云原生环境中每台机器(或虚拟机)只有一个内核,所有运行在该机器上的容器都共享同一个内核,内核了解主机上运行的所有应用代码。通过对内核的检测,基于eBPF可以同时检测在该机器上运行的所有应用程序代码。当将eBPF程序加载到内核并将其附加到事件上时,它就会被触发,而不考虑哪个进程与该事件有关。eBPF能够对基于广泛的可能来源的可视化事件的定制指标进行收集和核内聚合。
基于eBPF在操作系统内核特性优势,与OpenTelemetry结合实现云原生观测数据收集处理的架构,极大增强云原生环境可观测性能力。基于eBPF的可观测性架构如下图所示:
基于eBPF的容器运行时检测如下图所示:
2024年1月6-30日,第六届CSA认证年度集训全面启动,深入学习云安全、云渗透、数据安全与零信任。
项目组组长:王亮
原创作者:高巍、陈磊、浦明、郑伟、申屠鹏会、杨文宏、刘刚、李卓嘉
研究协调员:罗智杰、闭俊林
感谢以下单位的支持与贡献:
安易科技、绿盟、中国工商银行、天翼云、京东
(以上排名不分先后)
本文作者:王亮,安易科技云安全架构师
原文始发于微信公众号(国际云安全联盟CSA):CSA发布 | 云原生可观测性技术研究与应用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论