|
12.02.2026
13:30 Uhr
|
eBPF macht den Linux-Kernel sicher programmierbar, was neue Möglichkeiten in den Bereichen Networking, Security und Observability eröffnet hat.
eBPF – die Abkürzung steht für extended Berkley Packet Filter – ermöglicht es, stark kontrollierte Programme in einem sicheren, virtuellen Ausführungsraum direkt im Kernel auszuführen. Vorstellen kann man sich eBPF als eine strikt typisierte, sehr kleine Assembly-Sprache plus Runtime (alternativ auch als VM), die direkt im Linux-Kernel sitzt und es ermöglicht, kleine, kontrollierte Programme an sogenannte „Hook Points“ im Kernel anzuhängen. Diese Programme können Daten inspizieren, aggregieren, modifizieren oder Aktionen auslösen.
Teil von eBPF ist ein sogenannter Verifizierer (englisch Verifier), der die Programme vor ihrer Ausführung auf Korrektheit und Sicherheit prüft, sodass Endlosschleifen, Speicherfehler oder unerlaubte Zugriffe zuverlässig verhindert werden. Nach bestandener Prüfung wandelt ein Just-in-Time-Compiler (JIT-Compiler) die Programme in hochoptimierten Maschinencode um. Diese Funktionsweise macht es möglich, das Kernel- und Systemverhalten ohne Neustart zu erweitern und zu überwachen, ohne den gesamten Kernel neu kompilieren zu müssen oder fehleranfällige Kernel-Module nachzuladen.
Dadurch eignet es sich zum Beispiel für Echtzeitfehlerdiagnosen beim Streaminganbieter Netflix, für Load Balancing bei Meta und zur Abwehr von Angriffen bei Cloudflare. In modernen Kubernetes-gestützten Cloudinfrastrukturen sorgt eBPF für schnelles Routing und die Durchsetzung von Netzwerk-Policies und auf moderneren Androiden überwacht es den Datenverbrauch Ihrer Apps.