ഫാൽക്കോ പതിപ്പിന്റെ ഡോക്യൂമെന്റഷൻ ആണ് നിങ്ങൾ കാണുന്നത്: v0.34.1

Falco v0.34.1 ഈ ഡോക്യുമെന്റേഷൻ സജീവമായി പരിപാലിക്കപ്പെടുന്നില്ല. നിങ്ങൾ നിലവിൽ കാണുന്ന പതിപ്പ് ഒരു സ്റ്റാറ്റിക് സ്നാപ്പ്ഷോട്ടാണ്. ഏറ്റവും പുതിയ ഡോക്യൂമെന്റഷന് വേണ്ടി latest version.

ശീർഷകംവിവരണംവെയ്റ്റ്
ഉത്പാദന പരിതസ്ഥിതിഒരു ഉത്പാദന പരിതസ്ഥിതിയിൽ ഫാൽക്കോ കോറിൽ നിർമ്മിച്ച സംയോജനങ്ങൾ3

CoreOS

CoreOS ൽ ഫാൽക്കോ റൺ ചെയ്യാനുള്ള ശുപാർശിത മാർഗ്ഗം അതിൻറെ തന്നെ ഡോക്കർ കണ്ടെയ്നറിനുള്ളിൽ Docker section ലെ ഇൻസ്റ്റാൾ കമാൻഡുകൾ ഉപയോഗിച്ചാണ്. ഈ രീതി ഹോസ്റ്റ് OS ലെ എല്ലാ കണ്ടെയ്നറുകളിലേക്കും പൂർണ്ണമായ ദൃശ്യപരത അനുവദിക്കുന്നു.

ഈ രീതി സ്വപ്രേരിതമായി അപ്ഡേറ്റ് ചെയ്യപ്പെടുന്നു, സ്വപ്രേരിത സജ്ജീകരണവും ബാഷ് പൂർത്തീകരണവും പോലെയുള്ള ചില മികച്ച സവിശേഷതകൾ ഉൾക്കൊള്ളുന്നു, കൂടാതെ ഇത് CoreOS ന് പുറത്തുള്ള മറ്റ് വിതരണങ്ങളിലും ഉപയോഗിക്കാവുന്ന ഒരു പൊതു സമീപനവുമാണ്.

എന്നാലും, ചില ഉപയോക്താക്കൾ CoreOS ടൂൾബോക്സിൽ ഫാൽക്കോ റൺ ചെയ്യാൻ താൽപ്പര്യപ്പെട്ടേക്കാം. ശുപാർശിതമാർഗ്ഗമല്ലെങ്കിൽ പോലും, ഇത് സാധാരണ ഇൻസ്റ്റാളേഷൻ രീതി ഉപയോഗിച്ച് ടൂൾബോക്സിനുള്ളിൽ ഫാൽക്കോ ഇൻസ്റ്റാൾ ചെയ്യുകയും എന്നിട്ട് falco-driver-loader സ്ക്രിപ്റ്റ് സ്വമേധയാ റൺ ചെയ്യുകയും വഴി സാധ്യമാകും:

toolbox --bind=/dev --bind=/var/run/docker.sock
curl -s https://falco.org/script/install | bash
falco-driver-loader

GKE

ഗൂഗിൾ Kubernetes എഞ്ചിൻ ( GKE), അതിൻറെ വർക്കർ നോഡ് പൂളുകൾക്കായുള്ള ഡീഫോൾട്ട് ഓപ്പറേറ്റിങ് സിസ്റ്റമായി കണ്ടെയ്നർ-ഒപ്റ്റിമൈസ്ഡ് OS ( COS) ഉപയോഗിക്കുന്നു. COS, അത് അടിസ്ഥാനമായിരിക്കുന്ന OS ൻറെ ചില ഭാഗങ്ങളിലേക്കുള്ള പ്രവേശനം പരിമിതപ്പെടുത്തുന്ന, മെച്ചപ്പെട്ട സുരക്ഷയുള്ള ഒരു ഓപ്പറേറ്റിങ് സിസ്റ്റമാണ്. ഈ സുരക്ഷാനിയന്ത്രണം കാരണം, സിസ്റ്റം കോളുകൾക്കായി ഇവൻറുകൾ പ്രോസസ്സ് ചെയ്യുന്നതിന് ഫാൽക്കോക്ക് അതിൻറെ കേർണൽ മൊഡ്യൂൾ ചേർക്കാൻ കഴിയില്ല. എന്നാലും, ഫാൽക്കോ എഞ്ചിനിലേക്ക് സിസ്റ്റം കോളുകളുടെ സ്ട്രീം എത്തിച്ചുകൊടുക്കുന്നതിന് eBPF (extended Berkeley Packet Filter) ഉപയോഗപ്പെടുത്താനുള്ള കഴിവ് COS ലഭ്യമാക്കുന്നു.

