KubeSphere 企业版 4.2.0 引入了 WizTelemetry 可观测平台 2.0，重点聚焦网络可观测性。该平台深度融合 eBPF 技术，解决了传统网络监控在代码侵入、视角有限、资源开销和技术栈碎片化等方面的痛点。WizTelemetry 利用 eBPF 的无侵入、全栈、高性能和高安全性优势，提供全景网络拓扑、服务拓扑、服务性能监控及详细的 HTTP 流量日志，帮助用户以前所未有的深度理解和管理其网络基础设施及应用性能。通过 operator、bpfman-daemon 和 bpfconductor-agent 等核心组件，平台实现了 eBPF 程序的可维护性、可扩展性和安全性，为云原生环境提供了高效且易用的网络可观测解决方案。

💡 WizTelemetry 2.0 借助 eBPF 技术，实现了云原生环境中高性能、全链路、零侵扰的网络监控。eBPF 作为一项革命性技术，允许程序在 Linux 内核中安全高效地运行，无需修改内核源码或加载模块，从而克服了传统监控方案中代码侵入、视角受限、资源开销大等挑战。

🌐 平台提供全景网络拓扑和全景服务拓扑，前者通过分析四层网络流量展现节点连接关系、数据流向和 TCP 健康状况，帮助识别网络瓶颈；后者则解析七层 HTTP 流量，展示服务间的 HTTP 流量、依赖关系及通信性能，为业务视角的可观测性提供支持。

📈 WizTelemetry 2.0 还支持对单个服务进行精细化性能监控，涵盖 RED 指标（RPS、Duration、Error Rate）、HTTP 响应吞吐量，并能分析最慢路由 Top 10，帮助用户快速定位并解决性能问题。同时，通过连接跟踪与协议解析，平台能生成包含 full-body 请求响应的详细 HTTP 流量日志，为故障排查提供丰富上下文。

🛠️ 平台的技术架构包含 operator、bpfman-daemon 和 bpfconductor-agent 等核心组件，确保了 eBPF 程序生命周期的可维护性、通过 OCI 镜像管理字节码的可扩展性，以及通过严格验证和签名保障的安全性。数据采集与元数据关联充分，覆盖 Network Flow、TCP Stats、HTTP 指标及日志，并与节点、命名空间、Pod 等上下文维度关联，提供了强大的可视化能力。

引言

随着 KubeSphere 企业版 4.2.0 的正式发布，WizTelemetry 可观测平台 2.0 也同步亮相。作为本次升级中的重磅模块之一，它迅速引发了开发与运维团队的广泛关注。

本系列文章将系统解读 WizTelemetry 的核心能力与落地实践。继前两篇介绍了平台架构与指标日志的深度融合后，本篇作为系列第三篇，将聚焦 WizTelemetry 在网络可观测方面的技术设计与 eBPF 应用实践，展示其如何在云原生环境中实现高性能、全链路、无侵扰的网络监控。

什么是 eBPF？

eBPF（Extended Berkeley Packet Filter）是一项源自 Linux 内核的革命性技术，允许开发者在内核中运行沙盒化程序，无需更改内核源代码或加载内核模块。

eBPF 程序是事件驱动的，当内核或用户程序经过特定的钩子点（hook point）时触发执行。这些钩子点可以包括系统调用、网络事件、内核函数调用等。通过 JIT 编译技术，eBPF 程序可以近乎原生编译代码的速度高效执行。

