导读 已经加强支持了Kubernetes、Prometheus的Sysdig,近日宣布开始支援AWS Kubernetes EKS服务,而Sysdig这次发布的产品整合,同时将监控解决方案Sysdig Monitor、容器安全工具Sysdig Secure推上EKS环境。在AWS上个月发布EKS正式版后,已经有一大波独立软体供应商宣布支持,例如New Relic、Datadog、HashiCorp、JFrog、Twistlock及Rancher等。

在Sysdig Monitor当中,总共有二个重要内部功能。首先是ContainerVision功能,在每个主机上都会部署一个代理人程序,方便使用者监控基础架构内容器、微服务的运行情形,并且整理成Metrics。第二个功能是ServiceVision,该服务原生整合Kubernetes,可以搜集容器调度程序所产生的中介资料,「搭配这两项技术,可以判断集群现在何处功能异常必须排除,或者当下发生的安全事件。 」Sysdig表示,企业用户的EKS环境的容器、微服务会产生上千个不同的标签资料,而该公司提供的平台,可以将这些标签信息,按照虚拟化资源(如AWS EC2)、容器化资源(Kubernetes节点、Pod)分成两大类,让基础架构管理员更加掌握公有云环境发生的大小事。

要在EKS环境导入Sysdig解决方案,必须先准备容器代理程序,打包成Docker容器后进行部署,而利用Kubernetes内部的DaemonSet,系统可以确保每个执行Pod的集群,都有部署Sysdig。当系统管理员新增了监控、安全代理节点后,系统也会自动将它们安插至集群。

这一次产品发布,Sysdig平台下的许多功能,现在也都推上了EKS环境。首先是在今年3月发布的Spotlight功能,在系统完成基础架构扫描的任务后,Spotlight会自动发布通知,在选单中显示红点,提醒使用者应该要注意的事项。

如果使用者在基础架构中执行许多系统服务,通过Spotlight功能,可以快速检视目前EKS环境中执行的应用,是否都正常运行。

第二个功能是Explore,由于Spotlight主要是满足快速浏览,想要更加深入检视的使用者,Explore服务所提供的观察尺度,从最大范围上至AWS服务区,向下可再细分为集群、Namespace 、Deployment、Pod,最小可至单一容器。而CPU、硬件、记忆体以及网路流量等资料,也都会一并呈现在仪表板中。而系统会将运行状况异常的应用、服务,利用色块标注,方便企业用户更快锁定问题。

而视觉化功能的部分,系统可将使用者部署的服务、容器,根据系统流程,串接成拓扑图,并且一次列出系统回应时间、网路流量、CPU使用率。

另外一个重要的新整合功能,就是Sysdig提供EKS环境的内部仪表板功能,可用来观察Pod健康度、Kubernetes环境等。而开发者也自行修改,让平台只需整理符合内部需求的Metrics。目前仪表板内,总共有三个服务,分别是警报、安全事件,以及纪录(Captures)。

对基础架构维运者而言,监控功能在此类平台相当重要。而Sysdig警报功能,管理员可以自行设定触发条件,例如节点硬件资源已耗尽、Pod故障,或者不法分子在容器中执行未授权应用,都可以触发警报,通过Slack、电子邮件或者PagerDuty,维运人员马上就会收到通知。

再者是安全事件功能,Sysdig会纪录违反EKS环境部署策略的事件,像是未授权用户登入系统,尝试阅读机密文件时,安全团队收到通知后,马上就可以阻挡该存取行为,而Sysdig记录下的事件,也可以供团队进行后续调查。

最后一项则是纪录功能,使用者可以分析系统呼叫、IT环境数据,并且将这些数据与系统发布的警报纪录、安全事件进行连结,拼凑出事件发生的样貌,「即使该容器已经删除、消失,Sysdig也可以提供使用者所需的资料。

原文来自:https://www.kubernetes.org.cn/4320.html

本文地址:https://www.linuxprobe.com/sysdig-aws-kubernetes.html编辑:向云艳,审核员:逄增宝

Linux命令大全:https://www.linuxcool.com/

Linux系统大全:https://www.linuxdown.com/

红帽认证RHCE考试心得:https://www.rhce.net/