Если узлы кластера Kubernetes анализируются сканерами безопасности (антивирусными средствами), то может потребоваться их настройка для исключения ложноположительных срабатываний.

Deckhouse Kubernetes Platform (DKP) использует следующие директории при работе (скачать в csv):

  • /mnt/kubernetes-data (master-узел) — существует только в кластерах, развернутых в облаке, когда используется отдельный диск для базы данных etcd.

  • /var/lib/etcd (master-узел) — база данных etcd.

  • /var/lib/deckhouse/ (master-узел) — файлы модулей Deckhouse, динамически загружаемых из хранилища образов.

  • /var/lib/upmeter (master-узел, модуль upmeter) — база данных модуля upmeter.

  • /etc/kubernetes (любой узел) — манифесты статических подов, файлы сертификатов PKI.

  • /var/lib/bashible (любой узел) — файлы настройки узла.

  • /var/lib/containerd (любой узел) — используется для хранения данных, связанных с работой CRI (например, containerd). Содержит слои образов контейнеров, снапшоты файловых систем контейнеров, метаинформацию, логи и другую информацию контейнеров.

  • /mnt/vector-data (любой узел, модуль log-shipper) — служебные данные статуса отправленных журналов.

  • /var/log/containers (любой узел) — журналы контейнеров (при использовании containerd).

  • /var/lib/kubelet/ (любой узел) — файлы настройки kubelet.

  • /opt/cni/bin/ (любой узел) — исполняемые файлы модуля CNI.

  • /opt/deckhouse/bin/ (любой узел) — исполняемые файлы, необходимые для работы Deckhouse.

  • /var/log/pods/ (любой узел) — журналы всех контейнеров подов, запущенных на узле.

  • /etc/cni/ (любой узел) — файлы настройки модуля CNI.

ПО безопасности

KESL

Далее приведены рекомендации по настройке Kaspersky Endpoint Security for Linux (KESL) для обеспечения корректной работы с платформой Deckhouse Kubernetes Platform, независимо от выбранной редакции.

Для обеспечения совместимости с DKP на стороне KESL необходимо отключить следующие задачи:

  • Firewall_Management (ID: 12).
  • Web Threat Protection (ID: 14).
  • Network Threat protection (ID: 17).
  • Web Control (ID: 26).

Список задач может отличаться в будущих версиях KESL.

Убедитесь, что узлы Kubernetes соответствуют минимальным требованиям к ресурсам, указанным для DKP и KESL.

При совместной эксплуатации KESL и DKP может потребоваться оптимизация производительности согласно рекомендациям Kaspersky.