快速探索 Tetragon：基于 eBPF 的安全可观察性和执行工具

Tetragon 是一种灵活的安全可观察性和运行时策略执行工具，可直接使用 eBPF 应用策略和过滤，从而减少了监控、进程跟踪以及实时执行策略的开销。
Tetragon 提供了如下功能：

• 监控进程执行
  
• 监控文件操作
  
• 监控网络活动
  
• 执行策略
  

最后一个侧重策略的执行，可以通过发送信号或覆盖系统调用的返回值对重要的安全事件做出反应；前三种侧重监控，并可以将监控数据与容器、Kubernetes 元数据进行关联。

演示

环境

• 操作系统：Ubuntu 20.04
  
• 内核：5.15.122
  
• K8s 集群：k3s v1.27.1+k3s1
  

创建集群

1. export INSTALL_K3S_VERSION=v1.27.1+k3s1
2. curl -sfL https://get.k3s.io | sh -s - --disable traefik --disable local-storage --disable metrics-server --disable servicelb --write-kubeconfig-mode 644 --write-kubeconfig ~/.kube/config

复制代码

部署示例应用

示例应用使用我们在 使用 Cilium 增强 Kubernetes 网络安全 中有用过的”星球大战“的场景。

1. kubectl create -f https://raw.githubusercontent.com/cilium/cilium/v1.15.0-pre.1/examples/minikube/http-sw-app.yaml

复制代码

安装 Tetragon

使用 helm 来安装 Tetragon。

1. helm repo add cilium https://helm.cilium.io
2. helm repo update
3. helm install tetragon cilium/tetragon -n kube-system

复制代码

查看 Tetragon 的组件。

1. kubectl get pod -n kube-system -l app.kubernetes.io/instance=tetragon
2. NAME                                READY   STATUS    RESTARTS   AGE
3. tetragon-operator-f68fdfcf6-jltn2   1/1     Running   0          6m23s
4. tetragon-mh8fp                      2/2     Running   0          6m23s

复制代码

其中 tetragon 是 Daemonset 类型，在每个节点上都会运行其示例。在后面的演示中，我们将使用其获取事件信息。

该命令会使用 pod 中的 tetra CLI 链接 Tetragon 的 daemon server 打印和过滤事件。
-o 支持 json 和 compact：前者打印详细信息，后者打印紧凑的信息
--pods 打印指定 pods 的事件，这里支持正则

1. kubectl exec -ti -n kube-system ds/tetragon -c tetragon -- tetra getevents -o compact --pods xwing

复制代码

监控进程执行

我们在 xwing 的 pod 中尝试 curl 发送请求。

1. kubectl exec -ti xwing -- bash -c 'curl -I https://ebpf.io/applications/#tetragon'

复制代码

在 CLI 事件监控中可以看到监控到进行的执行。
[code]
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！