FXCG集团移动版

　　ecn的意思负责采集指标以及监听的IP和端口的元信息；跟着证券行业数字化转型的加快，云原生时间如容器、微办事架构等一经通俗落地运用。然而，这些新时间带来的时间繁复性，也给交易监控和题目诊断带来了新的挑拨。本文总结了基于eBPF时间举行可观测性体系构修的探求和寻找，紧要蕴涵以下几个片面：最初，先容了云原生时间下可观测性时间的挑拨和探求方针；接着，扼要先容了eBPF时间，蕴涵道理和开荒流程；然后，周密发挥了采用eBPF时间举行闭系目标的搜集和数据剖判的法子和践诺；末了，对一共探求举行总结和瞻望。通过本文的寻找，心愿能为证券行业供给新的监控和诊断思绪。

　　近年来，证券行业正在数字经济和实体经济调和的鞭策下，加快了数字化转型。证券公司主动运用云估量等新兴时间，特别是以容器和Kubernetes为根柢的云原生架构一经成为行业标配。然而，这些新时间固然带来了资源愚弄率晋升、开荒服从弥补和运维弹性普及等好处，不过这些好处都是以办事团体时间栈变得越发繁复为价格的，古板的监控、排障法子一经无法餍足需求。

　　eBPF时间行为可观测性处置计划，近年来备受体贴。相较于古板监控本领，eBPF具有无侵入性和活泼性，低落了交易接入难度。通过eBPF时间，正在不删改源代码的条件下，能够获取办事间彼此拜望的可观测数据。以是，咱们心愿本次基于eBPF时间的可观测性体系探求功效能为证券行业供给一种高效、牢靠的可观测性处置计划，低落运维本钱和危害。另外，咱们渴望为血本墟市和证券行业供给更高效、精准的监测与评估本领，从而晋升买卖体系的牢靠性和安闲性，餍足禁锢条件，巩固投资者相信度，鞭策一共行业的稳重发扬。

　　eBPF时间是一种源于古板BPF（Berkeley Packet Filter）时间的新型可编程内核时间，是Linux内核的一项革命性时间。它供给了可以正在运转时动态安闲地删改Linux内核举止的机制，而无需调换内核代码或者特地加载内核模块。eBPF时间目前紧要用于可观测性数据搜集、搜集时间巩固以及安闲审计和安闲阻断。

　　eBPF虚拟机用于践诺eBPF指令/字节码。虚拟机内修有一个校验器，用以确保eBPF字节码的安闲性，抗御恐怕导致内核溃散的操作，比方死轮回、无效跳转和内存越界拜望等。eBPF虚拟机基于寄存器架构，其指令集包罗常睹的算术逻辑运算、位操作和跳转等指令。

　　2、eBPF次序类型eBPF次序都是内核事故触发的，区别的hook点可以践诺区别类型的eBPF次序，且从hook点获取的入参/出参也各不不异。正在可观测性周围，本文体贴的紧要是kprobe类型，即BPF_PROG_TYPE_KPROBE。

　　eBPF供给了一组预订义的helper函数和一组特定的内核函数，达成与内核的安闲交互。正在可观测性周围，平时须要将eBPF次序搜集到的数据举行统计和记实，然后导出以供外部次序进一步管束和剖判。为管束布局化数据，eBPF供给了团结的Map本领的笼统，达成用户态掌握过程与eBPF践诺代码之间的双向通讯。

　　eBPF次序的开荒和加载，须要一系列的脚手架器材，蕴涵编译、加载、内核交互获取数据等。目前业内有古板的bcc以及较量新的libbpf。本文采取了bcc行为开荒脚手架框架。

　　如上图所示，开荒者正在杀青eBPF次序代码编写后，通过Clang编译器将其编译成字节码。这些字节码随后会被加载到内核中。正在加载经过中，内核中的eBPF校验器会对践诺指令的安闲性举行反省。校验通事后，字节码将被即时编译（JIT），并正在事故触发时被挪用。当闭系的eBPF代码因事故触发而被践诺时，其逻辑能够践诺数据搜集、统计、采样和记实等操作。正在用户态，通过盘查Map来获取eBPF搜集到的数据，从而进一步管束和剖判这些讯息。

　　正在范例的容器搜集计划中，当拜望Kubernetes集群外部搜集时，平时正在节点出口举行SNAT（源地方搜集地方转换）。这种法子会导致正在集群外部搜集涌现格外时，难以正确定位到整个的交易Pod。正在举行职能剖判时，常用的处置计划是正在运用层操纵APM（运用职能拘束）器材，然而，这种法子对交易具有侵入性，并弥补了交易的繁复性。一个高效的搜集可观测性体系应餍足以下需求：最初，数据搜集须要细粒度。其次，搜集目标应取得巩固，体系应特地搜集常睹差池和格外场景的目标。末了，搜集订定解析应做到无侵入性。

　　体系题目紧要能够分为以下几类：CPU更动、内存分派拘束、文献操作及IO拜望。对付CPU更动，跟着新颖机械中的CPU核数逐步弥补，CPU架构日趋繁复，须要对CPU的更动状况举行监控。正在内存分派拘束方面，须要对内存缓存的操纵状况、内存申请延迟以及内存接受经过举行细粒度的监测。对付文献操作，须要搜集闭系文献操作的延迟数据。

