1

我会创建一个映射来仅存储一个元素(端口号),并且应该从用户空间和内核空间读取/写入它。我应该使用哪种地图类型?哪个大小的键和值是合适的,我如何从双方写入/读取?

_user.c

/* create array map with one element */
map_fd = bpf_create_map(BPF_MAP_TYPE_ARRAY, sizeof(key), sizeof(value), 1, 0);
...
/* update map */
ret = bpf_map_update_elem(map_fd, &key, &i, BPF_ANY);

_kern.c

如何引用 map_fd 并在同一张地图上操作?

编辑:

我只能通过一种方式成功地创建地图并与之交互:在_kern.c文件中定义地图,如下所示:

struct bpf_map_def SEC("maps") my_map = {
        .type = BPF_MAP_TYPE_ARRAY,
        .key_size = sizeof(uint32_t),
        .value_size = sizeof(uint32_t),
        .max_entries = 1,
};

该定义允许使用 bpf 助手直接在地图上进行操作,例如bpf_map_lookup_elem.

而是在通过我使用将ebpf 程序_user.c加载到内核之后_kern.obpf_prog_load

map_fd = bpf_object__find_map_fd_by_name(obj, "my_map");

检索与地图关联的文件描述符(我错过了这一点)。例如,一旦您获得要执行的文件描述符,您就可以调用地图更新

ret = bpf_map_update_elem(map_fd, &key, &value, BPF_ANY);

问题:在这种情况下,我使用 libbpf 从用户空间检索 fd,但是如果我从中创建映射_user.cbpf_create_map那么如何从 ebpf 程序中检索 fd?

4

1 回答 1

4

如果你知道你只有一个元素,最简单的可能是使用数组映射。在这种情况下,您可以通过数组中的索引轻松访问您的地图条目:0

如果你这样做,键的大小将是一个 4 字节整数 ( sizeof(uint32_t)) 的大小,它总是用于数组索引。该值的大小将是您存储端口号所需的大小:很可能是sizeof(uint16_t).

然后,您可以通过调用相关的 BPF 辅助函数从您的 BPF 程序中读取/写入:bpf_map_lookup_elem()bpf_map_update_elem()(有关详细信息,请参见手册页)。它们通常被定义在bpf_helpers.h您的系统上通常不安装的位置,您可以在 bcc 或内核 repo 中找到它的版本。

在用户空间中,您可以使用bpf()系统调用及其相关命令来更新条目:BPF_MAP_LOOKUP_ELEM()BPF_MAP_UPDATE_ELEM()(参见手册页)。但是您不一定必须自己重新实现调用:如果您编写程序,您可能应该看看提供包装器的 libbpf。如果你想从命令行更新你的地图,这很容易做到bpftool(见手册页),比如bpftool map <map_ref> update key 0 0 0 0 value 0x37 0x13(更新)或bpftool map <map_ref> lookup key 0 0 0 0(查找)。

于 2019-08-23T14:58:06.980 回答