1.2 关键特性与价值

文档摘要

1.2 关键特性与价值在Linux内核演进的漫长岁月里，系统可观测性、网络策略执行与安全策略注入，长期困囿于一个根本性矛盾：既要深入内核执行逻辑，又要避免编译耦合、重启风险与维护黑洞。传统内核模块（LKM）虽能直达硬件与调度核心，却如一把双刃剑——一次未校验的指针解引用，足以让整机坠入不可恢复的panic深渊；一次策略变更，意味着漫长的编译、签名、部署与服务中断。而用户态代理（如iptables userspace helper、sidecar proxy）则像隔着毛玻璃看世界：它能看到报文，却无法感知socket生命周期的毫秒级启停；它能记录连接建立，却无法回答“这个TCP重传究竟被哪个cgroup限速、被哪条tc qdisc丢弃、又是否触发了内核的memcg OOM killer？