通过Golang + eBPF实现无侵入应用可观测 张海彬 阿里云 应用可观测技术专家 目 录 eBPF简介 01 eBPF在云原生场景下的应用 02 微服务可观测的挑战 03 Golang + eBPF实现数据采集 04 构建完整的应用可观测系统 05 eBPF简介 第一部分 eBPF简介 01. eBPF简介 eBPF = extended Berkeley Packet 无法自顶向下端到端 串联导致棘手问题频 发。 Kubernetes下的可观测 Golang + eBPF实现数据采 集 第四部分 eBPF在可观测领域的优势 无侵入 多语言/多协议/多框架 全栈覆盖 无侵入性 • 无需修改代码 • 无需重启应用 • Verifier保证运行安全 多协议、多框架、多语言 • 捕获网络字节流 • 无需适配编程语言 • 无需适配协议框架 更标准 更稳定 无侵入 异常监控 持续剖析 what’s new： 应用监控eBPF版 • eBPF Agent性能提升20% • Otel Collector 性能提升80% • 无需要修改任何业务代码，一键接入eBPF监控 • 语言无关、框架无关、协议无关 无侵入的应用可观测 eBPF是一种在Linux内核运行的沙盒程序，无需修改 任何应用代码，提供无侵入的应用无关、语言无关、

编码难度 容易。IDL接口规范 容易。IDL接口规范 难。需要自行处理HTTP请求和 响应（目前还没有生成HTTP sdk） 应用侵入性 侵入性大。复杂客户端会给 应用造成负担，包括资源占 用、依赖冲突等等 侵入性小。SDK只有简单的寻址和序列化/ 反序列化的功能 无侵入性。应用自行调用 运维难度 难度大。客户端的问题会对 应用直接产生影响，耦合太 重 难度小。Sidecar故障可以将流量临时切到 remote proxy解决 难度小。集群通过LVS接入，单 台机故障可以下线 升级难度 难度极大。需要客户端修改 代码、发布、上线。 难度小。切换流量到remote proxy可以实 现用户无感知的无损升级。 难度小。通过LVS摘流量滚动升 级 动态扩容难度 应用内置，无须扩容 物理机sidecar单客户端，无须扩容 Daemonset根据宿主机的配置调整Proxy的 资源以应对客户端增多的情况。容量超标 remote proxy解决 升级难度 难度大。升级Sidecar需要业务容器一起发布，协调成本 高，而且全量升级sidecar对整个系统的动荡太大 难度小。切换流量到remote proxy可以实现用 户无感知无损升级。可以轻易的实现全网一月 一升级，快速的迭代、落地、反馈 动态扩容难度 单机使用，无须扩容 需预先根据宿主机的配置调整Proxy的资源以 应对客户端增多的情况。容量超标则临时转移 到remote

本地云端混部、多云混部、公私混部 云原生下微服务趋势 自研微 服务 Fat-SDK Pandora One Agent One Mesh • 基于隔离容器 • 运维治理效率 大幅提升 • 无侵入 • 0升级成本 • 全面兼容开源 • 无侵入 • 多语言 • 依赖冲突难管理 • SDK升级成本高 微服务治理演进路线 • 服务元信息 • 服务契约管理 • 服务测试 • 服务Mock • 开发环境隔离 Agent Agent 用户 配置中心 治理规则 Dev-Sec-Ops 无损下线 离群实例摘除 标签路由 服务鉴权 链路跟踪 金丝雀发布 API管理 服务测试 限流降级 故障注入 • 业务无侵入、无感知 • 0升级成本 • 全面兼容开源 注册中心 元数据中心 微服务引擎 基于 Java Agent 的服务治理 public class BaseLoadBalancer { … @Override

