在本期《The New Stack Makers》中,三位 Falco 项目维护者讲述了这个运行时安全项目是如何发展起来的,以及未来的发展方向。
译自 How Falco Brought Real-Time Observability to Infrastructure,作者 Heather Joslyn。
盐湖城——Falco 的设计旨在解决一个特定问题:如何在运行时获得应用程序的可观测性。
Sysdig 的创始人兼现任 CTO 领导了 Falco 的创建,Falco “是一个能够收集系统核心内核内部正在发生的事件的工具,”在本期《The New Stack Makers》的“On the Road”节目中说道。Sysdig 的高级开发者布道师,以及他的两位同事,加入了我在 11 月在北美 KubeCon + CloudNativeCon 上录制的 Makers 节目中,讨论了 Falco 作为开源项目的演变及其未来的发展方向。
这个运行时可观测性和安全项目于 2 月毕业于云原生计算基金会 (CNCF),六年后它进入了 CNCF 沙箱。它收集的数据包括 pod 名称、命名空间和其他事件元素,然后将它们与规则关联起来。
“它与其他系统真正不同之处在于,我们不做代码库的分析,静态分析,我们所处的镜像,”说道。“我们正在动态收集事件,就像一个流一样,我们正试图尽可能做到实时。”
Sysdig 的高级开源工程师说,该工具使用内核模块直接从内核收集事件。它使用 eBPF 技术来完成其任务。
“最近,我们在 eBPF 方面取得了很大的进展,它使我们能够在内核端拥有更好的安全性,这是最接近操作系统的部分,这里的每个错误都可能比其他应用程序中的错误更严重,”说道。
他还赞扬了 Linux 基金会的工作,这使得安装 Falco 变得更容易,“无需为我们可能运行的所有不同内核版本提供单独的软件包。”
项目维护者希望使 Falco“易于安装在任何环境中,无论系统是新的,还是使用最新技术还是一些旧的稳定版本。我们希望 Falco 几乎涵盖所有内容。”
自 Falco 于 2020 年从沙箱迁移到 CNCF 孵化器以来,项目维护者的重点一直是实现技术成熟度,Sysdig 的开源技术主管经理说道。
他表示,团队遇到的唯一真正障碍是最终实现毕业的过程持续时间太长;团队最终向 CNCF 提供了关于简化未来流程的反馈。
展望未来,Grasso 说,团队专注于两件事。一个是扩展 Falco 的核心功能。“例如,我们正在引入许多选项来自定义规则甚至警报的格式,”他说。“但更重要的是,我们正在扩展用于描述规则的语法。”
路线图上的另一个目标:Falco Talon,一个“Falco 的无代码、量身定制的响应引擎”,Guerra 说。
开源 Talon 于 9 月推出。“在我们组织或生态系统中缺少的部分是反应。因此,我们有很多用于检测、通知和可视化的东西,但缺少一部分,人们很久以前就一直在要求,”他说。
“所以我们引入了一些叫做 Talon 的东西。基本上,你像编写 Falco 一样编写工具,但是将 Falco 警报与操作相关联,触发、修复这些警报,再次,我们试图实时地、在尽可能短的时间内做到这一点。”
查看完整剧集,了解更多关于 Falco 的过去、现在和未来。