BPF로 리눅스 관측 가능성 향상하기

gutss***l2020-07-06

low level에 가까우면서 빠르고 자유로운 시스템 모니터링을 위한 BPF 프로그래밍

growl***l2020-07-05

컴퓨팅 시스템의 관측 가능성을 높이는 강력한 기술 ‘BPF로 리눅스 관측 가능성 향상하기’

컴퓨터 기술이 발전하면서 관측의 중요성이 올라가는데요. 중요 정보가 있는 사이트의 경우 보안 부분에 민감한 경우들이 많이 있습니다. 일반 사이트 경우 보안이 취약할 경우 회원가입을 했는지 확인하기 위해 아이디를 쳐보고 확인합니다. 비밀번호만 틀렸다고 알려주는 창이 나오면 회원 가입한 아이디이기 때문에 아이디 정보를 얻을 수 있는 문제가 발생합니다. 그래서 보안을 유지하기 위해서는 아이디, 비밀번호 둘 중 하나라도 틀릴 경우 동일한 응답이 나오게 해야 됩니다.

응답은 아이디와 비밀번호가 틀렸다는 것을 응답하므로 추측을 못 하게 보완됐습니다. 이번에 알아볼 저서는 BPF로 리눅스 관측 가능성 향상하기입니다. BPF는 버클리 패킷 필터로 네트워크 트래픽을 분석하기 위해 사용되는 기술입니다. 이 저서에 가장 먼저 만나게 되는 문장은 비야네 스트롭스트룹의 “우리의 문명은 소프트웨어를 바탕으로 돌아간다.” 인용글을 볼 수 있는데요. 소프트웨어의 기반으로 현대 문명을 지탱하는 컴퓨팅 기반구조에서 큰 자리를 차지하고 있는 것이 바로 리눅스 커널입니다.

우리 사람에 직·간접적으로 영향을 미치는 수많은 소프트웨어가 리눅스 커널에 의존하며, 어떤 운영체제이든 커널은 극도의 성능과 보안이 요구되는 영역입니다. 리눅스 커널은 아무나 건드릴 수 없는 소수의 전문가에게만 허용되는 영역으로 간주하는데요. 그 점을 생각하면, 평범한 개발자도 스크립팅과 vm을 통해 편하고 안전하게 리눅스 커널 안에서 원하는 코드를 실행하게 하는 BPF의 기술은 흥미롭다고 생각합니다.

먼저 관측 가능성 접근 방식은 주어진 임의의 시스템에 대해 임의의 복잡한 질문을 던지고 그 응답을 얻을 수 있는 능력을 정의하는데요. 관측 가능성과 로그, 측정치 취합의 차이점은 각각이 수집하는 자료에 있습니다. 관측 가능성을 활용한다는 것이 임의의 시점에서 임의의 질문에 대한 답을 얻을 필요가 있다는 뜻이라고 할 때, 자료로부터 응용 프로그램의 행동을 추론하려면 시스템이 생성하는 모든 자료를 수집해야 하며, 그러면서도 질문에 대한 답을 얻어야 할 필요가 있을 때만 그 자료를 취합해야 합니다.

이 저서는 컴퓨팅 시스템의 관측 가능성을 높이는 데 도움이 되는 BPF의 여러 강력한 기능들을 제시합니다.

BPF 패킷 필터는 시스템 네트워크를 감시하는 데 사용하는데요. 커널과 사용자 공간 사이의 주된 자료를 교환할 때는 BPF 맵을 사용하며, BPF 확장되면서 커널 시스템의 변화 된 것도 볼 수 있습니다. eBPF는 기존 BPF 구현보다 최대 4배 빠르게 작동합니다. 예전 32bit 레지스터 2개에서 64bit 레지스터 열개로 확장됐습니다. BPF로 표기를 하지만 업그레이 된 부분으로 이해하고 개념을 배울 수 있습니다.

직접 자료를 취합하거나 분류할 수 있다는 점이다. 이는 수집한 자료를 손실 가능성 있는 대기열을 거쳐 사용자 공간에 보낸 후 거기서 취합, 처리해야 하는 기존 도구들에 비해 BPF의 확실한 장점을 볼 수 있습니다. 다양한 프로그래밍 언어로 BPF 프로그램을 작성하는 방법도 설명하고 있습니다. 또한 예제 코드를 https://oreil.ly/lbpf-repo에서 확인 할 수 있습니다.

