通过Golang + eBPF实现无侵入应用可观测 张海彬 阿里云 应用可观测技术专家 目 录 eBPF简介 01 eBPF在云原生场景下的应用 02 微服务可观测的挑战 03 Golang + eBPF实现数据采集 04 构建完整的应用可观测系统 05 eBPF简介 第一部分 eBPF简介 01. eBPF简介 eBPF = extended Berkeley Packet 无法自顶向下端到端 串联导致棘手问题频 发。 Kubernetes下的可观测 Golang + eBPF实现数据采 集 第四部分 eBPF在可观测领域的优势 无侵入 多语言/多协议/多框架 全栈覆盖 无侵入性 • 无需修改代码 • 无需重启应用 • Verifier保证运行安全 多协议、多框架、多语言 • 捕获网络字节流 • 无需适配编程语言 • 无需适配协议框架 更标准 更稳定 无侵入 异常监控 持续剖析 what’s new： 应用监控eBPF版 • eBPF Agent性能提升20% • Otel Collector 性能提升80% • 无需要修改任何业务代码，一键接入eBPF监控 • 语言无关、框架无关、协议无关 无侵入的应用可观测 eBPF是一种在Linux内核运行的沙盒程序，无需修改 任何应用代码，提供无侵入的应用无关、语言无关、

30 日，发布 openEuler 22.09 创新版本，持续补齐全场景的支持。 2022 年 12 月 30 日，发布 openEuler 22.03 LTS SP1 版本，打造最佳迁移工具实现业务无感迁移，性能持续领先。 2023 年 3 月 30 日，发布 openEuler 23.03 内核创新版本，采用 Linux Kernel 6.1 内核，为未来 openEuler 长生命周 期版本采用 热补丁能力 在 Linux 世界，有一个困扰大家已久的难题：如何在不影响业务的情况下，快速可靠地修复漏洞、解决故障。 当前常见的方法是采用热补丁技术：在业务运行过程中，对问题组件直接进行代码级修复，业务无感知。然而，当前 热补丁制作方式复杂，补丁需要代码级匹配，且管理困难，特别是用户态组件面临文件形式、编程语言、编译方式、运行 方式的多样性问题，当前还没有简便统一的补丁机制。 为了解决热补丁制作和管理的问题，SysCare 地址。 6. 跳转到 patch 地址执行。 内核热补丁与用户态热补丁融合 SysCare 基于 upatch 和 kpatch 技术，覆盖应用、动态库、内核，自顶向下打通热补丁软件栈，提供用户无感知的全 栈热修复能力。 new_func1 new_func2 hot-patch hot-patch ... func1 func2 elf ... uprobe handler

30 日，发布 openEuler 22.09 创新版本，持续补齐全场景的支持。 2022 年 12 月 30 日，发布 openEuler 22.03 LTS SP1 版本，打造最佳迁移工具实现业务无感迁移，性能持续领先。 2023 年 3 月 30 日，发布 openEuler 23.03 内核创新版本，采用 Linux Kernel 6.1 内核，为未来 openEuler 长生命周期版本 cgroup 树，降低多个控制器协同工作控制难度。提 供了更一致和简化的接口，使得配置更简单易懂。更高的安全性，避免父子 cgroup 资源竞争：cgroup v2 新增只有父 cgroup 内部无进程时才能启用子 cgroup 控制器的限制。 2）更完善的线程模式管理： cgroup-v2 引入线程模式（threaded），对可线程化管理的子系统进行限制。线程可以被独立于进程其他线程分配到不同的 丁混合修复，实现在网热补丁静默收编，减少热补丁维护成本。 • 热补丁生命周期管理：热补丁移除，回退，查询等生命周期管理。 aops-gala 项目 基于 eBPF + java agent 无侵入观测技术，并以智能化辅助，实现亚健康故障（比如性能抖动、错误率提升、系统卡顿等问题现象） 诊断。其架构如图： A-Ops 智能运维 A-Ops 是一款基于操作系统维度的故障运维平台，提供从数据

来指示这些文件名，但你应该使用纯 POSIX 语法来编写 maintainer scripts，这是 为了兼容 dash 作为系统 shell 的情况。 Debian 新维护者手册 35 / 57 升级到新版本应当是静默且非侵入式的 (已有用户应当只在发现旧的 Bug 被修复或有新特性时注意到升级的变化)。 当更新必须以非静默模式进行时 (例如分散在多个主目录中的配置文件都要改为完全不同的结构时)，作为最后的手段， 你应该考虑将软件包设置到安全的回退状态 pbuilder chroot 系统以便在其中执行构建： $ sudo pbuilder --update $ sudo pbuilder --build foo_version.dsc 新构建的无 GPG 签名的软件包会被以非 root 属主放置于 /var/cache/pbuilder/result/。 .dsc 文件和 .changes 文件中的 GPG 签名可以用如下方法生成： $ cd

