Aya项目中cgroup_skb程序使用bpf_probe_read助手的限制分析

在Aya项目的最新开发分支中，开发者发现了一个关于cgroup_skb类型eBPF程序的限制问题。当尝试在这种类型的程序中使用bpf_probe_read助手函数时，会触发验证器错误，导致程序加载失败。

问题现象

开发者在使用cgroup_skb类型的eBPF程序时，尝试通过以下代码获取当前任务的tgid：

struct task_struct *task = get_current_task();
pid_t tgid = BPF_CORE_READ(task, tgid);

这段代码在Aya的最新发布版本中可以正常工作，但在当前的主开发分支中却会失败。错误信息显示验证器拒绝了程序加载，原因是"program of this type cannot use helper bpf_probe_read#4"。

技术背景

cgroup_skb是eBPF程序的一种类型，它附加到cgroup的skb（socket buffer）钩子上，用于监控和控制网络数据包。这类程序在Linux内核的网络栈中执行，通常用于实现网络策略、流量统计等功能。

bpf_probe_read是一个常用的eBPF助手函数，它允许程序安全地读取内核内存。BPF_CORE_READ宏实际上就是基于bpf_probe_read实现的，用于方便地进行结构体字段的读取。

问题分析

通过bisect定位，这个问题与Aya项目中的一个特定提交相关，该提交修改了特性探测相关的代码。虽然这个提交表面上只是修改了特性探测逻辑，但它可能间接影响了程序加载时的验证行为。

在eBPF中，不同类型的程序允许使用的助手函数集合是不同的。内核验证器会根据程序类型来限制可用的助手函数。cgroup_skb程序通常被限制只能使用与网络操作相关的助手函数，而bpf_probe_read这类内存访问助手可能不在其允许范围内。

解决方案

对于需要在cgroup_skb程序中读取内核数据的情况，可以考虑以下几种替代方案：

1. 使用bpf_probe_read_kernel代替bpf_probe_read（如果可用）
2. 将需要读取的数据通过map或其他机制提前准备好
3. 考虑将这部分逻辑移到其他类型的eBPF程序中

Aya项目团队已经计划将这个案例作为集成测试的一部分，以确保未来不会出现类似的回归问题。

总结

这个案例提醒我们，在开发eBPF程序时需要注意程序类型对助手函数的限制。即使是看似无害的修改，也可能因为影响验证行为而导致程序无法加载。对于需要跨多种程序类型复用的代码，应该特别注意助手函数的兼容性问题。