BPF는 리눅스 4.18부터 도입된 기능으로 리눅스 기능을 확장해줍니다. 기능 확장을 통해 관측 가능성도 향상할 수 있으며, 관측하게 되면 시스템을 안정적으로 운영 가능합니다. BPF 학습을 통해 보안능력이 향상되시길 바랍니다. 이 저서의 주 독자층은 시스템 엔지니어와 네트워크 성능 분석 전문가, 리눅스 커널 개발자 등이 많을 거로 생각합니다. 이번 기회에 BPF를 이용해서 자신을 업글할 수 있는 추적 프로그램을 작성하는 방법을 추천합니다.

nulLe***l2020-07-05

[리뷰]BPF로 리눅스 관측 가능성 향상하기

ace***l2020-07-05

번역은 아쉽지만 BPF개념과 친해지기에는 좋은 책

이번에는 Linux Observability with BPF라는 제목을 가진 올빼미과의 소쩍새가 매력적인 책을 리뷰하게 되었다.

리눅스를 접하고 관련 일을 한지는 오래되었지만 BPF라는 내용은 생소하여 호기심에 신청하게 되었다.

3장까지 책을 천천히 읽은 후 든 가장 먼저 든 느낌은 ...

* 번역의 아쉬움, 번역된 내용으로 인한 집중력 저하?

마치 대학 때 교재 중 커널을 알맹이라고 해석했던 그 시절 기억이 다시금 드는 번역이었다.

영문 발음을 그대로 번역해도 IT서적에서는 문제될 부분이 없어보이는데 굳이 이런단어까지 번역을 했어야 하나 싶을 정도였다.

예로 SpinLock을 회전 자물쇠라고 표현하고 있었다.

나만 그렇게 느꼈을 수도 있지만 스핀락 이라고 씌인 책들은 많이 봤었도 회전 자물쇠라고 쓴 책은 처음 접하게 되었다.

읽는 동안에 가끔은 원서를 보고 싶어지게 하는 전체적인 번역에 아쉬움이 남는 책이었다.

책의 내용은 eBPF(Extended Berkeley Packet Filter)를 소개한다.

BPF 프로그램 빌드 방법 및 커널과 유저단에서 데이터 공유를 할 수 있는 방법은 BPF맵에 대한 설명을 하고 있다.

개념도 없던 나는 3장까지의 내용을 보니 대략적인 감을 잡을 수 있었다.

이 책을 선택한 이유는 BPF 프로그램을 직접 만들어보겠다는 생각보다는 내용중에 tcpdump에 대한 동작사항이 어떻게 이뤄지는지 궁금하여 보게되었다.

간단한 설명 후 특정 인터페이스의 패킷을 필터링하는 예제도 설명하고 있었다.

일단은 글로만 보고 넘어갔는데, 향후 커널 빌드 환경 구축 후 테스트 바이너리를 만들어봐야겠다.

정리하면..

번역에 대한 아쉬움은 남지만

저자들이 원했던 독자가 일상 업무에서 리눅스 하위 시스템을 다루는데 필요한 기본적인 BPF개념들에 익숙해지는데 도움을 주기 위해 책을 썼다 라고 했다.

그 의도에는 맞아 떨어지는 책이라고 생각하며 리뷰를 정리한다.

hawkm***l2020-06-29

BPF라니?!

이 책은 한빛미디어의 «나는 리뷰어다» 이벤트로 받은 서적입니다.

책표지!

1

혼자서 집에 있으면 라즈베리파이 커널 모듈, 리눅스 커널 모듈 등을 만지면서 여전히 리눅스 커널에 대해서 관심을 가지고 있어서, 잘 모르지만 ‘BPF’ 관련 서적 리뷰를 신청했다. 이 책은 단점과 장점이 공존하는데, 이 책의 장점 중 하나로 번역을 ‘류광’님이 해주셔서 읽는데 전혀 문제가 없다. 하지만 BPF 자체가 리눅스 커널과 관련된 내용이 많다보니 아무래도 책의 난이도가 높다.

프로젝트에서 Docker를 사용할 때, 모니터링 때문에 애를 먹었는데 이 기사를 참고하면서 처음으로 BPF에 대해서 알게되었다. BPF는 Berkeley Packet filter 의 약자로 이름에서 알 수 있듯이 네트워크 분석을 위해 사용되던 툴인데 지금은 마개조 되어서 어플리케이션 분석 및 프로파일링을 지원하는 툴로 발전하였다.

