Kubernetes 環境可能是動態的,Runtime Security 的性能影響取決於在給定環境中運行的工作負載和叢集應用的規則集。本主題記錄了針對不同節點大小的推薦資源配置。
Runtime Security 的效能直接取決於整體系統調用的數量以及觸發叢集主動運行時規則的系統調用數量。不同應用程式的系統調用量和資源使用對 Runtime
Security 的影響各不相同。下表是基於趨勢科技測試環境的建議配置,您可能需要根據實際環境進行調整。下表中的所有數值均針對所述大小的單個節點。
|
節點環境
|
資源類型
|
Falco 請求
|
Falco 限制
|
偵察請求
|
Scout 限制
|
|
CPU:1 個 vCPU
記憶體:4.0 GiB
|
CPU
|
100公尺
|
200公尺
|
100公尺
|
200公尺
|
|
記憶體
|
256Mi
|
512Mi
|
256Mi
|
512Mi
|
|
|
CPU:4 vCPU
記憶體:16.0 GiB
|
CPU
|
500公尺
|
700公尺
|
100公尺
|
200公尺
|
|
記憶體
|
1Gi
|
2Gi
|
256Mi
|
512Mi
|
|
|
CPU:8 vCPU
記憶體:32.0 GiB
|
CPU
|
500公尺
|
1000米
|
100公尺
|
512m
|
|
記憶體
|
2Gi
|
4Gi
|
512Mi
|
700Mi
|
一般尺寸指導
我們建議您對大多數組件保持預設大小設定,僅根據上表中的建議調整 Falco 和 Scout 資源,並在 Helm chart 中使用覆蓋文件進行調整。如果您遇到持續的內存不足 (OOM) 問題,請考慮為您的叢集分配更多資源,以確保其符合 Kubernetes 容器安全的系統需求 中列出的要求。
如果您的實例與上述列出的大小不同,我們建議您為 Falco 和 Scout 設定以下資源限制:
-
將您實例總 vCPU 和記憶體的 12.5% 分配給 Falco。
-
如果 Falco 因為記憶體不足 (OOM) 問題而經常重新啟動,請逐步增加記憶體分配,最多可達實例總記憶體的 25%。超過此閾值可能會對實例上的其他應用程式性能產生負面影響。
-
將 Scout 的 CPU 和記憶體限制設置為 Falco 限制的一半。