Kubescape在RHEL 9节点上运行Node-Agent失败问题分析

Kubescape作为一款开源的Kubernetes安全合规工具，近期在RHEL 9操作系统节点上运行时出现了Node-Agent组件无法正常启动的问题。本文将深入分析该问题的技术背景、根本原因以及可行的解决方案。

问题现象

当在RHEL 9操作系统上部署Kubescape时，Node-Agent组件会持续重启，无法进入健康状态。通过查看Pod日志，可以发现以下关键错误信息：

{"level":"error","ts":"2024-01-31T18:45:57Z","msg":"error starting exec tracing","error":"creating tracer: attaching exit tracepoint: cannot create bpf perf link: permission denied"}
{"level":"fatal","ts":"2024-01-31T18:45:57Z","msg":"error starting the container watcher","error":"starting app behavior tracing: creating tracer: attaching exit tracepoint: cannot create bpf perf link: permission denied"}

技术背景

Kubescape的Node-Agent组件依赖eBPF(扩展伯克利包过滤器)技术来实现容器运行时监控和安全检测。eBPF是Linux内核中的一项革命性技术，允许用户空间程序在内核中运行沙盒程序，而无需修改内核源代码或加载内核模块。

Node-Agent通过eBPF程序监控容器活动，包括进程执行、网络通信等行为。这需要内核提供相应的支持接口，特别是perf事件子系统，用于将eBPF程序附加到内核跟踪点上。

根本原因分析

经过深入调查，发现问题源自RHEL 9内核(5.14.x版本)中的一个已知缺陷。具体表现为：

1. 内核在创建BPF perf链接时存在权限验证问题
2. 即使容器具有CAP_BPF等必要能力，内核仍会错误地拒绝访问
3. 该问题在标准Ubuntu 22.04内核中不存在，是RHEL 9内核特有的行为

Red Hat内核开发团队已经确认了这个问题，并提交了修复补丁。该补丁预计会包含在未来的RHEL 9内核更新中。

临时解决方案

在等待官方内核修复的同时，用户可以采用以下两种临时解决方案：

方案一：升级到兼容内核

1. 添加ELRepo仓库
2. 安装长期支持(LTS)内核分支
3. 例如6.1.x系列内核已确认可以正常工作

安装后系统信息应显示类似：

Linux localhost.localdomain 6.1.77-1.el9.elrepo.x86_64

方案二：调整安全配置

对于无法升级内核的环境，可以尝试：

1. 检查并调整Pod安全策略
2. 确保Node-Agent容器具有足够的Linux能力
3. 验证SELinux上下文配置

长期建议

对于生产环境，建议：

1. 跟踪Red Hat官方内核更新进度
2. 在测试环境验证新内核后再进行生产部署
3. 考虑将关键节点迁移到已验证兼容的操作系统版本

总结

Kubescape在RHEL 9节点上的运行问题源于内核级别的eBPF支持缺陷。通过理解eBPF技术的工作原理和内核交互机制，我们可以更好地诊断和解决这类深层次系统兼容性问题。建议用户根据自身环境特点选择合适的临时解决方案，并规划长期升级路径。