Kubernetes でノードの Taint を確認するときに「一覧する」コマンドがなくて困るときがある．--show-labels オプションのように --show-taints オプションがあったら良いのに！例えば kubectl describe node xxx | grep Taints コマンドを実行すれば「ノードごとに」確認することはできるけど，ノードが多いと面倒だったりする．今回は個人的に使っているコマンド例をまとめる．もっとイイ Tips があったら教えて欲しいのだ💡

コマンド例

最初にコマンド例をまとめておく．実際に調べると -o custom-columns を使うコマンドもあれば -o go-template や -o jsonpath を使うコマンドもある．また kubectl コマンドに依存せず jq でまとめるコマンドもある．普段使いをするためにあまり複雑にしたくなく，今回は -o custom-columns を使うコマンドと jq を使うコマンドを紹介する．

# -o custom-columns を使う
$ kubectl get nodes -o custom-columns=NAME:.metadata.name,TAINTS:.spec.taints

# jq を使う
$ kubectl get nodes -o json | jq '.items[]|{name:.metadata.name, taints:.spec.taints}'

フォーラムにも関連するスレッドがあった．

discuss.kubernetes.io

動作確認

今回は kind を使って構築した Kubernetes クラスタを使う．

$ kubectl get nodes
NAME                 STATUS   ROLES           AGE   VERSION
kind-control-plane   Ready    control-plane   15m   v1.24.0
kind-worker          Ready    <none>          15m   v1.24.0
kind-worker2         Ready    <none>          15m   v1.24.0
kind-worker3         Ready    <none>          15m   v1.24.0

あくまでサンプルとして kind-worker2 と kind-worker3 に Taint を付けておく．

$ kubectl taint nodes kind-worker2 gpu=true:NoSchedule
node/kind-worker2 tainted

$ kubectl taint nodes kind-worker3 gpu=true:NoSchedule
node/kind-worker3 tainted

-o custom-columns を使うと以下のように Taint を確認できる．map 表記だったりするけど，シンプルだと思う．

$ kubectl get nodes -o custom-columns=NAME:.metadata.name,TAINTS:.spec.taints
NAME                 TAINTS
kind-control-plane   [map[effect:NoSchedule key:node-role.kubernetes.io/master] map[effect:NoSchedule key:node-role.kubernetes.io/control-plane]]
kind-worker          <none>
kind-worker2         [map[effect:NoSchedule key:gpu value:true]]
kind-worker3         [map[effect:NoSchedule key:gpu value:true]]

jq を使うと縦長にはなるけど，結果としてはわかりやすく確認できる．やはり jq は便利！

$  kubectl get nodes -o json | jq '.items[]|{name:.metadata.name, taints:.spec.taints}'
{
  "name": "kind-control-plane",
  "taints": [
    {
      "effect": "NoSchedule",
      "key": "node-role.kubernetes.io/master"
    },
    {
      "effect": "NoSchedule",
      "key": "node-role.kubernetes.io/control-plane"
    }
  ]
}
{
  "name": "kind-worker",
  "taints": null
}
{
  "name": "kind-worker2",
  "taints": [
    {
      "effect": "NoSchedule",
      "key": "gpu",
      "value": "true"
    }
  ]
}
{
  "name": "kind-worker3",
  "taints": [
    {
      "effect": "NoSchedule",
      "key": "gpu",
      "value": "true"
    }
  ]
}

次は kind-worker3 に Taint を追加する．

$ kubectl taint nodes kind-worker3 spot=true:PreferNoSchedule
node/kind-worker3 tainted

-o custom-columns を使うと以下のように Taint を確認できる．右に長くなってしまうけどまだ許容範囲だと思う．

$ kubectl get nodes -o custom-columns=NAME:.metadata.name,TAINTS:.spec.taints
NAME                 TAINTS
kind-control-plane   [map[effect:NoSchedule key:node-role.kubernetes.io/master] map[effect:NoSchedule key:node-role.kubernetes.io/control-plane]]
kind-worker          <none>
kind-worker2         [map[effect:NoSchedule key:gpu value:true]]
kind-worker3         [map[effect:PreferNoSchedule key:spot value:true] map[effect:NoSchedule key:gpu value:true]]

