Kubescape在RHEL 9节点上node-agent启动失败问题分析

问题背景

Kubescape是一款开源的Kubernetes安全合规工具，它通过部署node-agent组件来实现对集群节点的安全监控。近期有用户反馈，在使用Kubernetes集群节点为RHEL 9操作系统时，Kubescape的node-agent组件无法正常启动，而在Ubuntu 22.04节点上则运行正常。

问题现象

当在RHEL 9节点上部署Kubescape v1.18.1版本时，node-agent Pod会持续重启，无法进入健康状态。查看Pod日志可以看到如下关键错误信息：

{"level":"error","ts":"2024-01-31T18:45:57Z","msg":"error starting exec tracing","error":"creating tracer: attaching exit tracepoint: cannot create bpf perf link: permission denied"}
{"level":"fatal","ts":"2024-01-31T18:45:57Z","msg":"error starting the container watcher","error":"starting app behavior tracing: creating tracer: attaching exit tracepoint: cannot create bpf perf link: permission denied"}

根本原因分析

经过深入调查，发现该问题与RHEL 9内核版本中的eBPF功能实现有关。具体表现为：

1. node-agent依赖的eBPF功能在RHEL 9内核(5.14.0-362系列)中存在缺陷
2. 当node-agent尝试创建BPF性能链接时，内核返回权限拒绝错误
3. 该问题在Ubuntu 22.04节点上不会出现，因为其使用的内核版本不同

影响范围

该问题影响以下环境配置：

• 操作系统：RHEL 9.x系列(包括RHEL 9.3)
• 内核版本：5.14.0-362系列
• Kubescape版本：v1.18.1及可能更早版本
• 类似发行版：Rocky Linux等RHEL衍生版本

解决方案

目前有以下几种解决方案：

1. 升级内核版本

可以安装较新的长期支持(LTS)内核版本，如6.1.x系列。具体步骤：

1. 添加ELRepo仓库
2. 安装kernel-lt软件包
3. 重启系统并使用新内核

2. 等待官方内核修复

Red Hat团队已经识别该问题并提交了修复补丁。用户可以联系Red Hat支持团队了解补丁发布时间表。

3. 临时解决方案

对于非生产环境，可以考虑：

• 禁用node-agent组件
• 使用Ubuntu等不受影响的操作系统作为节点

技术细节

该问题的本质是RHEL 9内核中BPF性能链接创建机制的实现存在缺陷。Kubescape的node-agent组件依赖eBPF技术来实现容器行为监控，当它尝试创建BPF性能链接时，内核错误地拒绝了该操作，即使容器具有足够的权限。

最佳实践建议

1. 在生产环境部署前，应在测试环境验证Kubescape与节点操作系统的兼容性
2. 关注Kubescape和操作系统供应商的安全公告
3. 考虑使用支持eBPF功能更完善的内核版本
4. 对于关键业务系统，建议采用经过充分验证的操作系统和内核组合

总结

Kubescape在RHEL 9节点上的node-agent启动失败问题是由特定内核版本的eBPF实现缺陷引起的。用户可以选择升级内核、等待官方修复或采用临时解决方案。这个问题凸显了安全工具与底层操作系统深度集成时可能遇到的兼容性挑战，建议在部署前进行充分测试。