കുറഞ്ഞ ക്രമീകരണമാറ്റങ്ങളോടെ ഫാൽക്കോക്ക് eBPF ഉപയോഗിക്കാൻ കഴിയും. അങ്ങനെ ചെയ്യുന്നതിന്, FALCO_BPF_PROBE പരിതസ്ഥിതി വേരിയബിൾ ഒരു ശൂന്യമൂല്യമായി സജ്ജമാക്കുക: FALCO_BPF_PROBE="".

eBPF നിലവിൽ GKE ലും COS ലും മാത്രമേ പിന്തുണക്കപ്പെടുന്നുള്ളൂ, എന്നാലും ഇവിടെ ഞങ്ങൾ കൂടുതൽ വിശാലമായ പ്ലാറ്റ്ഫോമുകൾക്കായി ഇൻസ്റ്റാളേഷൻ വിശദാംശങ്ങൾ നൽകുന്നു

നിങ്ങൾക്ക് പ്രോബ് ഫയലിനായി മറ്റൊരു മാർഗ്ഗം വ്യക്തമാക്കണമെന്നുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് നിലനിൽക്കുന്ന ഒരു eBPF പ്രോബിൻറെ മാർഗ്ഗത്തിലേക്ക് `FALCO_BPF_PROBE` സജ്ജമാക്കാവുന്നതുമാണ്.

ഔദ്യോഗിക കണ്ടെയ്നർ ചിത്രങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, ഈ പരിതസ്ഥിതി വേരിയബിൾ സജ്ജമാക്കുന്നത് COS ൻറെ ഉചിതമായ വേർഷനായി കേർണൽ ഹെഡറുകൾ ഡൌൺലോഡ് ചെയ്യാൻ falco-driver-loader സ്ക്രിപ്റ്റിനെ പ്രേരിപ്പിക്കുകയും, എന്നിട്ട് ഉചിതമായ eBPF പ്രോബ് സമാഹരിക്കുകയും ചെയ്യും. മറ്റെല്ലാ പരിതസ്ഥിതികളിലും നിങ്ങൾക്ക് ഇത് ലഭിക്കുന്നതിന് falco-driver-loader സ്ക്രിപ്റ്റിനെ ഈ രീതിയിൽ നിങ്ങൾക്ക് സ്വയം വിളിക്കാവുന്നതാണ്:

sudo FALCO_VERSION="0.34.1" FALCO_BPF_PROBE="" falco-driver-loader

മുകളിലുള്ള സ്ക്രിപ്റ്റ് വിജയകരമായി നടപ്പിലാക്കാൻ,നിങ്ങൾ clang, llvm ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്. നിങ്ങൾ പാക്കേജുകളിൽ നിന്നുമാണ് ഫാൽക്കോ ഇൻസ്റ്റാൾ ചെയ്യുന്നതെങ്കിൽ, നിങ്ങൾ falco systemd യൂണിറ്റ് ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്. ഇനി പറയുന്ന കമാൻഡ് നടപ്പിലാക്കുന്നതിലൂടെ നിങ്ങൾക്ക് ഇത് ചെയ്യാൻ കഴിയും:

systemctl edit falco

ഇത് നിങ്ങളുടെ എഡിറ്റർ തുറക്കും, ഈ ഘട്ടത്തിൽ ഫയലിലേക്ക് ഈ ഉള്ളടക്കം ചേർത്തുകൊണ്ട് നിങ്ങൾക്ക് യൂണിറ്റിനായുള്ള പരിതസ്ഥിതി വേരിയബിൾ സജ്ജമാക്കാവുന്നതാണ്:

[Service]
Environment='FALCO_BPF_PROBE=""'

നിങ്ങൾ installing Falco with Helm എന്നത് ചെയ്യുകയാണെങ്കിൽ, നിങ്ങൾ ebpf.enabled ഓപ്ഷൻ true എന്ന് സജ്ജമാക്കേണ്ടതുണ്ട്:

helm install falco falcosecurity/falco --set ebpf.enabled=true