Taint を追加しても jq だとわかりやすく確認できる．

$ kubectl get nodes -o json | jq '.items[]|{name:.metadata.name, taints:.spec.taints}'
{
  "name": "kind-control-plane",
  "taints": [
    {
      "effect": "NoSchedule",
      "key": "node-role.kubernetes.io/master"
    },
    {
      "effect": "NoSchedule",
      "key": "node-role.kubernetes.io/control-plane"
    }
  ]
}
{
  "name": "kind-worker",
  "taints": null
}
{
  "name": "kind-worker2",
  "taints": [
    {
      "effect": "NoSchedule",
      "key": "gpu",
      "value": "true"
    }
  ]
}
{
  "name": "kind-worker3",
  "taints": [
    {
      "effect": "PreferNoSchedule",
      "key": "spot",
      "value": "true"
    },
    {
      "effect": "NoSchedule",
      "key": "gpu",
      "value": "true"
    }
  ]
}

関連記事

kakakakakku.hatenablog.com

Re:VIEW で catalog.yml に設定するファイルの分割粒度は「章単位 (Chapter)」になっている．しかし，文章量が増えてくると運用面で「節単位 (Section)」にファイルを分割したくなってくることもある．例えば，以下のように「1章（1節）」と「2章（2節）」と「3章（3節）」でファイルを分割して catalog.yml に設定できる（できるにはできる...）．

PREDEF:

CHAPS:
  - chapter1.re
  - section1-1.re
  - chapter2.re
  - section2-1.re
  - section2-2.re
  - chapter3.re
  - section3-1.re
  - section3-2.re
  - section3-3.re

APPENDIX:

POSTDEF:

でも実際にビルドをして PDF を確認すると，@<chap> や @<img> を使った参照があると採番がズレてしまう．例えば @<chap>{chapter3} で参照すると catalog.yml で6番目なので 第6章 と表示されてしまう．また，2018年に関連する issue も出ている．

github.com

解決案💡

Re:VIEW で「節単位」に分割したファイルをビルドするために，一時的に .re ファイルを「章単位」にまとめてからビルドをする解決案を考えた．変更点は大きく以下の3点ある．

1. config.yml

まず，config.yml に contentdir を設定して，ビルド対象ディレクトリをデフォルトの . から ./build に変更する．./build ディレクトリはビルド専用になるため .gitignore にも追加してコミット対象外にしておく．

contentdir: ./build

2. catalog.yml

次に catalog.yml を変更する．実際に 1.re や 2.re はなく，「章単位」にまとめたファイル名を指定している．まとめる作業は次に紹介する Makefile を使って実行する．

PREDEF:

CHAPS:
  - 1.re
  - 2.re
  - 3.re

APPENDIX:

POSTDEF:

3. Makefile

最後は Makefile を作る．正確に言えば Makefile である必要性はなく build.sh など適当にスクリプトを実装しても OK！簡単に言うと「章単位」にまとめたファイルを ./build ディレクトリにリダイレクトしている．<(echo) を使っているのは .re ファイル同士をまとめるときに空行を含めないと @<chap> や @<img> を使った参照ができなかったという理由がある．あくまで実装例として！

SHELL := $(shell which bash)

build:
    mkdir -p build
    cat chapter1.re <(echo) \
        section1-1.re > build/1.re
    cat chapter2.re <(echo) \
        section2-1.re <(echo) \
        section2-2.re > build/2.re
    cat chapter3.re <(echo) \
        section3-1.re <(echo) \
        section3-2.re <(echo) \
        section3-3.re > build/3.re
    rake pdf

準備ができたら make build を実行すればビルドできる．注意点は「章単位」でまとめるため @<chap>{3} などビルド後の ID を使うところ！確認すると @<chap> や @<img> を使った参照も期待した通りに動いている．やったー👏

