ebpf在低内核如何支持

[gpt8763]

ebpf对内核版本有过多要求，例如：bpf_strncmp函数 就要求在5.17以上版本才能使用,centos7的系统内核还是3.x的版本。如何在低内核或者不升级内核的基础上使用ebpf技术？ 书中第6章，提到tracee项目是通特殊容器--pid=host --groupns=host --privileged的方式运行，在这种情况下，容器内的ebpf拦截系统调用函数，是拦截宿主操作系统内核的函数，还是拦截的容器自己的内核的函数？

[mozillazg]

@gpt8763

ebpf对内核版本有过多要求，例如：bpf_strncmp函数 就要求在5.17以上版本才能使用,centos7的系统内核还是3.x的版本。如何在低内核或者不升级内核的基础上使用ebpf技术？

官方的实现确实是有内核版本要求。在低内核或者不升级内核的基础上使用ebpf技术的方案参考：

• 某些发行版会 backport 一些 ebpf 特性到低版本内核，比如 redhat。
• 也可以参考通过内核模块将 ebpf 新特性引入到低版本内核解决兼容性问题的方案，比如 https://github.com/aliyun/coolbpf 。
• 或者其他 ebpf vm 的实现，比如 https://github.com/eunomia-bpf/bpftime 。

[mozillazg]

@gpt8763

书中第6章，提到tracee项目是通特殊容器--pid=host --groupns=host --privileged的方式运行，在这种情况下，容器内的ebpf拦截系统调用函数，是拦截宿主操作系统内核的函数，还是拦截的容器自己的内核的函数？

因为容器与主机共享的是同一个内核，所以上面的 ebpf 程序即可以拦截容器内程序发起的系统调用，也可以拦截主机程序发起的系统调用。