EBPF: A Transição Essencial do Perf Buffer para o Ring Buffer no Linux 5.8

O ring buffer, introduzido no Linux 5.8, substituiu o legacy perf buffer como o mecanismo recomendado para transferência de dados do kernel para o userspace em programas eBPF. Ele utiliza um único buffer circular compartilhado entre todas as CPUs, em vez de buffers por CPU, eliminando a complexidade de ordenação de eventos entre CPUs e reduzindo o overhead de cópia.

Este artigo explora ambas as implementações em C e Go usando cilium/ebpf, demonstrando como o modelo reserve-and-submit do ring buffer, via bpf_ringbuf_reserve e bpf_ringbuf_submit, oferece um caminho mais simples e de maior throughput em comparação com a abordagem bpf_perf_event_output do perf buffer. Para tooling de segurança construído sobre eBPF tracing, o ring buffer é agora a escolha padrão para streaming de eventos estruturados de monitores de nível de kernel para o userspace. ️