内存飙升但无 OOM？用 eBPF 捕获隐性内存泄漏事件

更多云服务器知识，尽在hostol.com

内存飙升，但系统并没有报错。你看着监控面板，内存使用率逐渐接近满载，日志也没有显现任何“Out of Memory (OOM)”的警告。这种情况是不是让你觉得不太对劲？

就像是一个水龙头开始漏水，你看到水池里的水位渐渐升高，但就是看不见水流出。这种隐性的“内存泄漏”问题，就像是漏水一样，虽然没有显现出崩溃的痕迹，但它迟早会导致系统性能下降，甚至崩溃。问题在于，没有 OOM（Out of Memory）错误，而且日志也看不到直接的错误信息，那么该如何追踪并修复这个问题呢？

这时，eBPF（扩展的伯克利包过滤器）技术就成了你的利器。它能够深入内核层，实时监控系统的内存使用情况，帮助你捕捉到那些隐性的内存泄漏事件。

什么是 eBPF？它如何帮助我们发现内存泄漏？

eBPF 是一种强大的内核技术，可以在不修改内核源码的情况下，动态加载程序并在内核中执行。这些程序可以挂载在操作系统的各个地方，实时监控系统的各项行为，从而进行高效的数据收集和问题诊断。它能够精准地监控内存的分配、释放以及内存使用的情况，提供高效、低开销的性能分析工具。

eBPF 的工作方式，就像是给操作系统装上了一双“千里眼”，可以深入到每个进程、每个函数，捕捉到每一丝异常。

内存泄漏的症状：不报错，但系统表现变差

内存泄漏常常是悄无声息的，特别是在没有 OOM 错误的情况下，很多运维人员并没有意识到问题的严重性。内存泄漏的主要症状包括：

• 内存使用逐渐上升：进程的内存占用不断增加，但并没有报错或崩溃。
• 性能下降：系统响应变慢，尤其是在处理大量请求或高负载时。
• 偶尔出现服务挂掉：服务在某个时间点挂掉，重启后恢复正常，但问题在下次逐渐重现。

为什么内存泄漏会如此隐蔽呢？原因在于它并不会导致直接的 OOM 错误。内存泄漏往往是因为程序在分配内存后，忘记了释放它。内存被分配了，但并没有被回收，导致内存逐渐积累。

通过 eBPF 追踪内存分配与释放

eBPF 的强大之处在于它能够精准地追踪到内存的分配和释放过程。我们可以利用 eBPF 来监控系统中的每一笔内存分配事件，记录内存分配的大小、分配的调用栈以及内存释放的情况。通过这些信息，我们能够识别出内存泄漏的根本原因。

1. 监控 malloc 和 free 调用

在 Linux 系统中，所有的内存分配和释放通常都由 malloc 和 free 函数来处理。通过 eBPF，我们可以在这两个函数调用处挂钩，实时跟踪每一次内存分配和释放的情况。对于每一个 malloc 调用，我们都可以记录下内存分配的大小和堆栈信息；对于每一个 free 调用，我们可以验证该内存是否已被正确释放。

2. 监控内存分配的堆栈

eBPF 还可以帮助我们捕捉每个内存分配事件的调用堆栈，查看到底是哪个函数调用分配了内存，并追溯到代码中。通过这种方式，我们可以定位到内存泄漏的具体位置，识别出未释放的内存是在哪里分配的，帮助我们找出潜在的 bug。

3. 实时告警内存泄漏

通过 eBPF，我们可以设置告警机制，实时监控内存使用情况。当某个进程的内存占用超过预设阈值时，系统可以自动触发告警。这个告警不仅可以帮助我们捕捉到内存泄漏的初期症状，还能及时通知运维人员，防止问题继续恶化。

如何使用 eBPF 检测内存泄漏：实战案例

假设我们有一个高负载的 Web 服务，内存使用逐渐上升，但没有 OOM 错误，性能开始变慢。我们决定使用 eBPF 来追踪内存分配和释放，帮助我们找出内存泄漏的原因。

安装 eBPF 工具

首先，我们需要安装 eBPF 工具，如 BCC（BPF Compiler Collection）。BCC 提供了丰富的 eBPF 工具集，适合监控和分析系统行为。

bash
sudo apt-get install bpfcc-tools linux-headers-$(uname -r)

安装完毕后，我们可以使用 malloc 和 free 跟踪工具来捕捉内存分配事件。

使用 BCC 工具监控内存分配

bash
sudo bpfcc-tools malloc -p PID

这条命令会列出指定进程（通过 PID）的所有内存分配事件，帮助我们追踪内存的分配和释放。

配置 eBPF 进行内存泄漏监控

通过 eBPF 程序，我们可以挂钩 malloc 和 free，并将信息发送到 Prometheus 或 Grafana 中进行实时监控。以下是一个简单的 eBPF 程序示例，用于监控 malloc 和 free 调用：

c
#include <linux/ptrace.h>
#include <linux/sched.h>BPF_HASH(counts, u32, u64);int trace_malloc(struct pt_regs *ctx, size_t size) {u32 pid = bpf_get_current_pid_tgid();u64 *val = counts.lookup_or_init(&pid, &size);if (val) {*val += size;}return 0;
}int trace_free(struct pt_regs *ctx) {u32 pid = bpf_get_current_pid_tgid();u64 *val = counts.lookup(&pid);if (val) {*val -= size;}return 0;
}

这个程序会监控 malloc 和 free 调用，并将每个进程的内存分配量进行统计。

通过 Prometheus 和 Grafana 监控内存使用

一旦内存泄漏被捕捉到，我们可以通过 Prometheus 和 Grafana 来监控内存泄漏的趋势，并设置告警。

在 Prometheus 中，我们可以使用以下查询来查看每个进程的内存分配情况：

promql
rate(memory_alloc_bytes[5m])

这个查询将返回过去 5 分钟内每个进程的内存分配量。

在 Grafana 中，我们可以创建一个面板，展示各进程的内存使用趋势，当某个进程的内存使用超过预设阈值时，触发告警。

为什么 eBPF 是捕捉内存泄漏的最佳选择？

eBPF 让我们能够从内核层面获取实时、低开销的内存使用信息。相比传统的日志分析或调试工具，eBPF 具有以下优势：

• 实时性：eBPF 可以实时捕捉内存分配和释放事件，不会对系统性能造成明显影响。
• 低开销：eBPF 在内核中运行，避免了传统监控工具的上下文切换开销。
• 高精度：通过 eBPF，我们可以获取详细的堆栈信息，帮助我们精准定位内存泄漏问题。

内存泄漏：隐蔽杀手，及时发现至关重要

内存泄漏是一种隐蔽的性能杀手。它不像 CPU 占用过高那样容易发现，而是在后台悄悄地消耗系统资源，直到最终导致性能下降或系统崩溃。eBPF 为我们提供了一种高效、低开销的方式来捕捉和分析内存泄漏事件，使我们能够从根本上解决这一问题。

在高负载的系统中，内存泄漏可能并不会立即导致 OOM 错误，但它逐渐积累的资源浪费将直接影响系统的可用性和响应速度。通过 eBPF，我们可以捕捉到每一个内存分配事件、追踪内存泄漏的根源，并及时采取措施，确保系统的稳定运行。