eBPF에 대해 알아보자

eBPF 개념

eBPF(extended Berkeley Packet Filter)는 리눅스 커널에서 안전하게 실행되는 프로그램을 작성할 수 있는 혁신적인 기술입니다. 이 기술은 커널의 소스 코드를 변경하거나 커널 모듈을 로드하지 않고도 다양한 기능을 추가할 수 있게 해줍니다. eBPF는 네트워크 패킷 필터링, 성능 모니터링, 보안 기능 강화 등 여러 분야에서 활용됩니다.

eBPF의 기본 개념

• 안전한 실행 환경: eBPF는 샌드박스 환경에서 실행되며, 커널의 권한을 가진 상태에서 프로그램을 실행할 수 있습니다. 이는 시스템의 안정성을 해치지 않으면서도 강력한 기능을 제공합니다 
• 유연성: eBPF는 다양한 커널 이벤트에 반응할 수 있는 프로그램을 작성할 수 있게 해주며, 이를 통해 시스템의 동작을 실시간으로 분석하고 조정할 수 있습니다.

출처 : eBPF.io

eBPF의 주요 개념

• BPF의 기원:
  원래 BPF(Berkeley Packet Filter)는 커널 공간에서 네트워크 패킷을 효율적으로 필터링하기 위한 메커니즘으로 1990년대 초반에 도입되었습니다. 이를 통해 사용자 공간 응용 프로그램은 커널이 직접 실행할 수 있는 간단한 필터링 프로그램을 정의하여 커널과 사용자 공간 간에 데이터를 복사할 필요성을 최소화할 수 있었습니다.
  eBPF는 이 아이디어를 확장하여 패킷 필터링 외에도 커널 내에서 다양한 작업을 수행할 수 있는 훨씬 더 복잡한 프로그램을 허용합니다.
• eBPF 프로그램:
  eBPF 프로그램은 C 프로그래밍 언어의 제한된 하위 집합으로 작성된 다음 바이트코드 형식으로 컴파일됩니다.
  이러한 프로그램은 커널에 로드되어 네트워크 이벤트, 시스템 호출, 추적점 또는 사용자 정의 사용자 정의 이벤트와 같은 다양한 후크에 연결됩니다.
  커널은 eBPF 바이트코드를 기본 기계 코드로 확인하고 JIT 컴파일(Just-In-Time 컴파일)하여 안전성과 성능을 보장합니다.
• 안전 및 보안:
  eBPF 프로그램은 커널에서 실행되기 전에 안전한지 확인하기 위해 엄격한 검증을 거칩니다. eBPF 검증자는 루프(무한 실행을 유발할 수 있음), 범위를 벗어난 메모리 액세스 및 기타 안전하지 않은 작업과 같은 잠재적인 문제를 확인합니다.
  이 검증을 통해 eBPF 프로그램이 커널을 충돌시키거나 보안을 손상시킬 수 없도록 보장하여 커널 공간 내에서 임의의 코드를 안전하게 실행할 수 있습니다.
• 맵 및 도우미 기능:
  eBPF 맵: eBPF 프로그램이 데이터를 저장하고 검색하는 데 사용할 수 있는 데이터 구조입니다. 맵은 사용자 공간과 커널 공간 모두에서 액세스할 수 있으므로 eBPF 프로그램과 사용자 애플리케이션 간에 효율적인 데이터 공유가 가능합니다.
  도우미 함수: 커널은 eBPF 프로그램이 패킷 데이터 조작, 로깅 또는 커널 데이터 구조와의 상호 작용과 같은 특정 작업을 수행하기 위해 호출할 수 있는 사전 정의된 도우미 함수 세트를 제공합니다.
• 다양성 및 사용 사례:
  네트워킹: eBPF는 로드 밸런싱, DDoS 보호, 네트워크 관측성, 성능 모니터링과 같은 고급 네트워킹 작업에 널리 사용됩니다. 예를 들어 Cilium 및 Linux 커널의 XDP(eXpress Data Path)와 같은 프로젝트는 고성능 네트워킹 기능을 위해 eBPF를 활용합니다.
• 추적 및 관찰 가능성: eBPF는 시스템 호출이나 스케줄러 이벤트와 같은 다양한 커널 이벤트에 eBPF 프로그램을 연결하여 시스템 동작에 대한 깊은 가시성을 제공합니다. bpftrace 및 BCC(BPF Compiler Collection)와 같은 도구는 eBPF를 사용하여 강력한 추적 및 성능 분석 기능을 제공합니다.
• 보안: eBPF는 시스템 호출을 모니터링하거나 의심스러운 동작을 감지하는 등 커널 수준에서 보안 정책을 시행하는 데 사용할 수 있습니다. Falco와 같은 프로젝트는 런타임 보안 모니터링을 위해 eBPF를 사용합니다.
• 클라우드 네이티브 환경의 eBPF:
  클라우드 네이티브 및 컨테이너화된 환경에서 eBPF는 네트워킹, 관찰 가능성 및 보안에 중요한 역할을 합니다. 컨테이너 트래픽을 모니터링하고, 네트워크 정책을 시행하고, 컨테이너화된 애플리케이션에 대한 세부적인 관찰 가능성을 제공하는 데 사용할 수 있습니다.

