Skip to main content

DeiC konference 2022: Oplev hvordan man med eBPF dynamisk tilføjer funktionalitet til Linux-operativsystemet

Hvordan kan man “åbne mere op” for den sorte boks, som operativsystemet normalt kan være, uden at det går ud over ydeevne og sikkerhed? Hør Red Hats bud på, hvordan eBPF-teknologien kan anvendes indenfor netværk, sikkerhed og monitorering.
By
Thu, 09/29/2022 - 09:07
Billede
eBPF logo
Foto: eBPF

eBPF - hvad er det?

eBPF er en teknologi, som kan ”åbne mere op” for den sorte boks, som et operativsystem normalt kan være. Normalt er kernen af operativsystemet isoleret fra applikationslaget. Med eBPF-teknologien åbnes der op for sikker, mere dynamisk integration, hvor kodestumper skydes ind i kernen af operativsystemet. Dette sker ved, at operativsystemet definerer steder (såkaldte ”hooks”), hvor applikationer kan indlæse programkode, som afvikles, når forskellige forudsætninger opfyldes i kernen. Dette kan f.eks. anvendes til at filtrere netværkstrafik, eller endda tilføje helt ny funktionalitet som en ny netværksprotokol til operativsystemet.

Hurtig og sikker ændring af funktionalitet

I den traditionelle Linux-udviklingsmodel skal nye features igennem en længere udviklingsproces, før de kan blive en del af operativsystemet. Dette har fordele som kvalitetssikring og flere øjne på koden, men kan også være en begrænsning. Det skyldes dels tiden, der går, før en ny feature kan tages i anvendelse, og dels at mindre mere specialiserede features kan have sværere ved at blive accepteret. 

Med eBPF kan ny funktionalitet i stedet implementeres ved hjælp af de ”hooks”, som kernen stiller til rådighed, fx kan en ny netværksprotokol implementeres ved at behandle netværkspakkerne, inden de når frem til resten af operativsystemet. Eftersom eBPF-programmer kan indlæses dynamisk, mens operativsystemet kører, kan funktionalitet tilføjes uden, at man behøver at opgradere kernen. Funktionaliteten kan også tilpasses til lige præcis de features i en applikation, der er i brug på et givent tidspunkt. Og fordi operativsystemet verificerer eBPF-koden, når den indlæses i systemet, kan man sikre, at mange almindelige kodefejl undgås, så en fejl i koden ikke fører til, at hele operativsystemet går ned. Det forkorter udviklingstiden.

Bedre monitorering, sikkerhed og filtrering af netværkstrafik

eBPF kan også monitorere systemets ydelse. I stedet for, at du skal eksperimentere dig frem til at forstå, hvorfor et system er langsomt, så kan du med eBPF indsætte nogle kodestumper, så du præcis kan se, hvad der foregår inde i maven af operativsystemet. Du kan naturligvis også overvåge, hvad hele systemet laver, f.eks. hvad alle de applikationer, der kører på systemet, egentlig foretager sig. Dette kan f.eks. bruges til at tage bedre beslutninger om dimensionering af systemet til de arbejdsopgaver, det skal udføre, og også til fejlfinding af problemer, der berører selve operativsystemet, - f.eks. netværksproblemer. Endelig kan eBPF også anvendes til at implementere sikkerheds-policy, hvor systemet ikke bare monitoreres, men hvor programstumperne i kernen også tager egentlige sikkerheds-beslutninger, og f.eks. afviser operationer, der er udenfor den tilladte policy.

eBPF-teknologien bidrager til bedre netværksmonitorering og højere sikkerhed

Toke Høiland-Jørgensen, Red Hat.

Beskyt systemet mod DDoS-angreb

Du har sikkert hørt om, hvordan koordinerede angreb mod en bestemt server eller firewall fuldstændig kan lægge et system ned pga. overbelastning. Traditionelt håndteres dette ved at benytte dedikerede hardware-firewalls til at filtrere trafikken, men dette kan være både dyrt og føre til en centraliseret arkitektur, som i sig selv kan være en udfordring. Med eBPF-teknologien, gennem den såkaldte ”eXpress Data Path (XDP)”-hook, er det muligt at pre-filtrere netværkstrafikken direkte på serveren, så systemet ikke bukker under for overbelastningen, men kan håndtere forespørgsler på trods af den store trafikmængde. Dermed opnås en mere fleksibel arkitektur uden at gå på kompromis med sikkerheden.

Oplev Red Hats indlæg på DeiC konferencens første dag

Billede
Red Hat logo
Foto: Red Hat

På sessionen vil Toke Høiland-Jørgensen fra Red Hat gå dybere ned i, hvordan eBPF-teknologien fungerer og give eksempler på, hvordan den kan bruges indenfor netværk og sikkerhed. Kom og hør Red Hats indlæg på konferencens første dag kl. 11:30, spor 3 – Sikkerhed. Du kan også lægge vejen forbi udstillerområdet og få en snak med Red Hat.

Årets DeiC konference 2022 løber af stablen den 26.-27. oktober, og denne gang afholdes arrangementet på Comwell i Kolding. Konferencens hovedtema er ”Alignment and Maturity: Implementing Research Infrastructure Solutions”.

Læs mere om hele konferencen her og glæd dig til et par spændende dage med vidensdeling og pleje af de gode relationer.

Vi glæder os til at se dig.

Læs mere