Inspektor Gadget: クラウド ネイティブ時代の eBPF ツールチェーン フレームワーク

1. Inspektor Gadget とは何ですか?

Inspektor Gadget は、Kubernetes のリソースとアプリケーションをデバッグおよび検査するための強力なツールセットです。同時に、Kubernetes クラスターでの eBPF プログラムのパッケージ化、展開、実行を管理するための一連のツールとガジェットも提供します。これらの eBPF プログラムには、BCC ツールをベースにしたプログラムが多数含まれますが、Inspektor Gadget 専用に開発されたプログラムもいくつかあります。

Inspektor Gadget の設計目標は、Kubernetes クラスターのデバッグとトラブルシューティングのプロセスを簡素化することです。低レベルのカーネル プリミティブを高レベルの Kubernetes リソースに自動的にマッピングすることで、より直感的で高速に関連情報を検索できるようになります。これに基づいて、開発者とオペレーターは、Kubernetes クラスター内のアプリケーションの動作をより簡単に監視および分析できます。

Inspektor Gadget を使用すると、アプリケーション システム コールのトレース、ネットワーク トラフィックの監視、コンテナー間の通信とリソース使用率の分析など、さまざまなタスクを実行できます。eBPF テクノロジーと組み合わせることで、Inspektor Gadget はより深い洞察を提供し、Kubernetes 環境の問題をより深く理解して解決するのに役立ちます。

2. インスペクターガジェットの動作メカニズム

Inspektor Gadget は通常、DaemonSet パターンとして Kubernetes クラスター内の各ノードにデプロイされます。カーネルの eBPF (拡張 Berkeley Packet Filter) ヘルパーは、各 Pod 内のユーザー空間プログラムに関連するシステム コール イベントを監視するために使用されます。 Inspektor Gadget は、各ノードに eBPF プログラムを展開することで、アプリケーションの動作に密接に関連するシステム コール ログ データをキャプチャして収集できます。

具体的には、Inspektor Gadget の eBPF プログラムはカーネル内で実行され、システム コール イベントを監視して関連するログ データを収集します。これらのイベントには、ファイル アクセス、ネットワーク通信、プロセス管理、およびアプリケーションの動作に関連するその他の操作が含まれる場合があります。 eBPF プログラムは、このログ データをカーネルのリング バッファーに保存します。

Inspektor Gadget のユーザー空間ユーティリティは、カーネルのリング バッファーからこのログ データを取得し、ユーザーに表示する役割を担います。これにより、開発者とオペレーターは、各 Pod 内のユーザー空間プログラムに関連付けられたシステム コールに関する詳細な情報を表示および分析して、潜在的な問題を特定し、アプリケーションをデバッグし、パフォーマンスの最適化を実行できるようになります。

以下に示すように、トポロジ アーキテクチャ設計全体を見てみましょう。

上記のトポロジに基づいて、処理メカニズム全体は主に次のもので構成されます。

1. 実行時に Inspektor Gadget eBPF プログラムによって収集されたイベントは、専用のカーネル バッファーに書き込まれます。このバッファは、大量のイベント データを効率的に保存および管理するように設計されています。 Inspektor ガジェットのユーザー空間コンポーネントは、このバッファからイベントを読み取り、「ストリーム」と呼ばれるチャネルに公開する役割を担います。

2. ストリームは、Inspektor Gadget のユーザー スペース コンポーネントによって使用されるデータ フロー メカニズムです。イベント データをリアルタイムまたはほぼリアルタイムで送信および処理できます。 Inspektor ガジェットは、イベントをストリームに公開することで、eBPF プログラムから収集されたイベント データを渡して処理する便利な方法を提供します。

3. これらのイベント データを表示するために、Inspektor Gadget は内部の kubectl exec API インターフェースを使用します。 kubectl exec は、コンテナ内でコマンドを実行するために使用される Kubernetes のコマンドライン ツールです。 Inspektor Gadget はこの API インターフェースを使用して、コンテナー内で実行されているユーザー スペース コンポーネントと通信し、ストリームからイベント データを取得します。

4. イベント データが取得されると、Inspektor Gadget のユーザー スペース コンポーネントは、イベント ログをリアルタイムで表示したり、分析を実行したり、イベント データを他の監視システムに送信したりするなど、さまざまな操作を実行できます。 kubectl exec API との統合により、Inspektor Gadget ユーザー インターフェースの柔軟性と拡張性が向上します。

Gadget Tracer Manager は、実行中のガジェットとコンテナのリストを管理するコンポーネントとして、現在アクティブなガジェットとコンテナのリストを維持します。実行中の各ガジェットは、トレースするコンテナのマウント名前空間識別子を格納する eBPF マップに関連付けられています。これらの識別子は、ガジェットに渡される名前空間、ラベル、Pod 名などのパラメータに基づいて入力されます。

現在実行中のコンテナを把握するために、Gadget Tracer Manager は runc-fanotify テクノロジーを使用します。コンテナの実行中にファイル システムのアクティビティを監視します。 runc-fanotify と統合することで、Gadget Tracer Manager は現在実行中のコンテナに関する情報を取得できるようになります。