eBPF 由于其非侵入性、高效率和安全性，正在成为网络、安全和可观测性领域的重要技术基础。

为什么选择基于 eBPF 的网络可观测？

传统网络监控的痛点

代码侵入：许多工具需要修改应用代码，增加了开发和维护的复杂性。

视角有限：传统工具往往只能看到网络的特定层面，无法提供端到端的全景视图。

资源开销大：许多监控解决方案需要占用大量系统资源，尤其在高流量环境中。

技术栈碎片化：不同的监控需求往往需要不同的工具，导致监控生态系统复杂且分散。

eBPF 的独特优势

✅ 无侵入监控：可以在不修改应用代码的情况下，直接从操作系统内核获取数据，实现真正的零侵扰监控。

✅ 全栈可观测：可以观测从应用代码到系统调用、网络协议栈全链路的性能指标。

✅ 高性能低开销：eBPF 程序在内核中高效执行，避免了传统方案中的数据拷贝和上下文切换，大大降低了监控的资源消耗。

✅ 安全性强：eBPF 程序在加载前经过严格的验证，确保不会破坏系统稳定性。

WizTelemetry 网络可观测平台功能

KubeSphere 4.2.0 中的 WizTelemetry 网络可观测平台基于 eBPF 技术，提供了以下核心特性：

1. 全景网络拓扑

自动分析四层网络流量并生成拓扑图：

网络流量节点的连接关系节点间的数据流向与流量速率TCP 健康状况指标：丢包率和重传率

全景网络拓扑不仅可视化了基础设施的整体连接情况，还能帮助运维人员快速识别网络瓶颈和异常点。

2. 全景服务拓扑

基于对七层 HTTP 流量的解析，构建服务级别的拓扑视图，通过服务拓扑可以直观的了解：

集群内的服务之间的 HTTP 流量服务依赖与影响面服务通信性能指标

服务拓扑为开发和运维团队提供了业务视角的可观测性，帮助团队理解服务间的交互模式和性能特征。

3. 服务性能监控

支持对单个服务进行性能监控，包括：

RED 指标（RPS、Duration、Error Rate）HTTP 响应数据吞吐量指标最慢路由 Top 10 分析

服务性能监控帮助用户及时发现性能异常，追踪性能下降的根本原因。

4. HTTP 流量日志

通过连接跟踪与协议解析，提供详细的 full-body 请求响应日志：

请求方法、URL、头部响应状态码与时间请求/响应体大小客户端/服务端元信息

这些详细的 HTTP 日志为故障排查和性能分析提供了丰富的上下文信息。

技术架构

核心组件

WizTelemetry 网络可观测平台主要有以下几个组件构成：

operator：管理 eBPF 应用（K8s CRD）与 bpfman-daemonbpfman-daemon：维护节点上的 eBPF 程序生命周期bpfconductor-agent：管理用户空间 eBPF 程序，提供指标导出和流量日志收集功能

核心特性

可维护性

通过 K8s 自定义资源可以更好的维护 eBPF 程序生命周期，支持筛选程序部署到的节点(kprobe)，筛选程序附加的命令空间、Pod和容器(uprobe)，程序版本控制

可扩展性

以标准 OCI 镜像管理 eBPF 程序字节码，通过K8s 自定义资源可以轻松扩展 eBPF 应用

安全性

只有 bpfman 守护进程（可被严格控制）拥有加载和附加 eBPF 程序所需的特权。eBPF 程序镜像可以被签名以验证字节码的所有权

数据采集与元数据

网络可观测平台采集的数据包括：

Metrics

Network Flow：不同网络端点之间的网络指标，包括：物理节点、容器、Kubernetes Pod、服务等之间

TCP Stats：包括 TCP 丢弃和重传指标

HTTP：包括客户端/服务端的请求和响应指标：Duration, Body Size

Logging

HTTP 日志：包含详细的请求和响应信息的 HTTP 流量日志

元数据维度：

Metrics 和 Logging 在云原生环境都进行了元数据关联，包含：

client/server 节点、namespace、pod_name 等上下文维度

可视化能力

WizTelemetry 网络可观测提供了用户友好的可视化界面，包含：

网络拓扑服务拓扑服务性能监控流量监控HTTP 流量日志

结语

基于 eBPF 的网络可观测技术正在重新定义企业如何理解和管理其网络基础设施及应用性能。相比传统的基于代码插桩的方案，eBPF 技术提供了无侵入、全栈、高性能的可观测能力，使得企业能够以前所未有的深度和广度了解其网络运行状况。

KubeSphere 4.2.0 通过引入 WizTelemetry 网络可观测功能，为用户提供了先进的基于 eBPF 的网络监控能力，进一步增强了 KubeSphere 作为企业级容器平台的全面可观测性解决方案。WizTelemetry 网络可观测旨在通过创新的技术和技术架构，降低网络可观测对应用的侵扰、资源开销与运维复杂度，为企业提供了一个兼具高效性能与易用性的网络可观测平台。

在云原生时代，网络可观测已不再是可选项，而是数字业务成功的必要保障。我们期待与您一起，探索基于 eBPF 的网络可观测的无限可能。