第30关 k8s容器运行时安全监控 - Falco

------> 课程视频同步分享在今日头条B站

大家好,我是博哥爱运维。

我们前面讲到prometheus监控、K8S集群事件监控kube-eventer,这些都只是资源使用层面上的监控,对于集群的安全层面监控,我们也需要做好监控手段,避免类似黑客木马入侵事件发生。

这节课博哥给大家带来Falco

  • Falco是什么:一个容器和Kubernetes的运行时安全监控工具
  • Falco的主要功能:实时检测异常活动和配置问题,输出警报

https://falco.org/zh-cn/docs/

部署文档

shell 复制代码
# helm3 install(可选项)
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update

# 创建namespace
kubectl create ns falco

# 下载好离线 helm chart包
wget https://github.com/falcosecurity/charts/releases/download/falco-3.8.7/falco-3.8.7.tgz

# 一键式helm命令安装Falco
# 正式安装需要去掉  --dry-run --debug
helm -n falco install falco ./falco-3.8.7.tgz --set falco.jsonOutput=true --set falco.json_output=true --set falco.http_output.enabled=true --set falco.http_output.url=http://falco-falcosidekick:2801/ --set falcosidekick.enabled=true --set falcoctl.artifact.install.enabled=false --set falcoctl.artifact.follow.enabled=false --dry-run --debug


# 用nc启动一个webhook模拟服务端(可选项)
nc -l 6666

# 配置 falcosidekick 报警输出的 webhook 地址:
kubectl -n falco edit secrets falco-falcosidekick
  #在下面配置(内容是base64编码 http://10.0.1.201:6666)
  WEBHOOK_ADDRESS: aHR0cDovLzEwLjAuMS4yMDE6NjY2Ng==

# 卸载
helm -n falco uninstall falco
相关推荐
阿里云云原生1 天前
研发视角的新突破:当 AI Coding 工具集成全域运维诊断,排查线上故障只需 3 分钟
云原生
小猿姐2 天前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
阿里云云原生2 天前
AgentTeams 和 Claude Tag 都进入群聊模式,是新范式还是新叙事?
云原生·agent
阿里云云原生3 天前
Higress v2.2.3 发布:正式入驻 CNCF Sandbox,AI Gateway 与 Ingress 迁移能力双向加固
云原生
lichenyang4533 天前
Docker 学习笔记(四):Dockerfile,把项目打成自己的镜像
docker·容器
lichenyang4533 天前
Docker 学习笔记(三):Docker 网络、bridge、子网和容器互通
docker·容器
lichenyang4533 天前
Docker 学习笔记(二):docker run 的参数到底在控制什么?
docker·容器
阿里云云原生4 天前
香港站【企业 AI Agent 工程化实战专场】来啦,邀您7月9日见!
云原生·agent
阿里云云原生4 天前
研发域与运维域的“数字握手”:通过 Agentic Skills 实现 DevOps 全链路自动化
云原生
运维开发故事6 天前
基于 Arthas 的多集群在线诊断系统设计与实现
kubernetes