Kubernetes 環境は動的であり、Runtime Security のパフォーマンスへの影響は、特定の環境で実行されるワークロードとクラスタに適用されるルールセットの両方に依存します。このトピックでは、異なるノードサイズに対する推奨リソース構成を記録します。
Runtime Securityのパフォーマンスは、全体のシステムコールの数と、クラスタのアクティブなランタイムルールをトリガーするシステムコールの数に直接依存します。異なるアプリケーションは、ランタイムセキュリティに対するシステムコールの量とリソース使用量の影響が異なります。以下の表は、トレンドマイクロのテスト環境に基づいた推奨設定であり、実際の環境に応じて調整が必要な場合があります。以下の表のすべての値は、指定されたサイズの単一ノードに対するものです。
|
Node 環境
|
リソースの種類
|
ファルコリクエスト
|
ファルコ制限
|
スカウトのリクエスト
|
スカウト制限
|
|
CPU: 1 vCPU
メモリ: 4.0 GiB
|
CPU
|
100m
|
200m
|
100m
|
200m
|
|
メモリ
|
256Mi
|
512Mi
|
256Mi
|
512Mi
|
|
|
CPU: 4 vCPU
メモリ: 16.0 GiB
|
CPU
|
500m
|
700m
|
100m
|
200m
|
|
メモリ
|
1Gi
|
2Gi
|
256Mi
|
512Mi
|
|
|
CPU: 8 vCPU
メモリ: 32.0 GiB
|
CPU
|
500m
|
1000m
|
100m
|
512m
|
|
メモリ
|
2Gi
|
4Gi
|
512Mi
|
700Mi
|
一般 Sizing Guidance
ほとんどのコンポーネントについてはデフォルトのサイズ設定を維持し、上記の表の推奨事項に従ってFalcoおよびScoutリソースのみを調整し、Helmチャート内でオーバーライドファイルを使用して調整することをお勧めします。持続的なOut Of Memory (OOM)キルの問題が発生した場合は、Container SecurityのKubernetesシステム要件に記載されている要件を満たすために、クラスタに追加のリソースを割り当てることを検討してください。
お使いのインスタンスが上記のサイズと異なる場合、Falco と Scout のリソース制限を以下のように設定することをお勧めします:
-
インスタンスの総vCPUとメモリの12.5%をFalcoに割り当てます。
-
FalcoがOut of Memory(OOM)問題のために頻繁に再起動している場合、メモリ割り当てを段階的にインスタンスの総メモリの最大25%まで増やしてください。この閾値を超えると、インスタンス上の他のアプリケーションのパフォーマンスに悪影響を及ぼす可能性があります。
-
Scout の CPU とメモリの制限を Falco に設定された制限の半分に設定します。