Kubernetes-Umgebungen können dynamisch sein, und die Leistungsauswirkung der Laufzeitsicherheit
hängt sowohl von der in einer bestimmten Umgebung ausgeführten Arbeitslast als auch
von den angewendeten Regelwerken des Clusters ab. Dieses Thema dokumentiert die empfohlene
Ressourcenkonfiguration für verschiedene Knotengrößen.
Die Leistung der Laufzeitsicherheit hängt direkt von der Gesamtanzahl der Systemaufrufe
und der Anzahl derjenigen Systemaufrufe ab, die aktive Laufzeitregeln für den Cluster
auslösen. Verschiedene Anwendungen haben unterschiedliche Mengen an Systemaufrufen
und Ressourcennutzungs-Auswirkungen auf die Laufzeitsicherheit. Die folgende Tabelle
zeigt eine empfohlene Konfiguration basierend auf der Testumgebung von Trend Micro,
die Sie möglicherweise an Ihre tatsächliche Umgebung anpassen müssen. Alle Werte in
der folgenden Tabelle gelten für einen einzelnen Knoten der angegebenen Größe.
|
Node-Umgebung
|
Ressourcentyp
|
Falco-Anfragen
|
Falco-Grenzen
|
Scout-Anfrage
|
Scout-Grenzen
|
|
CPU: 1 vCPU
Speicher: 4,0 GiB
|
CPU
|
100m
|
200m
|
100m
|
200m
|
|
Speicher
|
256Mi
|
512Mi
|
256Mi
|
512Mi
|
|
|
CPU: 4 vCPU
Speicher: 16,0 GiB
|
CPU
|
500m
|
700m
|
100m
|
200m
|
|
Speicher
|
1Gi
|
2Gi
|
256Mi
|
512Mi
|
|
|
CPU: 8 vCPU
Speicher: 32,0 GiB
|
CPU
|
500m
|
1000m
|
100m
|
512m
|
|
Speicher
|
2Gi
|
4Gi
|
512Mi
|
700Mi
|
Allgemeine Größenrichtlinien
Wir empfehlen, die Standardeinstellungen für die Größe der meisten Komponenten beizubehalten
und nur die Ressourcen von Falco und Scout gemäß den Empfehlungen in der obigen Tabelle
und innerhalb des Helm-Charts mithilfe der Overrides-Datei anzupassen. Wenn Sie auf anhaltende Out Of Memory (OOM)-Abschaltungen
stoßen, sollten Sie in Betracht ziehen, Ihrem Cluster zusätzliche Ressourcen zuzuweisen,
um sicherzustellen, dass es die in Systemvoraussetzungen für Container Security in Kubernetes aufgeführten Anforderungen erfüllt.
Wenn Ihre Instanz von den oben aufgeführten Größen abweicht, empfehlen wir, die folgenden
Ressourcenlimits für Falco und Scout festzulegen:
-
Weisen Sie 12,5 % der gesamten vCPU und des Speichers Ihrer Instanz Falco zu.
-
Wenn Falco häufig aufgrund eines Out-of-Memory-(OOM)-Problems neu startet, erhöhen Sie schrittweise die Speicherzuweisung bis zu einem Maximum von 25 % des gesamten Speichers der Instanz. Eine Überschreitung dieser Schwelle könnte die Leistung anderer Anwendungen auf der Instanz negativ beeinflussen.
-
Setzen Sie die CPU- und Speicherkontingente von Scout auf die Hälfte des für Falco festgelegten Limits.