主に以下のBPFプログラムの作成に用いられています(ただし、この限りではありません)。
BCCにはさまざまな言語によるバインディングが存在しますが、あくまでBPFプログラム自体はC(BPF C)によって記述します。このことは残念に思われるかもしれませんが、BPFプログラムは基本的にLinuxカーネル内のデータ構造にアクセスするので、カーネルと同じC言語の方がいろいろと都合の良いことが多いです。
幾つか、C言語以外からBPFプログラムを作成する試みがあります。特にBPFによるトレーシング用途として「bpftrace」「ply」といったDTraceライクなDSLが開発されています。内部的には、bpftraceはLLVMおよびBCCを利用し、plyはLLVMを利用せず、直接BPFコードを生成します。
またPythonのバイトコードを直接BPFプログラムに変換する「py2bpf」といったものもあります。
多くのパッケージマネジャーがデフォルトでBCCを取り扱っています。こちらにディストリビューションに応じたBCCのインストール方法が記載されています。
以下にUbuntu 18.04.3に対するインストール方法を記します。
BCCは公式のリポジトリからインストールすることが可能です。
sudo apt-get install bpfcc-tools python3-bpfcc linux-headers-$(uname -r)
「/usr/sbin/」以下に「-bpfcc」というpostfixでBCCのツールがインストールされます。
IOVisorのリポジトリを利用すると、BCCのnightly-buildが導入できます。
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 4052245BD4284CDD echo "deb [trusted=yes] https://repo.iovisor.org/apt/$(lsb_release -cs) $(lsb_release -cs)-nightly main" | sudo tee /etc/apt/sources.list.d/iovisor.list sudo apt update sudo apt install python3-bcc bcc-tools libbcc-examples
「/usr/share/bcc/tools/」以下にBCCのツールがインストールされます。
Ubuntuの公式リポジトリにあるものと、IOVisorが提供するもので名前が異なる点に注意してください。問題を避けるためにインストールするのはどちらか片方のものにするのがいいでしょう。
Dockerを利用してBCCを試すこともできます。以下でBCCがインストール済みのコンテナを起動できます。
docker run -it --rm \ --privileged \ -v /lib/modules:/lib/modules:ro \ -v /usr/src:/usr/src:ro \ -v /etc/localtime:/etc/localtime:ro \ --workdir /usr/share/bcc/tools \ zlim/bcc
以下のコマンドが成功すればBCCのpythonバインディングを利用することができます。
sudo python3 -c "import bcc"
ここからは、BCCを用いてBPFプログラムを作成します。
BCCリポジトリの「examples」にBCCの使用例が、また「tools」にBCCを利用したトレーシングツールがあります。
BCCのメインはカーネルトレーシングですが、ここでは前回に続いてソケットに対するBPFプログラムを作成してみます。カーネルトレーシングについては次回詳しく触れます。
前回利用したパケットトレースプログラム(「sockex1_user.c」「sockex1_kern.c」)と同等のものを、BCCを用いて作成してみます。作成するBPFプログラムは、下図のようにソケットに対してアタッチされ、IPv4のプロトコルタイプ別に受信パケットサイズを記録します。
以下にBCCによるプログラムを示します。BPF C固有の記述箇所に関しては★印を付けています。
- #!/usr/bin/env python
- # -*- cofing: utf-8 -*-
- from __future__ import print_function
- import ctypes as ct
- import os
- import subprocess
- import time
- from bcc import BPF
- prog = r"""
- // SPDX-License-Identifier: GPL-2.0+
- #define BPF_LICENSE GPL
- #include <uapi/linux/if_ether.h>
- #include <uapi/linux/if_packet.h>
- #include <uapi/linux/ip.h>
- #include <net/sock.h>
- #include <bcc/proto.h>
- // ★(1)BPFマップの定義
- BPF_ARRAY(my_map, long, 256);
- int bpf_prog(struct __sk_buff *skb)
- {
- int index;
- long *value;
- u8 *cursor = 0;
- if (skb->pkt_type != PACKET_OUTGOING)
- return 0;
- // ★(2)パケットデータへのアクセス
- struct ethernet_t *ethernet = cursor_advance(cursor, sizeof(*ethernet));
- if (!(ethernet->type == 0x0800)) {
- return 0;
- }
- struct ip_t *ip = cursor_advance(cursor, sizeof(*ip));
- index = ip->nextp;
- // ★(3)BPFマップのアクセス
- value = my_map.lookup(&index);
- if (value)
- lock_xadd(value, skb->len);
- return 0;
- }
- """
- PROTO = {
- "ICMP": 1,
- "TCP": 6,
- "UDP": 17,
- }
- def main(interface="lo", debug=0):
- # (4)BPFプログラムのロード
- bpf = BPF(text=prog, debug=debug)
- bpf_prog = bpf.load_func("bpf_prog", BPF.SOCKET_FILTER)
- # (5)BPFプログラムのアタッチ
- BPF.attach_raw_socket(bpf_prog, interface)
- my_map = bpf.get_table("my_map")
- devnull = open(os.devnull, "w")
- p = subprocess.Popen(
- ["/bin/ping", "-4", "-c5", "localhost"], stdout=devnull)
- for _ in range(5):
- # (6) BPFマップへのアクセス
- print("TCP {} UDP {} ICMP {} bytes".format(
- my_map[ct.c_int(PROTO["TCP"])].value,
- my_map[ct.c_int(PROTO["UDP"])].value,
- my_map[ct.c_int(PROTO["ICMP"])].value))
- time.sleep(1)
- p.wait()
- if __name__ == "__main__":
- import argparse
- parser = argparse.ArgumentParser()
- parser.add_argument("--interface", default="lo")
- parser.add_argument("--debug", default=0)
- args = parser.parse_args()
- main(args.interface, args.debug)
このBPFプログラムは、受信したパケットについてIPヘッダのプロトコル番号別にパケットサイズを計数します。以下に実行結果を示します。
$ sudo python3 sockex.py TCP 0 UDP 0 ICMP 0 bytes TCP 0 UDP 0 ICMP 196 bytes TCP 0 UDP 0 ICMP 392 bytes TCP 0 UDP 0 ICMP 588 bytes TCP 0 UDP 0 ICMP 784 bytes
このように、Pythonバインディングを利用したBCCでは、BPF CでBPFプログラムを記述し、それ以外のBPFプログラムのロードやBPFマップのアクセスなどはPythonから行います。
次ページで要点を説明します。
Copyright © ITmedia, Inc. All Rights Reserved.
Linux �ス�ス�ス�ス OSS 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー