Ограничения и предупреждения
03 июля 2024
ID 275679
Kaspersky Security для контейнеров 1.2 имеет ряд некритичных для работы приложения ограничений:
- Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
CONFIG_DEBUG_INFO_BTF=y
. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом. - Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.
Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
- Если на хост-сервере (узле) используется ядро ОС Linux скомпилированное вручную, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_EVENTS=y
CONFIG_NET_CLS_BPF=m
CONFIG_NET_ACT_BPF=m
Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры:
CONFIG_BPF_JIT=y
CONFIG_HAVE_BPF_JIT=y
- Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
- В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра
data.bpf-filter-priority
больше 1.Мы рекомендуем указывать 5 в значении параметра
data.bpf-filter-priority
. - Перезапустите поды cilium-agent, чтобы применить указанный параметр.
- В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра
- Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.
Мы рекомендуем ограничить доступ к kube-agent возможностью обмена данными с API сервером Kubernetes. Для этого необходимо применить следующую сетевую политику Kubernetes:
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
labels:
app: kcs
name: allow-kube-api-to-kube-agent
namespace: {{ $.Release.Namespace }}
spec:
podSelector:
matchLabels:
app: kube-agent
ingress:
- from:
- podSelector:
matchLabels:
component: kube-apiserver
ports:
- protocol: TCP
port: 8443