eBPF

• 什么是 eBPF？
• 酷壳 - eBPF 介绍
• 一文看懂eBPF、eBPF的使用（超详细）: 给出了一个简单的 eBPF 示例
• BCC Install
• Learn eBPF Tracing: Tutorial and Examples
• bcc Tutorial
• Linux Performance Analysis in 60,000 Milliseconds

eBPF 是一项革命性的技术，起源于 Linux 内核，它可以在特权上下文中（如操作系统内核）运行沙盒程序。它用于安全有效地扩展内核的功能，而无需通过更改内核源代码或加载内核模块的方式来实现。

主要使用范畴：安全、网络、观测（溯源）

eBPF 是事件驱动的，当内核或应用程序通过某个钩子点运行时，会触发 eBPF 程序，预定义的钩子主要包括：

• 系统调用
• 函数入口/退出
• 内核跟踪点
• 网络事件

Linux 内核类似于浏览器，eBPF 类似于 v8 引擎，eBPF 程序类似于在浏览器中运行的 JS。