$ make build

ビルド確認まで終われば，後は GitHub Actions などで make build を実行すれば OK！詳しくは以下の記事を見てもらえれば！

kakakakakku.hatenablog.com

Kubernetes でコンテナワークロードの脅威検出として使える「Falco」に入門する．CNCF (Cloud Native Computing Foundation) で Incubating に位置しているプロジェクトで，今回は実際に Falco を使って Pod に対する操作（振る舞い）を検出したり，独自ルールを作る．Falco はコンテナに限らず，ホスト側のプロセスも監視できる．

falco.org

インストールをする 🦅

以下の検証環境を使う．ドキュメントに書いてある Ubuntu の手順をそのまま使って，ワーカーノードに簡単に Falco v0.31.1 をインストールできた．また Helm を使って Kubernetes 上に Falco を DaemonSet としてインストールをする選択肢もある．Falco は日本語ドキュメントがとても充実しててイイ✨

• Kubernetes v1.23.0
• ワーカーノード : Ubuntu 20.04.3 LTS

node01 $ curl -s https://falco.org/repo/falcosecurity-3672BA8F.asc | apt-key add -
node01 $ echo "deb https://download.falco.org/packages/deb stable main" | tee -a /etc/apt/sources.list.d/falcosecurity.list
node01 $ apt-get update -y
node01 $ apt-get -y install linux-headers-$(uname -r)
node01 $ apt-get install -y falco

node01 $ systemctl start falco
node01 $ systemctl status falco

falco.org

/etc/falco を確認すると falco.yaml（設定ファイル）や falco_rules.yaml（ルール）や falco_rules.local.yaml（独自ルール）など Falco 関連のファイルがあった．

node01 $ ls -l /etc/falco
total 200
-rw-r--r-- 1 root root  12400 Mar  9 17:20 aws_cloudtrail_rules.yaml
-rw-r--r-- 1 root root  11384 Mar  9 17:20 falco.yaml
-rw-r--r-- 1 root root   1136 Mar  9 17:20 falco_rules.local.yaml
-rw-r--r-- 1 root root 133017 Mar  9 17:20 falco_rules.yaml
-rw-r--r-- 1 root root  27287 Mar  9 17:20 k8s_audit_rules.yaml
drwxr-xr-x 2 root root   4096 Apr 16 12:14 rules.available
drwxr-xr-x 2 root root   4096 Mar  9 17:42 rules.d

動作確認をする 🦅

まず，動作確認をする．今回は Pod（コンテナ）に対してシェル接続が発生したことを検出する．運用上必要になる場面以外では不正な操作の可能性があり，検出できるのは便利だと思う．さっそく kubectl run コマンドを使って nginx Pod を起動して，kubectl exec コマンドを使って Pod にシェル接続をする．

controlplane $ kubectl run nginx --image nginx:1.21
pod/nginx created

controlplane $ kubectl exec -it nginx -- sh
# 

syslog を確認すると A shell was spawned in a container with an attached terminal という振る舞いが検出されている．container_id や image など，詳細情報も確認できる．

• container_id=aaee21e42016
• image=docker.io/library/nginx

node01 $ grep falco /var/log/syslog
（中略）

Apr 16 14:00:00 node01 falco: 14:00:00.000000000: Notice A shell was spawned in a container with an attached terminal (user=kc-internal user_loginuid=-1 nginx (id=aaee21e42016) shell=sh parent=runc cmdline=sh terminal=34817 container_id=aaee21e42016 image=docker.io/library/nginx)

設定ファイルを確認する 🦅

まず /etc/falco/falco.yaml を確認すると Falco で検出した結果を syslog に出力する設定になっている．

# Send information logs to stderr and/or syslog Note these are *not* security
# notification logs! These are just Falco lifecycle (and possibly error) logs.
log_stderr: true
log_syslog: true

次に /etc/falco/falco_rules.yaml を確認すると，A shell was spawned in a container からはじまる今回検出された振る舞いがルールとして設定されている．

