Запуск sysdig на миникубе - PullRequest
Новая
       20

Запуск sysdig на миникубе

0 голосов
/ 14 мая 2019

Я пытаюсь запустить sysdig в моем локальном кластере kubernetes, который я использую, используя minikube с kvm2 в качестве vm-драйвера. Я новичок в sysdig и хотел найти системные вызовы, выполняемые модулем.

Моя команда:

sudo sysdig k8s.ns.name=default or k8s.pod.name=algorithm

Модули работали (я проверял), но никаких системных вызовов не поступало.

Я проверил с помощью команды kubectl description, было ли пространство имен правильным; что это такое. Так что я не уверен, где это идет не так. Может случиться так, что sysdig ничего не найдет, потому что minikube использует вышеупомянутую виртуальную машину. Если это так, я не уверен, как запустить sysdig внутри него.

Заранее спасибо

1 Ответ

0 голосов
/ 14 мая 2019

Если вы правильно настроили Sysdig Журнал аудита Kubernetes должен работать.

Sysdig Secure позволяет пользователям создавать правила безопасности Falco на основе потока событий аудита Kubernetes, интегрируя ведение журнала аудита Kubernetes с агентом Sysdig. Это позволяет пользователям отслеживать изменения, внесенные в кластер, в том числе:

  • Создание и уничтожение модулей, служб, развертываний, наборов демонов и т. Д.
  • Создание / обновление / удаление карт конфигурации или секретов
  • Пытается подписаться на изменения в любой конечной точке

Документы гласят, что Sysdig поддерживает Minikube от 0.33.1 и более поздних версий, используя драйвер Virtualbox по умолчанию .

Чтобы включить ведение журнала аудита в Minikube, необходимо:

  1. Клонировать / скачать репозиторий: https://github.com/draios/sysdig-cloud-scripts.

    Хранилище содержит следующие соответствующие файлы:

    • k8s_audit_config/audit-policy.yaml

      Подробнее о настройке событий аудита, передаваемых агенту, см. В документации Kubernetes .

    • k8s_audit_config/[webhook-config.yaml.in](http://webhook-config.yaml.in/)

    • k8s_audit_config/enable-k8s-audit.sh

  2. Запустите следующую команду в каталоге sysdig-cloud-scripts/k8s_audit_config, чтобы ввести необходимые значения в файл [webhook-config.yaml.in](http://webhook-config.yaml.in/):

    AGENT_SERVICE_CLUSTERIP=$(kubectl get service sysdig-agent -o=jsonpath={.spec.clusterIP}) envsubst < webhook-config.yaml.in > webhook-config.yaml

  3. Запустите сценарий enable-k8s.sh, чтобы включить поддержку журнала аудита на сервере apiserver:

    bash ./enable-k8s-audit.sh minikube

...