아마 이 책의 서평을 읽으시는 분들은 위에 기술한 내용은 대부분 알것으로 생각된다. 나도 BPF에 대해서 관심을 가지고 책을 찾아봤는데, 대부분 영문 서적이라서 약간 실망한 기억이 있고 국내에 BPF 관련 교재는 이 책이 처음이지 싶다.

2

이 책을 읽으면서 제일 기대했던 것은 Python 코드와 Go 코드를 사용해서 BPF를 활용할 수 있는 방법을 소개한다는 점이다. 제4장 BPF를 이용한 실행 추적을 보면 Python과 Go 코드를 사용하는 예제들이 많아서, BPF를 처음 시작할 때 오는 부담감을 조금 덜 수 있다. 그리고 실무적으로 사용하기엔 너무 간단하지만 기본적으로 C를 사용해서 프로젝트를 진행하기 힘든 환경의 경우 많은 참고가 된다. 예제를 참고해서 책을 구매하기 전에 확인해봐도 좋을 듯 싶다.

3

얼마만에 보는 C 코드인가?!

하지만 제8장 리눅스 커널 보안, 능력, seccomp에서 와 같이 실무에서 사용할 수 있는 예제는 C로 만들어져 있어서 C 언어가 익숙하지 않으면 약간의 부담감이 있다. 하지만 로우-레벨에서 작업하기 때문에 C언어 뿐만 아니라 커널에 관한 기본적인 지식이 필요해서 해당 교재만 가지고 쉽사리 접근하기 쉽진 않다. 하지만 BPF가 리눅스 프로파일링 분야에서 다양하게 사용되고 있기 때문에 기능이 엄청나게 확장되고 있다. Go언어도 적절히 사용할 수 있다는 점이 BPF의 또 다른 장점인 듯 싶다.

4

가격이 저렴하고, 번역이 잘 되어있기 때문에 커널이나 프로파일링 혹은 로우 레벨에 관심이 있으시면 한 번 질러봐도 좋을 듯 싶습니다.

spaci***l2020-06-29

리눅스 유저라면 소장할 가치가 있는 책

리눅스 커널은 소수의 전문가에게만 허용되는 영역으로 아무나 건드릴 수 있는 영역이 아니었다. BPF는 평범한 개발자도 스크립팅과 VM을 통해서 편하고 안전하게 리눅스 커널 안에서 원하는 코드를 실행하게 하는 흥미로운 기술이다. 프로그래머라면 디자인 패턴 중 옵저버 패턴을 생각하면 비슷할 것이다.

BPF를 사용하면 임의의 시스템 호출 또는 커널 함수를 추적할 수 있으며, 임의의 사용자 공간 프로그램도 추적할 수 있다. bpftrace(https://github.com/iovisor/bpftrace)는 리눅스에서 DTrace와 비슷한 기능을 제공하는 명령줄 도구이다. 이 도구를 이용하면 예를 들어 열린 파일들과 그것을 연 프로세스들을 추적하거나, 프로그램이 요청한 시스템 호출들을 세거나, OOM 킬러를 추적하는 등의 다양한 추적 작업을 수행할 수 있다. 간단히 말해서, 이 도구가 있으면 리눅스 시스템의 내부 상황을 완전히 파악할 BPF와 XDP는 Cloudflare(https://oreil.ly/OZdmj)와 페이스북(https://oreil.ly/wrM5-)의 부하 분산기에서 DDos 공격을 방지하는 용도로도 쓰인다.

BPF 프로그램을 작성하는 것은 의외로 정말 간단하다. 책에서도 첫 머리에 소개되고 있지만 가장 간단한 예제를 소개하는 것 만큼 BPF를 잘 소개하는 것은 없다고 생각하기에 본문의 예제를 그대로 적어 보았다. 아래의 코드는 "Hello World"를 출력하는 프로그램과 비슷한 BPF 프로그램이다.

이 예제는 execve 시스템 추적점이 검출되었을 때, BPF VM이 프로그램을 실행해야 함을 SEC매크로로 저장한다. 개발자는 추적점을 이용해서 커널의 실행 흐름 안의 특정 지점에 자신이 원하는 코드를 주입한다. 결과적으로 execve가 프로그램을 실행하는 상황을 커널이 포착할 때마다 Hello, BPF World!라는 메세지가 출력된다.

소스 코드의 마지막 줄은 이 프로그래므이 사용권(License)을 명시한 것이다. 리눅스 커널은 GPL 사용권을 따르므로 오직 GPL을 따르는 프로그램만 커널에 적재할 수 있다.