- rule: Terminal shell in container
  desc: A shell was used as the entrypoint/exec point into a container with an attached terminal.
  condition: >
    spawned_process and container
    and shell_procs and proc.tty != 0
    and container_entrypoint
    and not user_expected_terminal_shell_in_container_conditions
  output: >
    A shell was spawned in a container with an attached terminal (user=%user.name user_loginuid=%user.loginuid %container.info
    shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository)
  priority: NOTICE
  tags: [container, shell, mitre_execution]

ルールを一部変更する 🦅

検証のため /etc/falco/falco_rules.yaml を直接変更して，output として tag=%container.image.tag（コンテナイメージタグ）と pod_name=%k8s.pod.name（Pod 名）を追加する．以下のドキュメントを読むと，Falco は他にも多くのフィールドをサポートしている．

falco.org

- rule: Terminal shell in container
  desc: A shell was used as the entrypoint/exec point into a container with an attached terminal.
  condition: >
    spawned_process and container
    and shell_procs and proc.tty != 0
    and container_entrypoint
    and not user_expected_terminal_shell_in_container_conditions
  output: >
    A shell was spawned in a container with an attached terminal (user=%user.name user_loginuid=%user.loginuid %container.info
    shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository tag=%container.image.tag pod_name=%k8s.pod.name)
  priority: NOTICE
  tags: [container, shell, mitre_execution]

Falco を再起動して，もう一度 kubectl exec コマンドを使って Pod にシェル接続をする．

node01 $ systemctl restart falco

controlplane $ kubectl exec -it nginx -- sh
# 

すると期待した通りに tag と pod_name も確認できるようになった．

• tag=1.21
• pod_name=nginx

node01 $ grep falco /var/log/syslog
（中略）

Apr 16 14:00:00 node01 falco: 14:00:00.000000000: Notice A shell was spawned in a container with an attached terminal (user=kc-internal user_loginuid=-1 nginx (id=aaee21e42016) shell=sh parent=runc cmdline=sh terminal=34817 container_id=aaee21e42016 image=docker.io/library/nginx tag=1.21 pod_name=nginx)

デフォルトマクロ 🦅

Falco ルールの condition には条件が書いてある．今回だと spawned_process や container など，簡易的な表現になっていて，これは Falco の「デフォルトマクロ」と言う．実際に /etc/falco/falco_rules.yaml を確認すると spawned_process（新規プロセスが生成された）や container（コンテナオブジェクトである）というよく使う条件がプリセットされている．

- macro: spawned_process
  condition: evt.type in (execve, execveat) and evt.dir=<

- macro: container
  condition: (container.id != host)

独自ルールを作る 🦅

検証のため，簡単な独自ルールを作る．今回は Pod 上で mkdir コマンドを使って「新規ディレクトリを作ったこと」を検出する．以下のルールを /etc/falco/falco_rules.local.yaml に追加した．

- rule: mkdir_in_container
  desc: mkdir_in_container
  condition: container and mkdir
  output: mkdir_in_container
  priority: NOTICE
  tags: [container, shell]

Falco を再起動して，もう一度 kubectl exec コマンドを使って Pod にシェル接続をしてから mkdir コマンドを実行した．

node01 $ systemctl restart falco

controlplane $ kubectl exec -it nginx -- sh
# mkdir falco
# 

すると，簡単ではあるけど，期待した通りに mkdir コマンドの実行を検出できた．

node01 $ grep falco /var/log/syslog
（中略）

Apr 16 14:00:00 node01 falco: 14:00:00.000000000: Notice mkdir_in_container

まとめ

Kubernetes でコンテナワークロードの脅威検出として使える「Falco」を試した．今回はお手軽に Pod への「シェル接続」と「mkdir コマンドの実行」を検出した．他にも「yum などのパッケージマネージャの実行」や「ホスト側に危険性のあるディレクトリのマウント」などを検出できたりもする．「Docker/Kubernetes 開発・運用のためのセキュリティ実践ガイド」 にも Falco の紹介が載っていて参考になった．

Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド (Compass Booksシリーズ)

• 作者:須田 瑛大,五十嵐 綾,宇佐美 友也
• マイナビ出版

Amazon