技术与服务提供商，为客户提供创新、可靠的国产软件基础平台产品及相 应技术服务，业务覆盖云原生基础软件、数据智能全链路产品、人工智能 算法应用三大领域，旗下拥有轻舟、有数、易智三大产品线，致力于帮助 客户搭建无绑定、高兼容、自主可控的创新基础平台架构，快速应对新一 代信息技术下实现数字化转型的需求。 网易数帆依托网易二十余年互联网技术积累，系列软件基础平台产品和技 术方案，成熟应用于金融、零售、制造、能源、电信、物流等多个行业领 获得信通院多个奖项：云原生技术最佳实践奖；可信云计算最佳实践服务网格；“OSCAR尖峰开源技术创新奖（基于社区版本二次开发） 获得2019 CTDC 年度优秀微服务创新产品 产品荣誉 无侵入微服务治理 无侵入式接入，提供注册发现、路由分 流、熔断限流等丰富治理能力。 精细化流量管控 支持不同维度的流量治理，并具备丰富 的流量管控能力。 架构平滑演进 支持单体架构向微服务架构、微服务架 支持软件资产多层次复用 应用、页面、基础组件、扩展组件、接口 等不同粒度软件资产，均支持复用。 零成本部署运维 产出应用支持自动化部署在云原生平台 之上，无运维的代价，集成网易运维实 践。 产品能力 首批通过信通院认定项目：首批低代码无代码开发平台通用能力评测 产品荣誉 低代码开发优势 传统研发 以命令行语句为基础的 开发体系 需要掌握开发语言 （JAVA、C++、Python）

用 Dart 搭建一套，时间成本、兼容性、风险等都是不可控的。而 MTFlutter 是基于 原有 Native 基础依赖开发的 Plugin，因此并不支持 Web 端。此章节将展开介绍如 何丝滑无感地扩展 MTFlutter 基础依赖在 Web 端的实现。 4.1.1 Flutter Package 分平台编程 在 Flutter 中通过使用 Package 可以创建易于共享的模块化代码。官方强烈推荐使 否 是，但支持效果不佳 Weex 否 否 兼容 API 无 有（API 支持程度不一） 自研多态协议 无 是 跨端组件库 无 有 有 无 无 美团生态 有 无 无 无 无 语法校验 无 ESLint 自研 无 有 TypeScript 有 有 无 有 有 定制化扩展 无 可自研 Plugin 无 无 有 编译扩展 无 无 无 无 有 调研结论 不匹配 部分满足 部分满足 不匹配 不匹配 有 TaroUI， 但不支持 React Native 有 TaroUI，但 不支持 React Native 无 无 业务组件扩展 提供扩展方案 参考 TaroUI 参考 TaroUI 提供扩 展方案 提供扩 展方案 美团内部生态 支持 已支持埋点监控等 无 无 无 无 模块化能力 支持 不支持 不支持 不支持 不支持 编译插件扩展 支持 不支持 支持 支持 支持 Web- pack

管控界面 接入端 Sharding-JDBC Sharding- Proxy Sharding- Sidecar Apache ShardingSphere 云原生 无中心 零侵入 互联网应用架构发展 单体式架构 分布式微服务 云原生架构 系统解耦 可用性提升 资源按需伸缩 自劢化部署&管理 互联网数据库需求发展 RDBMS NoSQL range, tag, time  Java类：com.jd.XXXStrategy 执行过程透明化 分布式事务 分布式事务 两（三）阶段事务 柔性事务 业务改造 无 实现补偿接口 回滚 支持 支持 一致性 强一致 最终一致 隔离性 原生支持 实现资源锁定接口 并发性能 严重衰退 略微衰退 适合场景 短事务 并发较低 长事务 管控界面 接入端 Sharding-JDBC Sharding- Proxy Sharding- Sidecar Apache ShardingSphere 云原生 无中心 零侵入 ShardingSphere云架构演化 单体式架构 分布式微服务 云原生架构 Sharding- JDBC Sharding- Proxy Sharding-