　　·Agent以Daemonset的格式摆设到每台机械上，担负搜集目标以及监听的IP和端口的元讯息；

　　·Cluster Agent以集群的格式摆设，担负整合目标和监听的IP和端口元讯息，造成容器到容器的拜望Metric；

　　·Topology Compute是一个存储的消费端，担负消费Metric形成拓扑图数据。

　　搜集目标包罗四层搜集目标和七层运用层订定目标。四层搜集目标涵盖了TCP的收发带宽、TCP RTT均匀和最大延迟等。而七层运用层目标涉及HTTP、Redis、MySQL等订定的乞求、差池和延迟目标。四层目标紧要用于根柢举措的搜集监控。通细致粒度的搜集目标能够感知容器之间互访的搜集质料，举行搜集带宽审计，识别并绘制出容器之间的交易依赖联系，造成交易依赖拓扑。另外，这些目标还能够记实交易容器的搜集拜望踪迹，助助创造潜正在的安闲危害并举行影响评估。七层运用层目标则用于交易监控，平时用于观测交易的牢固性以及无侵入的交易挪用拓扑剖判。

　　Agent担负从内核的eBPF次序的Metric Map中提取整个的TCP目标，以及监听的IP和端口等原始讯息。这些原始数据须要进一步与交易数据举行相干管束。正在原始数据搜集经过中，涉及的时间重心如下：

　　（1）TCP连合会话跟踪。紧要维持一个以socket为键的Map，用于记实与socket对应的监控元数据。

　　（2）内核conntrack跟踪。紧要用于将进程NAT转换后的IP地方和端口还原为切实的地方和端口，确保数据准确相干到相应的交易。

　　（3）目标跟踪。Metric Map紧要用于记实点对点粒度的搜集监控数据，蕴涵各类TCP目标。

　　（4）TCP端口监听跟踪。紧要用来记实机械监听的IP和端口以及容器的对应联系，这有助于更好地举行元数据剖判，蕴涵分辩是否为客户端或办事端。

　　目标搜集须要正在区别的hook点上达成，整个的目标项和对应的hook点如下外所示。搜集到的原始数据将由Agent凭据交易元讯息举行进一步巩固，增添更众的交易讯息到目标的标签中，以简单交易的检索和剖判。

　　七层运用订定目标搜集供给了精简形式和精美形式。精简形式聚焦于运用粒度的乞求QPS、差池率和乞求延时等目标，错误订定举行更细粒度的剖判。精美形式则将这些目标正确到运用的乞求途途粒度，如HTTP订定精美到URL级别。如下图所示，七层运用订定目标搜集和四层TCP目标搜集的达成格式大致不异，区别点正在于七层订定目标估量的hook点正在tcp_sendmsg和tcp_recvmsg。另外，精美形式的特地订定解析将消费更众的资源。

　　正在容器原生搜集目标的根柢上，本文特地搜集豪爽的体系深度目标，这些目标正在交易层面具有较高的价格，外2是片面紧要搜集的体系深度目标的讲明：

　　eBPF次序正在内核中基于事故触发运转，不行避免地带来极少开销，从而影响交易职能。为了长远清晰eBPF次序对交易职能的影响，本文针对众种场景举行了周密测试。凭据测试结果，平时状况下，交易延迟弥补正在1%-10%之间，CPU的特地消费正在5%-15%之间。当然，倘若开启更精美的搜集，开销也会相应弥补。

　　以下是一个整个测试场景的数据，供参考。该场景采取了最常睹的Nginx办事，操纵wrk器材模仿区别的乞求压力形象，比照了开启和闭塞eBPF探针状况下，Nginx办事的乞求延迟和整机CPU均匀操纵率的改变状况。

　　从测试数据能够看出，P99时延从1.85毫秒弥补到1.92毫秒，时延弥补约3.7%。整机CPU均匀操纵率从4.4%上升到5.1%，大约弥补了15%的CPU消费。因为Nginx自身对时延敏锐性较高，这些数据能够行为其他交易评估时的参考根柢。实质上，对付普遍交易，影响平时不会到达如斯明显的水准。

　　图8展现了一个搜集拓扑，显示运用和办事之间的依赖联系和通讯情形。图9展现了运用层目标的无侵入式搜集与图外绘制。对付极少老旧体系，无侵入式搜集格式平时是独一可行的运用拜望数据观测本领。

　　跟着当下新时间运用的长远和行业数字化加快发扬，证券公司对体系牢固性的珍爱明显普及。云平台运维拘束因交易与时间调和而日趋繁复，带来挑拨。践诺解说，基于eBPF的可观测时间是对古板监控本领的有力增加，能够连接其他可观测数据，有助于精准定位和处置题目，晋升运维服从并低落本钱危害，保证体系牢固运转和买卖顺畅举行，鞭策交易改进和发扬。通过及时监测买卖流程中的潜正在格外，提前预警敏捷呼应，删除因体系障碍导致的买卖终止或延迟，巩固客户相信和得志度，为持久稳重发扬供给时间维持。

　　eBPF时间正在血本墟市和证券行业中具有强大道理。通过其可观测时间，证券公司能够及时监测买卖体系的运转，实时创造并处置潜正在题目，低落买卖危害，从而保证连气儿性和安闲性。同时，eBPF时间的运用还能助助行业合适繁复买卖情况和需求，晋升职能和牢固性。另外，eBPF时间还可扩展到搜集效力优化、安闲防护等周围，从而进一步晋升证券行业的科技水准和墟市比赛力。（邦投证券讯息时间委员会软件开荒部李银鹰、沙烈宝、曾东明）