无线网络既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括近距 离无线连接进行优化的红外线技术及射频技术。本小节将介绍Wicd网络管理器的设 置，使用它安全的连接到无线网络。设置无线网络能让用户很好地使用Kali Linux无 线，做渗透测试，而不需要依赖一个以太网，这样使的用户使用电脑非常的自由。 设置无线网络的具体操作步骤如下所示。 大学霸 Kali Linux 安全渗透教程 55 1.6 基本设置 （1）启动 线网络。 9.2.1 破解WEP加密的无线网络 Wired Equivalent Privacy或WEP（有线等效加密）协议是对在两台设备间无线传输 的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。不过密码分析学 家已经找出WEP好几个弱点，因此在2003年被Wi-Fi Protected Access（WPA）淘 汰，又在2004年由完整的IEEE 802.11i标准（又称为WPA2）所取代。本小节将介 MB：无线所支持的最大速率。如果MB=11，它是802.11b；如果MB=22，它是 802.11b+；如果更高就是802.11g。后面的点（高于54之后）表明支持短前导 码。 ENC：使用的加密算法体系。OPN表示无加密。WEP？表示WEP或者 WPA/WPA2模式，WEP（没有问号）表示静态或动态WEP。如果出现TKIP或 CCMP，那么就是WPA/WPA2。 CIPHER：检测到的加密算法，是CCMP、WRAAP、TKIP、WEP和WEP104

项目是一个由个人组成的团体，该团体的成员均把创建一个自由操作系统作为共同事业。Debian 的发布具有下 列特征： • 承诺软件自由：Debian 社群契约和 Debian 自由软件指导方针（DFSG） • 基于因特网上无酬劳的志愿者的工作发布：https://www.debian.org • 大量预编译的高质量软件包 • 专注于稳定性和安全性，同时易于获取安全更新 • 在 testing 版仓库中注重软件包最新版本的平滑升级 udev() 机制填充。 1.2.11 特殊设备文件 还有一些特殊的设备文件。 设备文件 操作 响应描述 /dev/null 读取 返回“文件结尾字符（EOF）“ /dev/null 写入 无返回（一个无底的数据转存深渊） /dev/zero 读取 返回”\0 空字符”（与 ASCII 中的数字 0 不同） /dev/random 读取 从真随机数产生器返回一个随机字符，供应真熵（缓 慢） 命令通过”/var/lib/dpkg/info/*.md5sums” 文件中的 MD5sum 值，验证已安装的文件。参见第 10.3.5 节来获得 MD5sum 是怎样工作的信息。 注意 因为 MD5sum 数据库可能被侵入者篡改，debsums(1) 作为安全工具使用有限。这种工具用于校验管理者造成的本 地修改或媒体错误造成的损坏是很不错的。 2.4.3 预防软件包故障 许多用户更想使用 Debian 系统的 testing

类 数据库 类 • 支持在web上配置采集策略，不同的采集可以指定 不同的探针机器、目标机器，便于管理和知识传 承 • 独创在端上流式读取日志，根据正则提取指标的 机制，轻量易用，无业务侵入性 • 内置集成了多种数据库中间件的采集以及网络设 备的采集，复用telegraf和datadog-agent的能力 • 支持statsd的udp协议，用于业务应用的apm监控 分析 夜莺数据采集

Quartz Account Service Redis MySQL Aliyun AWS Huawei Other • 通用的参数在拦截器获取实 现，并注入到log4j的MDC • 使用时没有侵入，自动将通 用参数写入日志 • 标准化：统一日志规范和记 录日志方式 资源统一管理：日志 Log interceptor Controller Cloud Service Inject

を使って”/var/lib/dpkg/info/*.md5sums” ファイル中の MD5sum 値との比較でインストールされたパッケージファイルを検証できます。MD5sum がどのような仕組かは項10.3.5を 参照下さい。 注意 侵入者によって MD5sum のデーターベースが改竄されているかもしれないので debsums(1) はセキュリティー ツールとしては限定的有用性しかありません。管理者によるローカルの変更や記憶メディアのエラーによる損傷 stable システムのセキュリティーアップグレードのためです。 既存の stable システムが、自動アップグレードで壊される危険性が、セキュリティーアップグレードがすでに閉 じたセキュリティーホールからの侵入者によりシステムが壊わされる危険性より小さいなら、パラメーターを以下 のように設定して自動アップグレードをするのも一計です。 APT::Periodic::Update-Package-Lists たとえ、セキュアーシェル (SSH) やポイントツーポイントトンネリングプロトコル (PPTP) サーバーのようなセキュ アーサービスを走らせる場合でも、ブルートフォースのパスワード推測等による侵入の可能性は残っています。以 下のようなセキュリティーのためのツールとともに、ファイアーウォールポリシー (項5.7を参照下さい) を使うの はセキュリティー状況を向上させることが期待できます。 パッケージ

下面来看一下如何绑定网卡。 在虚拟机系统中再添加一块网卡设备，请确保两块网卡都处在同一种网络连接模式中， 如图 9-10 和图 9-11 所示。处于相同模式的网卡设备才可以进行网卡绑定，否则这两块网卡无 法互相传送数据。 图 9-10 在虚拟机中再添加一块网卡设备 使用 ssh 服务管理远程主机 282 图 9-11 确保两块网卡处在同一个网络连接中（即网卡模式相同） 13:22:34 2021 from 192.168.10.20 但是，如果用户没有密钥信息，即便有密码也会被拒绝，系统甚至不会给用户输入密码 的机会，如图 9-17 所示。 图 9-17 无密钥访问远程服务器被拒 9.2.3 远程传输命令 不知道读者有没有考虑一个问题：既然 SSH 协议可以让用户远程控制服务器、传输命令 信息，那么是不是也能传输文件呢？ scp（secure 一条报错提醒，以便排查原因。 在这种情况下，使用 Ansible 剧本要比使用 Shell 脚本的优势大，原因主要有下面两点。 ➢ Ansible 模块化的功能让操作更标准，只要在执行过程中无报错，那么便会依据远程主机 的系统版本及配置自动做出判断和操作，不用担心因系统变化而导致命令失效的问题。 ➢ Ansible 服务在执行剧本文件时会进行判断：如果该文件或该设备已经被创建过，或