上記の情報に基づいて、Gadget Tracer Manager はコレクションにコンテナーを動的に追加または削除できます。つまり、コンテナが開始または停止すると、Gadget Tracer Manager はそれに応じて管理するコンテナのリストを更新できます。この動的管理機能により、Gadget Tracer Manager はコンテナの動作をリアルタイムで追跡および監視できます。

上記のトポロジとリンク要求に基づいて、 Inspektor Gadget には 4 つのコア タスクがあり、それぞれが次のパッケージによって管理されていることがわかります。

1. 曳光弾

アーキテクチャ全体の観点から見ると、Inspektor Gadget の Tracer は、アプリケーションの動作やシステム操作に関連するさまざまなイベントをホストから収集することを主な役割とするコンポーネントです。 eBPF テクノロジーを使用して、プロセスの作成やファイル アクセスなどのイベントを傍受して記録し、その後の分析と検査のためにログ システムに保存します。イベントの収集および記録機能は、アプリケーションのデバッグと最適化のための貴重なデータ ソースを提供します。

2. コンテナコレクション

Container-Collection コンポーネントは、コンテナ情報を使用して、ホスト内のコンテナの作成と削除を追跡し、イベントのコンテキストを充実させます。コンテナ メタデータをイベントに関連付けることで、Inspektor Gadget はより豊富で正確なイベント分析および診断機能を提供できます。コンテナ情報の処理と利用に基づいて、イベント データがより操作しやすく、理解しやすくなります。

3. トレース収集

Inspektor Gadget の Trace-Collection コンポーネントは、Container-Collection によって提供されるコンテナ情報を主に使用して、コンテナによるフィルタリングおよびスクリーニング機能を実装します。これにより、ユーザーはコンテナ識別子やその他の属性に基づいて、イベントのパーソナライズされた分析と監視を実行できます。コンテナに基づいてフィルタリングする機能により、Inspektor Gadget の柔軟性とカスタマイズ性が向上します。

4. 列

列コンポーネントは主に、トラッカーによって生成されたイベントのリスト表現を作成するために使用されます。イベント レコードを解析してフォーマットし、わかりやすい列で表示することで、ユーザーはイベント属性値を簡単に参照、分析、比較できます。このリスト ビューは、効率的なイベント ナビゲーションおよび分析機能を提供し、イベント データの読みやすさと実用性を向上させます。

3. Inspektor Gadgetを実行するための要件

カーネルレベル:

Inspektor Gadget は eBPF を使用して機能を提供し、カーネル バージョンとカーネル構成に応じて異なる eBPF 機能を有効にします。 Inspektor Gadget は、コンパイル、エクスポート、実行 (CO-RE) アプローチに依存しており、実装には BTF (BPF タイプ フォーマット) 情報が必要です。 BTF 情報は複数のソースから収集でき、1 つのソースが利用できない場合は別のソースを試します。

各ソースの詳細な説明は次のとおりです。

1. カーネル BTF: カーネルのコンパイル時に CONFIG_DEBUG_INFO_BTF オプションが有効になっている場合、/sys/kernel/btf/vmlinux パスの下に BTF 情報が公開されます。

2. ガジェット コンテナ イメージ: Inspektor Gadget は BTFGen を使用して、いくつかの既知のカーネル バージョンの BTF 情報を生成し、それをガジェットのコンテナ イメージに含めます。

3. BTFHub のダウンロード: 上記の 2 つのソースが利用できない場合、nspektor ガジェットはBTFHub から BTF 情報をダウンロードしようとします。

カーネルが CO-RE をサポートしていない場合は、BCC (BPF コンパイラ コレクション) に基づくツールを提供する Inspektor Gadget の古いバージョン (例: v0.21.0-bcc) を使用することをお勧めします。

すべてのガジェットが実行時に正常に動作するには、次の条件を満たす必要があることに注意してください。

1. CONFIG_BPF=y: カーネル構成オプション。 BPF (Berkeley Packet Filter) 機能が有効になっていることを確認する必要があります。 BPF は、カーネル内で特定のプログラムを実行して、パケットやシステム コールなどをフィルタリングおよび操作できるようにする柔軟なカーネル テクノロジです。

2. CONFIG_BPF_SYSCALL=y: BPF システム コール サポートが有効になっていることを確認するために必要なカーネル構成オプション。 BPF システム コールは、ユーザー空間プログラムとカーネル BPF プログラム間の対話のためのインターフェイスであり、ユーザー空間プログラムが BPF プログラムをロードして実行できるようにします。

3. CONFIG_DEBUG_INFO_BTF=y: これは、BTF (BPF タイプ フォーマット) に関連するカーネル構成オプションです。 BTF は、カーネル内のデータ構造と型を記述するために使用されるデバッグ情報形式です。ホスト カーネルの BTF 情報が BTFHub でサポートされていない場合 (つまり、「BTFHub からダウンロードできない」場合)、ガジェットが必要な BTF 情報にアクセスできるようにするために、このオプションを有効にする必要があります。

Kubernetes プラットフォーム レベル:

コンテナのランタイムレベル:

Inspektor Gadget のインストールと設定は比較的簡単です。ご興味がございましたら、公式ドキュメントを参照してください。