앞의 예제 코드를 bpf_program.c라는 이름의 소스 파일로 저장했다고 할 때, 이를 컴파일하는 명령은 다음과 같다.

컴파일된 코드는 커널에 적재해야 한다. 커널은 프로그램의 컴파일과 적재(load)과정을 추상화하는 보조 함수들을 제공한다. 다음은 load_bpf_file 함수를 이용해서 앞에서 만든 이진 파일을 커널에 적재하는 프로그램이다.

다음은 이 소스 코드를 컴파일, 링크해도 ELF 실행 파일을 만드는 셸 스크립트이다. 이 프로그램은 BPF VM에 적재할 것이 아니므로 -target 옵션을 지정할 필요가 없다. 각종 디렉토리를 지정한 것 외에, load_bpf_file 함수의 정의가 있는 bpf_load.c 파일도 함께 컴파일, 링크함을 주의하기 바란다. 여러 파일이 관여하는 빌드 작업을 수행할 때는 이처럼 스크립트를 사용하는 것이 편하다.

이 스크립트를 통해서 컴파일 및 링크가 잘 진행되었다면 loader라는 실행 파일이 생긴다.

이 실행 파일은 반드시 sudo로 실행해야 한다.(이를테면 sudo ./loader). 이 프로그램을 실행하면 여러분이 컴퓨터로 아무 일도 하지 않았는데도 몇 초 후에 Hello, BPF World!라는 메세지가 나타나기 시작할 것이다. 이는 백그라운드에서 실행되는 프로그램이 다른 프로그램들을 실행하기 때문이다.

2장까지는 생애 첫 BPF프로그램을 다룬다. 3장부터는 BPF 맵을 다루는데 이것은 커널 안에 존재하는 키-값 저장소이다. BPF맵은 그 위치를 아는 모든 BPF 프로그램이 접근할 수 있다. 커널 내의서 처리하는 여러 데이터와 장치들의 BPF맵에 대해 학습할 수 있다.

4장에서는 BPF를 이용해 커널과 사용자 공간을 탐침해 보고 히스토그램을 만드는 등 자료를 시각화 해 본다.

5장에서는 BPF를 편리하게 사용하도록 도와주는 BPFTool, BPFTrace, kubectl-trace 그리고 eBPF Exporter와 같은 유틸리티를 소개한다.

6장과 7장에서는 패킷 필터링 등, 리눅스 네트워킹을 탐침하는 것을 배우고 XDP(Express Data Path)를 배운다. XDP는 안전하고 프로그래밍 가능하며 커널에 통합된 고성능 패킷 처리기이다. 리눅스 네트워크 자료 경로 안에서 XDP는 네트워크 인터페이스 카드(NIC)의 드라이브가 패킷을 받았을 때 적절한 BPF프로그램을 실행한다. XDP프로그램은 수신된 패킷의 운명(폐기, 수정, 허용)을 최대한 이른 시점에서 결정한다.

8장에서는 리눅스 커널 보안, 능력 그리고 seccomp에 대해 다룬다. BPF는 안정성과 속도를 해치지 않고 커널을 확장하는 강력한 수단이다. 그래서 커널 개발자들은 seccomp의 프로세스 격리 기능을 개선하는 데 BPF의 다재다능한 능력을 활용하기로 하고, BPF 프로그램을 seccomp의 필터로 사용할 수 있게 했다. 이를 seccomp BPF라고 부르기도 한다. Secure Computing(보안 컴퓨팅)을 줄인 SECCOMP는 리눅스 커널의 한 보안 계층으로, 개발자가 특정 시스템 호출을 필터링하게 만드는 용도로 쓰인다. 어떤 작업을 허용 또는 금지하는 수단이라는 점에서 seccomp는 커널 능력과 비슷하지만, 구체적인 시스템 호출들을 제어할 수 있다는 점에서 커널 능력보다 유연하다.

마지막으로 9장에서는 실제 응용 사례를 다룬다. 실제 응용 사례는 아래와 같다.

1. Sysdig의 eEBF '신(god)' 모드

- Sysdig(시스디그)는 최초의 오픈소스 리눅스 문제해결(troubleshooting) 도구이자 그것을 만든 회사의 이름이다.

- Sysdig의 eBPF 구조는 아래와 같다. 219p이다.

- Sysdig BPF 성능 비교표는 아래와 같다. 221p이다.

