大家好,我是博哥爱运维。
我们前面讲到prometheus监控、K8S集群事件监控kube-eventer,这些都只是资源使用层面上的监控,对于集群的安全层面监控,我们也需要做好监控手段,避免类似黑客木马入侵事件发生。
这节课博哥给大家带来Falco
- Falco是什么:一个容器和Kubernetes的运行时安全监控工具
- Falco的主要功能:实时检测异常活动和配置问题,输出警报
部署文档
shell
# helm3 install(可选项)
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update
# 创建namespace
kubectl create ns falco
# 下载好离线 helm chart包
wget https://github.com/falcosecurity/charts/releases/download/falco-3.8.7/falco-3.8.7.tgz
# 一键式helm命令安装Falco
# 正式安装需要去掉 --dry-run --debug
helm -n falco install falco ./falco-3.8.7.tgz --set falco.jsonOutput=true --set falco.json_output=true --set falco.http_output.enabled=true --set falco.http_output.url=http://falco-falcosidekick:2801/ --set falcosidekick.enabled=true --set falcoctl.artifact.install.enabled=false --set falcoctl.artifact.follow.enabled=false --dry-run --debug
# 用nc启动一个webhook模拟服务端(可选项)
nc -l 6666
# 配置 falcosidekick 报警输出的 webhook 地址:
kubectl -n falco edit secrets falco-falcosidekick
#在下面配置(内容是base64编码 http://10.0.1.201:6666)
WEBHOOK_ADDRESS: aHR0cDovLzEwLjAuMS4yMDE6NjY2Ng==
# 卸载
helm -n falco uninstall falco