 

eBPF의 장점 및 주요 기능

eBPF의 장점

• 개발 용이성: eBPF는 C 언어로 작성되며, 다양한 라이브러리와 도구가 지원되어 개발이 용이합니다. 이는 개발자에게 큰 이점을 제공합니다.
• 커널 버전 독립성: eBPF 프로그램은 다양한 커널 버전에서 실행될 수 있어, 유지보수와 배포가 용이합니다
• 성능: eBPF는 커널 내에서 고성능 데이터 처리를 허용하여 사용자 공간과 커널 공간 간의 컨텍스트 전환 필요성을 줄입니다.
• 유연성: eBPF는 사용자 정의 프로그램을 커널에서 실행할 수 있도록 함으로써 이전에는 안전하고 성능이 뛰어난 방식으로 달성하기 어려웠던 수준의 유연성을 제공합니다.
• 관측 가능성 및 디버깅: eBPF를 사용하면 성능 오버헤드를 최소화하면서 커널 및 애플리케이션 동작을 관찰, 추적 및 디버깅할 수 있어 기존 도구로는 달성하기 어려운 통찰력을 얻을 수 있습니다.

출처 : eBPF.io

eBPF의 주요 기능

• 패킷 필터링: eBPF는 네트워크 패킷을 필터링하고 처리하는 데 매우 효과적입니다. 이를 통해 네트워크 성능을 최적화하고, 불필요한 트래픽을 차단할 수 있습니다.
• 성능 모니터링: eBPF를 사용하면 시스템의 성능을 실시간으로 모니터링하고, 다양한 메트릭을 수집할 수 있습니다. 이는 시스템 관리 및 문제 해결에 큰 도움이 됩니다.

반응형

eBPF의 활용 분야

1. 네트워킹

• 패킷 필터링 및 방화벽:
  eBPF는 원래 패킷 필터링용으로 설계되었으며 이후 정교한 방화벽 솔루션을 지원하도록 발전했습니다. 예를 들어, eBPF를 사용하면 네트워크 스택의 다양한 지점에서 네트워크 패킷을 검사, 필터링 및 수정하여 고급 방화벽 및 트래픽 제어 메커니즘을 활성화할 수 있습니다.
• 로드 밸런싱:
  eBPF는 커널 내에서 효율적인 로드 밸런싱을 구현하는 데 사용될 수 있습니다. Cilium과 같은 프로젝트에서는 eBPF를 사용하여 소켓 수준에서 고성능 로드 밸런싱을 제공함으로써 백엔드 서비스 간 트래픽 분산을 세밀하게 제어할 수 있습니다.
• DDoS 완화:
  eBPF를 사용하면 네트워크 트래픽 패턴을 분석하고 커널에서 직접 필터링 규칙을 실시간으로 적용하여 맞춤형 DDoS 완화 전략을 생성할 수 있습니다. 이를 통해 사용자 공간 컨텍스트 전환의 오버헤드 없이 공격 트래픽에 신속하게 대응할 수 있습니다.
• 네트워크 주소 변환(NAT):
  eBPF는 NAT 기능을 구현하는 데 사용될 수 있으므로 IPv4 및 IPv6 네트워크 모두에서 효율적인 패킷 변환 및 라우팅이 가능합니다.

2. 관측 가능성 및 모니터링

• 추적 및 성능 프로파일링:
  eBPF는 Linux 커널에 대한 깊은 관찰성을 제공하여 다양한 커널 기능, 시스템 호출 및 사용자 공간 애플리케이션을 추적할 수 있게 해줍니다. 'bpftrace' 및 'BCC'(BPF 컴파일러 컬렉션)와 같은 도구를 사용하면 개발자가 사용자 정의 eBPF 스크립트를 작성하여 특정 이벤트를 추적하여 성능 프로파일링 및 디버깅을 도울 수 있습니다.
• 애플리케이션 모니터링:
  eBPF를 사용하면 애플리케이션 성능과 동작을 세부적인 수준에서 모니터링할 수 있습니다. 여기에는 애플리케이션 성능을 이해하는 데 중요한 함수 호출 추적, 메모리 사용량 및 기타 측정항목이 포함됩니다.
• 시스템 호출 모니터링:
  eBPF 프로그램을 시스템 호출에 첨부함으로써 애플리케이션의 동작을 모니터링 및 분석하고 보안 문제나 성능 병목 현상을 나타낼 수 있는 비정상적인 패턴을 탐지할 수 있습니다.