2. Flowmill

- Flowmill(플로밀)은 관측 가능성 관련 스타트업으로, 창업자 조너선 페리(Jonathan Perry)가 참여한 Flowtune(https://oreil.ly/e9heR)이라는 학술 연구 프로젝트를 뿌리로 한다. Flowtune은 개별 패킷들의 처리 일정을 효율적으로 관리함으로서 데이터 센터 네트워크의 혼잡(congestion; 또는 밀집)을 해소하는 문제를 연구하는 프로젝트인데, 그러한 혼잡 해소에는 네트워크 관련 수치들을 아주 낮은 추가 부담으로 수집하느 기술이 필요했다. Flowmill은 BPF(eBPF)의 커널 탐침을 이용해서 모든 연린 소켓을 추적하고 소켓 연산 관련 수치들을 주기적으로 수집한다.

BPF는 리눅스 커널 내에서 일어나느 일들을 우리가 더욱 잘 탐침하고 그것을 활용할 수 있도록 도움을 준다. 리눅스 유저라면 BPF를 통해 커널과 유저레벨에서 일어나는 지표들을 BPF를 통해 편리하게 탐침할 수 있을 것이다. 여기엔 어떤 커널 모듈 관련 지식도 필요하지 않다. 오직 BPF를 활용하는 방법에 대한 지식만이 필요할 뿐이다. 리눅스 유저들은 BPF로 할 수 있는 일들에 대해 체계적으로 설명한 이 책을 통해 BPF를 단계별로 활용해 가면 꽤 괜찮으리라 생각한다.

jujakh***l2020-06-27

BPF로 리눅스 관측 가능성 향상하기

제1장 소개

제2장 생애 첫 BPF 프로그램

제3장 BPF 맵

제4장 BPF를 이용한 실행 추적

제5장 BPF 유틸리티

제6장 리눅스 네트워킹과 BPF

제7장 XDP 프로그램

제8장 리눅스 커널 보안, 능력, seccomp

제9장 실제 응용 사례

BPF 란 최초 Berkeley Packet filter 의 약자로 사용되었다. 리눅스 커널 네트워크 분석을 위해 사용되던 툴이 지금은 리눅스 커널과 어플리케이션 모두를 분석, 프로파일링 할 수 있는 유용한 툴로 발전하였습니다.

BPF를 온라인으로 학습하고 사용하다 처음 접한 도서가 Brendan Gregg가 작성한 'BPF Performance Tools' 란 책이였다. 외서로써 약 950페이지..? 정도의 책이였다. 스터디를 위해 공부하기 시작하였던 책이였는데, 이 책을 읽고 부족한 점을 느낀 분들은 해당 책을 읽어보는 것을 추천한다. 책은 매우 두껍고, 작가의 개인적인 내용도 있기에 필요한 부분만 찾아서 공부하는 것을 추천한다.

이 책은 내가 읽은 BPF에 관련된 두 번째 책이다. 솔직하게 말하자면, 이 책을 본다고 모두가 리눅스 성능 분석을 할 수 있는 것은 아니다. 분석은 분석하려는 시스템에 대한 이해도가 깊어야한다. 내가 분석하려는 시스템이 어떤 동작을 하는지, 적어도 분석하려는 특정 부분에 대해서는 이해하고, 트레이싱하려는 포인트 또한 알아야 한다. 간단한 예시로 시스템에서 특정 동작 중 파일 I/O 가 매우 느리다고 하자. 이 때 어디를 분석하겠는가? 이 책만 보고는 절대 알 수 없는 부분이다. 아니, Brendan Gregg가 작성한 'BPF Performance Tools' 책을 봐도 마찬가지 일 것 이다.

지금의 BPF 툴은 리눅스 프로파일링에서 점점 자리를 잡아가고 있으며 빠르게 다양한 기능이 확장되고 있습니다. 가장 좋은 건 제가 직접 코드를 작성하여 분석할 수 있다는 것입니다. 이 점은 dynamic tracing을 위한 다양한 기능과 더불어 매우 유용하게 사용될 수 있습니다.

프로파일링 업무를 하시는 분들에겐 BPF를 깊게 공부하는 것이 아닌, BPF가 이렇게 확장되서 사용되고 있구나 정도는 알 수 있는 책입니다. 좀 더 깊게 학습이 필요한 분들 Brendan Gregg 의 블로그나 github BPF 코드를 보는 것을 추천드려요!

감사합니다.

BPF로 리눅스 관측 가능성 향상하기

표지

올빼미책

내용

BPF

리눅스 관측 가능성 향상

결론

1

2

3

4