Kaspersky Security для контейнеров 1.2 имеет ряд некритичных для работы приложения ограничений:
Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом CONFIG_DEBUG_INFO_BTF=y. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом.
Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.
Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.
Если на хост-сервере (узле) используется ядро ОС Linux скомпилированное вручную, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_EVENTS=y
CONFIG_NET_CLS_BPF=m
CONFIG_NET_ACT_BPF=m
Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры: CONFIG_BPF_JIT=y CONFIG_HAVE_BPF_JIT=y
Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра data.bpf-filter-priority больше 1.
Мы рекомендуем указывать 5 в значении параметра data.bpf-filter-priority.
Перезапустите поды cilium-agent, чтобы применить указанный параметр.
Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.
Мы рекомендуем ограничить доступ к kube-agent возможностью обмена данными с API сервером Kubernetes. Для этого необходимо применить следующую сетевую политику Kubernetes: