samedi 22 novembre 2025 à 13h
Conférence/atelier sur eBPF
eBPF (Extended Berkeley Packet Filter) est une technologie clé du noyau Linux qui permet d'exécuter du code sécurisé, vérifié et ultra-rapide directement dans le kernel - sans le modifier ni le redémarrer.
Grâce à son moteur de bytecode et à son système de hooks, eBPF donne la possibilité d'observer, analyser et interagir avec le comportement du système en temps réel.
Initialement conçu pour le filtrage réseau, eBPF s'est transformé en infrastructure universelle d'extension du noyau.
Aujourd'hui, il est utilisé pour :
🕵️ L'observabilité : avec des outils comme bcc ou bpftrace, on peut tracer les syscalls, suivre les latences, profiler les applications et comprendre le comportement du kernel sans instrumentation intrusive.
🛡️ La sécurité : eBPF renforce la surveillance des processus, détecte les comportements anormaux, et complète SELinux ou AppArmor via des politiques dynamiques (ex : Cilium Tetragon).
🚀 La mise en réseau : Cilium ou Katran exploitent eBPF pour router, filtrer et charger le trafic à haute performance, directement au niveau du kernel, en contournant les limites d'iptables.
📊 La performance système : il devient possible d'identifier les goulets d'étranglement CPU, I/O ou mémoire en production, sans reboot ni surcharge notable.
En résumé, eBPF est devenu le couteau suisse moderne du kernel Linux - combinant la puissance du mode noyau avec la flexibilité du mode utilisateur.
Source : https://linuxmaine.prg
Source : message reçu le 27 octobre 19h