3. 보안

• 런타임 보안 적용:
  eBPF를 사용하면 커널에서 직접 사용자 정의 보안 정책을 구현할 수 있습니다. 여기에는 악의적인 행동을 탐지하고 차단하기 위한 시스템 호출, 파일 액세스 패턴 및 네트워크 활동 모니터링이 포함됩니다. Falco와 같은 도구는 실시간 위협 탐지를 위해 eBPF를 활용합니다.
• 침입 감지 및 예방 시스템(IDS/IPS):
  eBPF를 사용하면 커널 수준에서 작동하는 IDS/IPS 시스템을 구축하여 성능 오버헤드를 최소화하면서 의심스러운 활동을 실시간으로 감지할 수 있습니다.
• Seccomp 확장:
  eBPF는 시스템 호출을 제한하는 Linux 기능인 'seccomp'의 기능을 확장할 수 있습니다. 이를 통해 시스템 호출이 이루어진 컨텍스트에 따라 시스템 호출을 보다 복잡하고 세밀하게 필터링할 수 있습니다.

4. 클라우드 네이티브 및 컨테이너 환경

• 컨테이너 네트워킹:
  eBPF는 컨테이너 네트워킹 관리를 위해 컨테이너화된 환경에서 널리 사용됩니다. Cilium과 같은 프로젝트는 eBPF를 사용하여 Kubernetes 클러스터 내에서 라우팅, 로드 밸런싱, 네트워크 정책과 같은 컨테이너 네트워킹 기능을 구현합니다.
• 서비스 메시 최적화:
  eBPF는 서비스 메시와 통합되어 마이크로서비스 간의 네트워킹을 최적화하고 커널에서 직접 네트워킹 작업을 처리함으로써 대기 시간을 줄이고 성능을 향상시킬 수 있습니다.
• 네트워크 정책 및 격리:
  Kubernetes에서 eBPF는 Pod가 서로 통신하는 방법을 지정하는 네트워크 정책을 시행하여 워크로드를 격리하고 서비스 간 통신을 보호하기 위한 메커니즘을 제공할 수 있습니다.

5. 성능 최적화

• CPU 및 메모리 프로파일링:
  eBPF를 사용하면 CPU 사용량, 메모리 할당 및 기타 시스템 리소스에 대한 자세한 정보를 수집할 수 있으므로 개발자가 병목 현상과 비효율성을 식별하여 애플리케이션 성능을 최적화하는 데 도움이 됩니다.
• 지연 시간 감소:
  eBPF를 사용하여 커널에서 직접 네트워크 처리 작업을 실행하면 대기 시간을 줄이고 네트워크로 연결된 애플리케이션의 처리량을 늘릴 수 있어 고성능 컴퓨팅 환경에 이상적입니다.

6. 시스템 관리

• 자원 회계:
  eBPF는 CPU 시간, 메모리 소비, I/O 작업과 같은 시스템 리소스 사용량을 추적하고 설명하는 데 사용할 수 있습니다. 이는 정확한 리소스 계산이 중요한 다중 테넌트 환경에서 특히 유용합니다.
• 동적 시스템 튜닝:
  eBPF를 사용하면 실시간 데이터를 기반으로 시스템 매개변수를 동적으로 조정할 수 있으므로 시스템이 현재 워크로드 및 성능 요구 사항에 따라 동작을 조정할 수 있습니다.

7. 스토리지 및 파일 시스템 모니터링

• I/O 추적:
  eBPF는 블록 계층 또는 파일 시스템 수준에서 I/O 작업을 추적하여 스토리지 성능에 대한 통찰력을 제공하고 느린 디스크 I/O 또는 비효율적인 파일 액세스 패턴과 같은 문제를 진단하는 데 도움을 줍니다.
• 파일 시스템 감사:
  eBPF는 파일 생성, 삭제, 수정과 같은 파일 시스템 활동을 모니터링하는 데 사용할 수 있으며, 이는 보안 정책 준수를 감사하고 보장하는 데 유용합니다.

8. 사용자 정의 커널 기능

• 맞춤형 프로토콜 구현:
  eBPF를 사용하면 개발자는 Linux 커널에서 기본적으로 지원하지 않는 사용자 정의 네트워크 프로토콜이나 커널 기능을 구현할 수 있습니다. 이는 특정 프로토콜 지원이 필요한 특수한 환경에서 유용할 수 있습니다.
• 커널 계측:
  개발자는 eBPF를 사용하여 커널을 계측하고 표준 인터페이스를 통해 노출되지 않는 커널 내부에 대한 측정항목과 통계를 수집할 수 있습니다.

eBPF는 네트워킹 및 보안부터 관찰 가능성 및 성능 최적화에 이르기까지 광범위한 도메인에 걸쳐 애플리케이션을 갖춘 다목적 도구입니다. 커널에서 사용자 정의 코드를 안전하게 실행하는 기능은 성능이나 안정성을 저하시키지 않고 Linux 커널의 기능을 확장할 수 있는 강력한 도구입니다. 클라우드 네이티브 기술과 마이크로서비스 아키텍처가 계속 발전함에 따라 세분화된 제어 및 가시성을 제공하는 eBPF의 역할은 점점 더 중요해질 것입니다.