Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

eBPF: Mit Linux-Bytecode Kubernetes überwachen

BPF (Berkeley Packet Filter) kennen einige noch von tcpdump. eBPF (extended BPF) ist quasi ein gepimptes BPF.

Mit eBPF können wir Code in den Linux-Kernel laden – erstmal ähnlich wie Linux-Module nur "versionsunabhängig" und in einer Sandbox-Umgebung (VM) im Kernel. Mit eBPF-Programmen können wir uns dann an Codeabschnitte des Kernels hängen. Wird dieser durchlaufen, so wird das eBPF-Programm ausgeführt (z.B. bei Netzwerk- oder Syscalls).

Im Vortrag erklären und zeigen wir, wie eBPF im Kernel funktioniert und welche Bedeutung es gerade für das Kubernetes-Ökosystem hat.

Im ersten Teil gibt es ein paar Grundlagen und wir nutzen das Kommandozeilentool bcc, um eine grobe Idee zu bekommen. Im zweiten Teil folgt eine kleine Übersicht von eBPF-Lösungen für bzw. in Kubernetes. Hierbei möchte ich Cilium/Calico als CNI-Plugins nur erwähnen und eher auf eBPF zum Tracen und Überwachen auf den Knoten eingehen. Hier werden wir entweder sysdig/falco oder Tetragon verwenden.

Vorkenntnisse

Linux- und Kuberneteskenntnisse werden vorausgesetzt. Diese sollten nicht oberflächlicher Natur sein.

Lernziele

Der Teilnehmer:innen bekommen einen Einblick in eBPF und wie eBPF verwendet werden kann um Systeme (mit Schwerpunkt auf Kubernetes) zu überwachen, zu tracen und zu sichern.

Speaker

 

Erkan Yanar
Erkan Yanar ist ein unvollendeter Diplom-Mathematiker und erfolgloser Diplom-Soziologe. So langsam ist er auch ein Urgestein in der Open-Source-Szene und kennt noch die Legacy- (und leider noch oft die aktuelle) Welt der IT. Als das Ops in DevOps liebt er es, in Projekten Kubernetes inklusive Ökosystem einzuführen, zu optimieren oder schlicht zu betreiben.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden