面试题答案
一键面试工具及技术
- Sysdig
- Prometheus + Grafana
- Runtime Security Tools(如 runc 安全选项、seccomp)
- Kubernetes Security Features
基本原理
- Sysdig:通过内核探针(如 eBPF)收集系统调用和内核事件数据。它在内核空间运行,对应用程序的性能影响极小。可以实时监控容器内进程的系统调用活动,检测异常行为,例如尝试访问敏感文件或进行不寻常的网络连接。
- Prometheus + Grafana:Prometheus 通过在容器中部署 Exporter 来收集指标数据,如 CPU 使用率、内存使用量、网络流量等。这些指标数据反映容器运行状态。Grafana 则用于可视化这些数据,设置阈值警报,实时展示容器的运行时状态,当指标超出正常范围可及时通知运维人员。
- Runtime Security Tools:
- runc 安全选项:runc 是容器运行时的标准工具。通过配置文件可以设置诸如限制容器对宿主机资源访问权限,限制容器内进程可执行的系统调用等。例如,通过 seccomp 配置文件限制容器内进程只能执行特定的系统调用,防止恶意进程执行危险操作。
- seccomp:基于 Linux 内核特性,它通过过滤系统调用,限制进程可以执行的系统调用集合。当容器内进程发起系统调用时,seccomp 规则会检查该调用是否在允许列表内,不在则阻止,从而保障容器运行时安全。
- Kubernetes Security Features:
- Pod Security Policies(PSP):定义了 Pod 运行的安全标准,如允许的宿主机卷挂载、特权容器的使用等。Kubernetes 会根据 PSP 规则对创建的 Pod 进行校验,不符合规则的 Pod 无法创建,从 Pod 创建层面保障安全。
- Admission Controllers:在 API Server 接收到创建、更新 Pod 等请求时,Admission Controllers 介入。可以实现自定义的准入逻辑,例如对容器镜像进行安全扫描,只有通过扫描的镜像才能被使用,实时阻止不安全的镜像运行在容器中。