1.1.2 核心定义与术语

文档摘要

1.1.2 核心定义与术语在 Linux 内核的演进史中，eBPF（extended Berkeley Packet Filter）绝非一次“功能补丁”式的迭代——它是一场静默却彻底的范式迁移。当我们在这一节驻足凝视，真正需要解剖的，不是教科书里那句“可编程的内核数据平面”，而是：一段用户空间编写的 C 代码，如何在不修改内核源码、不加载模块、不触发上下文切换的前提下，被安全地载入内核、被验证器逐字节审查、被 JIT 编译为原生 x8664 或 aarch64 指令，并最终以纳秒级延迟响应一个 socket 的系统调用？这背后没有魔法，只有一套精密咬合的三重齿轮：虚拟机架构的确定性约束、沙箱执行机制的零信任裁决、以及二者在运行时交汇处那毫秒级的验证—编译—挂载流水线。