Tetragon eBPF 运行时安全实战:进程/网络/文件策略、与 Falco 的对比2026-04-02·3148 字·15 分钟Kubernetes 运行时安全是传统 EDR 难以覆盖的盲区。Tetragon 用 eBPF 在内核态采集进程、网络、文件和系统调用事件,并能在内核就地阻断攻击动作。本文从架构原理出发,讲解 TracingPolicy 语法、典型攻击检测(反弹 shell、提权、敏感文件访问)、阻断机制、性能开销,以及它与 Falco 的差异。
