基于eBPF的云原生可观测性开源项目Kindling之慢系统调用

网友投稿 220 2022-10-05

基于eBPF的云原生可观测性开源项目Kindling之慢系统调用

​​【视频回放】Kindling之慢调用实现​​

背景

系统调用是内核提供给用户的功能接口,在我们的系统中,通常会运行许多系统调用,其中有很多系统调用是由我们的用户程序来触发的(比如C语言中的printf()函数,实际会触发底层的write()系统调用)。在绝大多数情况下,系统调用可以在很短的时间内执行完成并且返回,但是在某些情况下, 系统调用可能会执行的比较慢,从而成为我们进程运行时的瓶颈。​

对于这些执行较慢的系统调用我们可以分为两类,一类是在一定时间内执行完成,但是执行时间过长的系统调用,我们可以称之为慢系统调用;另一类是在一定时间内一直未返回的系统调用,我们称之为超时系统调用。在Kindling中,我们实现了对于这两类系统调用的捕获和分析,并将其报告给上层用户,以便用户洞察系统调用的情况。​

实现原理​

内核空间eBPF捕获系统调用​

首先,我们可以使用eBPF技术通过内核提供的rawsyscalls目录下的tracepoint来捕获所有系统调用的入口和出口(sysenter对应系统调用的入口,sysexit对应系统调用的出口),可在`/sys/kernel/debug/tracing/events/rawsyscalls/`中看到该tracepoint的具体信息。​

图1 sys_enter tracepoint的format信息​

我们通过该tracepoint捕获所有系统调用,并将每一个系统调用关联到具体的线程上,发送至用户空间进行进一步处理。​

用户空间关联系统调用时间信息​

慢系统调用​

对于一个系统调用而言,它有一个enter和一个exit(所有系统调用都只有一个trap,不会出现堆栈序列的enter和exit),我们可以在系统调用enter时获取当前时间戳,然后在exit时再获取当前时间戳,此时两个时间戳的差值就是该系统调用的实际执行时长,在Kindling中,我们将该值称为一个慢系统调用的latency。​

图2 慢系统调用实现示意​

超时系统调用​

对于超时的系统调用,它们在一段时间范围内并未返回,因此我们无法获取到系统调用的exit信息,目前kindling采取的策略是维护一个以tid为key,syscall信息为value的map,当有系统调用进入时,在map做一次标记,然后我们会定时去扫描这个map,如果发现map中有超时的系统调用则立即将该系统调用标记为超时系统调用。​

图3 超时系统调用实现示意​

demo测试​

这里我们写一个简单的demo来测试一下我们所捕获到的慢系统调用 ,我们写一个最简单的调用nanosleep()系统调用的例子,让进程睡眠3秒钟,我们可以在运行的Kindling输出日志中看到捕获到的信息:​

我们可以看到,Kindling捕获到了该系统调用,并给出了其类型,执行时长以及TID、PID等具体信息。​

总结​

首先,我们通过eBPF技术和内核提供的系统调用tracepoint捕获了所有的系统调用数据,然后把系统调用与线程信息做了关联,然后我们在用户空间对系统调用的enter和exit进行了latency的计算以判断是否为慢系统调用,特别的是,对于那些超时的系统调用,我们无法直接计算latency,采取了使用map标记系统调用入口并定时扫描map的策略,从而完成对于超时系统调用的捕获。

​Kindling是一款基于eBPF的云原生可观测性开源工具,旨在帮助用户更好更快的定界云原生系统问题,并致力于打造云原生全故障域的定界能力。

Kindling项目地址: ​​Kindling​​​

关注我们

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Java贪心算法超详细讲解
下一篇:从技术全景到场景实战,透析「窄带高清」的演进突破
相关文章

 发表评论

暂时没有评论,来抢沙发吧~