30 日，发布 openEuler 22.09 创新版本，持续补齐全场景的支持。 2022 年 12 月 30 日，发布 openEuler 22.03 LTS SP1 版本，打造最佳迁移工具实现业务无感迁移，性能持续领先。 2023 年 3 月 30 日，发布 openEuler 23.03 内核创新版本，采用 Linux Kernel 6.1 内核，为未来 openEuler 长生命周 期版本采用 热补丁能力 在 Linux 世界，有一个困扰大家已久的难题：如何在不影响业务的情况下，快速可靠地修复漏洞、解决故障。 当前常见的方法是采用热补丁技术：在业务运行过程中，对问题组件直接进行代码级修复，业务无感知。然而，当前 热补丁制作方式复杂，补丁需要代码级匹配，且管理困难，特别是用户态组件面临文件形式、编程语言、编译方式、运行 方式的多样性问题，当前还没有简便统一的补丁机制。 为了解决热补丁制作和管理的问题，SysCare 地址。 6. 跳转到 patch 地址执行。 内核热补丁与用户态热补丁融合 SysCare 基于 upatch 和 kpatch 技术，覆盖应用、动态库、内核，自顶向下打通热补丁软件栈，提供用户无感知的全 栈热修复能力。 new_func1 new_func2 hot-patch hot-patch ... func1 func2 elf ... uprobe handler

zabbix，datagod, prometheus… apm工具，商业产品 期望更轻量、无侵入性的业务监控 cat，elk，zipkin等 趋于个性 具有共性 中间件/缓存/数据库/代理/MQ... OS/网络/存储/防火墙... 应用/框架/业务逻辑/系统间调用 自研日志监控[轻量无侵入] Kafka Kafka Spout 策略 Cache 系统配置 预处理bolts 业务数据 业务数据统计 监控 数据流 系统统计 经典流式计算架构，流水线策略，线性扩展 高性能监控核心，灵活的监控策略 关键词模式、上下文模式、时间窗口模式等 轻量、高效、稳定，0侵入 日志监控平台 微信 微信/邮件/短信 高可靠,高响应 高性能 灵活配置 谈点感想 感想 01 微服务≠spring cloud≠容器化≠RPC 工具/框架是手段而不是目的

微服务架构通过细粒度的服务解耦拆分，带来缩短开发周期、独立部署、易扩展等好处的同时，同时带来对服务发现、负 载均衡、熔断等能力前所未有的诉求。 • 第一阶段为dubbo、SpringCloud侵入式开发框架，语言强相关。 • 非侵入服务网格最早为2016年Linkerd。 • 2017年，Goole、IBM、Lyft发布Istio。Istio目前为服务网格的事实标准，并且是2019年Github增长最快的TOP Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 26 华为ASM产品介绍（1） • 无需安装，一键启用，无侵入实现应用治理 Istio 基础设施 容器编排& 调度 Service Mesh 云原生应 用 一键启用 网络连接、安全、控制、监控 CCE（云容器引擎） APP APP APP ECS（弹性云主 配置式灰度策略，支持流量比例、请求内容 （Cookie、OS、浏览器等）、源IP  一站式健康、性能、流量监控，实现灰度发布过程 量化、智能化、可视化 • 策略化的智能路由与弹性流量管理 无侵入智能流量管理：  权重、内容等路由规则，实现应用灵活灰度发布  HTTP会话保持，满足业务处理持续性诉求  限流、熔断，实现服务间链路稳定、可靠  服务安全认证：认证、鉴权、审计等，提供服务

Network Physical Application Transport Network Physical 为什么要使用 • 解放业务开发者 • 改造遗留老应用成为云原生应用 • 代码0侵入 • 学习曲线 Website: http://servicecomb.incubator.apache.org/ Gitter: https://gitter.im/ServiceCombUsers/Lobby incubator.apache.org/ Gitter: https://gitter.im/ServiceCombUsers/Lobby Mesher Design Goal • 侵入式与非侵入式可结合使用 • 不绑定基础设施 • 服务可视化 • 高性能，轻量 • 尽最大可能插件化各功能模块 • 透明的产品体验：整合容器平台，微服务引擎，API 网关，指标监控，日志审计等云上服务，封装为微服 Plane 即侵入式框架与非侵入式 mesher • 注册发现 • 执行路由策略 • 负载均衡 • 透明TLS传输 • 生成监控数据 6/30/2018 Mesher ServiceC Java SDK ServiceD Go SDK ServiceA Mesher ServiceB Control plane 可人工介入，未运行时 的mesher和侵入式框架 提供配置下发