Sandboxing im Linux-Kernel: eBPF bekommt Organisation bei der Linux Foundation

Microsoft, Google, Facebook, Netflix und Isovalent gründen eine Organisation zur Förderung der Technik zum Ausführen von Programmen in einer Sandbox im Kernel.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

(Bild: Isovalent)

Von
  • Rainald Menge-Sonnentag

Die Unternehmen Facebook, Google, Isovalent, Microsoft und Netflix haben die eBPF Foundation unter dem Dach der Linux Foundation gegründet. Die Ankündigung erfolgt kurz vor dem kostenlosen Online-Event eBPF Summit, der am 18. und 19. August 2021 Vorträge zum Einsatz von eBPF bringt

Ursprünglich war eBPF als Firewall-Technik ausgelegt, und das Akronym steht für extended Berkeley Packet Filter. Seine Ursprünge gehen ins Jahr 2014 zurück, als er in den Linux-Kernel einzog. Er baut wiederum, wie der Name vermuten lässt, in den Grundzügen auf dem BPF (Berkeley Packet Filter) auf, der wiederum seine Wurzeln in der BSD-Community hat.

eBPF ermöglicht das Ausführen von Programmen in einer Sandbox im Kernel des Betriebssystems. Entwicklerinnen und Entwickler können auf die Weise Funktionen auf Kernel-Ebene entwickeln und zur Laufzeit im Kernel-Kontext ausführen. Dabei bleibt die Anwendung in der Sandbox von wichtigen Kernel-Funktionen abgeschirmt.

Anwendungsfelder für eBPF sind unter anderem Security, Load-Balancing, und Observability beziehungsweise Tracing. eBPF-Programme laufen Event-getrieben und reagieren unter anderem auf bestimmte Systemaufrufe, Netzwerk-Events, Kernel-Tracepoints oder den Start beziehungsweise das Beenden einer bestimmten Funktion. Die Anwendungen sind in Bytecode geschrieben, den ein JIT-Compiler (Just-in Time) übersetzt.

Mit eBPF lassen sich Anwendungen in einer abgeschirmten Laufzeitumgebung im Kernel ausführen.

(Bild: eBPF.io)

Für die Anwendungen kommen typischerweise Abstraktionsmechanismen wie die BPF Compiler Collection (BCC), bpftrace oder Open-Source-Werkzeug wie Cilium, Katran und Falco zum Einsatz, aber grundsätzlich lassen sich Programme auch direkt in eBPF-Bytecode erstellen.

Die Gründungsmitglieder nutzen eBPF in unterschiedlichen Bereichen. Isovalent bietet eine kommerzielle Variante von Cilium an, Facebook hat unter anderem den 2018 als Open-Source-Projekt veröffentlichten Load-Balancer Katran entwickelt, der in den Rechenzentren des sozialen Netzerwerkbetreibers seit Jahren im Einsatz ist. Google und Microsoft nutzen die Technik auf ihren Cloud-Plattformen.

Für die Google Kubernetes Engine (GKE) hat der Internetriese zudem vor einem Jahr eine neue Dataplane angekündigt, die auf eBPF und Cilium aufbaut. Microsoft hat in diesem Jahr das Projekt eBPF for Windows gestartet, mit dem die Technik auch im hauseigenen Betriebssystem landen soll. Netflix hat mit Flow Exporter ein Observability-Tool auf Basis von eBPF am Start.

Weitere Details lassen sich der offiziellen Pressemitteilung der Linux Foundation, dem Isovalent-Blog und der Mitgliederseite der eBPF Foundation entnehmen. Informationen zu dem eBPF Summit 2021, der vom 18. bis 19. August online stattfindet und kostenlos ist, finden sich auf der Konferenzseite.

(rme)