したがってBPF、プログラムはカーネル空間内で実行されるため、カーネル エンティティです。一方、コンテナーとも呼ばれる Linux 名前空間は、アプリケーション レベルの分離を提供します。この場合、それらはすべてホストのカーネル、カーネル モジュールなどを共有します。
bpfホスト上でも見えるようになるので、コンテナごとにプログラムをロードするのは意味がないと思いますか?
bpfしたがって、プログラムはホストとモニター/マングルなどにロードされると思います。名前空間との間のパケット。struct sock名前空間 ID に関する情報があるとすれば、特定の種類のプログラムだけがbpfそれを実行できると思いますか?