【发布时间】:2018-07-26 16:55:36
【问题描述】:
所以BPF 程序是内核实体,因为它们在内核空间中运行。另一方面,Linux 命名空间又名容器,提供应用程序级别的隔离,在这种情况下,它们都共享主机的内核、内核模块等。
所以我想为每个容器加载一个bpf 程序是没有意义的,因为它也会在主机上可见?
因此,我猜想bpf 程序会加载到主机和监视器/mangle/等上。进出命名空间的数据包。鉴于struct sock 有关于命名空间id 的信息,我认为只有某些类型的bpf 程序才能做到这一点?
【问题讨论】:
标签: bpf linux-namespaces ebpf