Bulut Yerel Platformları için Güvenlik ve Gözlenebilirlik Bölüm 1
Bulut Yerel Platformları için Güvenlik ve Gözlenebilirlik Bölüm 2
İzleme ve gözlemlenebilirlik, Kubernetes çalışma zamanı güvenliği, yani kapsayıcıların (veya bölmelerin) kapsayıcılar çalıştığında etkin tehditlere karşı korunması için gereklidir.
izleme normal bir aralıktan sapmaları tespit etmek için kullanılan bir sistemdeki önceden tanımlanmış bir dizi ölçümdür. Kubernetes, çeşitli veri tipleri (Pod günlükleri, Ağ akış günlükleri, Uygulama akış günlükleri ve Denetim günlükleri) ve metrikler (Saniyedeki bağlantı sayısı, Saniyedeki paket sayısı, Saniyedeki uygulama istekleri ve CPU ve bellek kullanımı). Bu günlükler ve ölçümler, bilinen hataları belirlemek ve sorunu çözmek için ayrıntılı bilgi sağlamak için kullanılır.
Bir gözlenebilirlik sistem hakkında bilgi sağlar. iç durum Kubernetes kümesindeki bir varlığın. Bu tür içgörüler ve bağlamlar olaylar hakkında, gözlemlenebilirlik ve izleme arasındaki temel farktır. Bunu yapmak için, Kubernetes kümesindeki izleme öğelerinin üzerine bir gözlemlenebilirlik sistemi kurulmalı ve dağıtım durumunun doğru bir temsilini sağlamak için dağıtım düzeyinde veya hizmet düzeyinde ayrıntı düzeyinde veri ve ölçümler toplamalıdır. veya Kubernetes kümesindeki hizmet. Bu, verileri ve ölçümleri kapsül düzeyinde bir ayrıntı düzeyinde toplayan ve raporlayan ve toplu bilgi ve öngörülerden yoksun olan izleme sistemlerinden farklıdır.
Bir gözlemlenebilirlik sistemi, belirli bir bölmenin dağıtımını, çoğaltma kümesini ve hizmetini belirleyebilmeli ve bölmenin ilgili hizmet veya dağıtım için önemini kabul etmelidir. Böyle bir bağlamın sağlanması, belirli bir kapsülden bildirilen olaylara yanıt olarak karar vermede değerli olabilir.
Özellikle Kubernetes kümesindeki mikro hizmet tabanlı bir uygulama dağıtımında, dağıtım düzeyinde veya hizmet düzeyinde ayrıntı düzeyiyle içgörü kazanmanın çeşitli zorlukları vardır. Bu zorluklardan bazıları, mikro hizmet arasındaki eşzamansız iletişimi ve her bir mikro hizmetin birkaç bağımsız uygulamaya hizmet edebilmesini içerir.
Genişletilmiş Berkeley Paket Filtresi (eBPF), altyapıdan uygulamalara kadar zengin gözlemlenebilirliği izlemenize ve oluşturmanıza olanak tanır. Aşağıdaki şekilde gösterildiği gibi, çekirdek veya bir uygulama belirli bir kanca noktasından (sistem çağrısı, işlev giriş/çıkış, çekirdek izleme noktası, ağ olayı vb.) geçtiğinde çekirdekte özel kod çalıştırmanıza izin verir.
Koşma eBPF programları bir dizi kullanarak mümkündür eBPF kancaları Linux çekirdeğinin ağ yığınında desteklenenler. Bu kancaları birleştirerek daha yüksek seviyeli ağ yapıları oluşturulabilir:
- Ekspres Veri Yolu (XDP): Ağ sürücüsü, XDP BPF kancasını takmanın mümkün olduğu en erken noktadır. Ve bir paket alındığında, eBPF programı çalıştırmak için tetiklenir.
- Trafik Kontrolü Giriş/Çıkış: XDP gibi, eBPF programlarını trafik kontrol girişine bağlayarak bir ağ arayüzüne bağlanırlar. XDP ile farkı, eBPF programının, paketin ağ yığını tarafından ilk işlenmesinden sonra çalışacak olmasıdır.
- Soket işlemleri: Başka bir kanca noktası seti, eBPF programını belirli bir gruba bağlayan ve bunları TPC olaylarına göre tetikleyen soket işlemleri kancasıdır.
- Soket gönderme/alma: Soket gönderme/alma kancası, bir TCP soketi tarafından gerçekleştirilen her gönderme işleminde ekli eBPF programlarını tetikler ve çalıştırır.
bu eBPF Haritaları eBPF’nin edinilen bilgileri paylaşmasını ve durumu korumasını sağlayın. Sonuç olarak, eBPF programları, çeşitli veri formatlarındaki verileri korumak ve almak için eBPF Haritalarını kullanabilir. eBPF Haritalarına, hem eBPF programlarından hem de sistem çağrısı yoluyla erişilebilir. kullanıcı alanı uygulamaları. Hash tabloları, Diziler; LRU (En Son Kullanılan); Halka Tamponu; Yığın İzleme ve LPM (En Uzun Önek Eşleşmesi) destek haritalarına örnektir.
Genellikle, eBPF programı C veya Rust ile yazılır ve bir nesne dosyası olarak derlenir. Bu, readelf gibi araçlar kullanılarak analiz edilebilen standart bir Yürütülebilir ve Bağlanabilir Biçim (ELF) dosyasıdır ve hem programın bayt kodunu hem de herhangi bir haritanın tanımını içerir.
Yukarıdaki şekilde gösterildiği gibi, çekirdeğe bir eBPF programı yüklendiğinde, bir olay (şekilde sistem çağrısı) tarafından tetiklenecektir. Olay meydana geldiğinde, ekli eBPF programları yürütülecektir.
eBPF programlarını ekleyebileceğiniz çok çeşitli etkinlikler vardır. Bu, eBPF programlarının aşağıdaki gibi verimli izleme ve gözlemlenebilirlik işlevleri için kullanılmasını sağlar: tehdit savunması ve saldırı tespiti.
