在 Amazon EKS 资源上手动安装 GuardDuty 安全代理 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon EKS 资源上手动安装 GuardDuty 安全代理

本节介绍如何首次为特定 EKS 集群部署 GuardDuty 安全代理。在继续本节内容之前,确保您已满足了先决条件并为账户启用了运行时监控。如果您不启用运行时监控,则 GuardDuty安全代理(EKS 附加组件)将无法运行。

选择您的首选访问方法以首次部署 GuardDuty 安全代理。

Console

  1. https://console.aws.amazon.com/eks/home#/ 集群中打开 Amazon EKS 控制台。

  2. 选择集群名称

  3. 选择附加组件选项卡。

  4. 选择获取更多附加组件

  5. 选择插件页面上,选择 Amazon GuardDuty EKS 运行时监控

  6. GuardDuty 建议选择最新的和默认的代理版本

  7. 配置选定插件设置页面上,使用默认设置。如果您的 EKS 附加组件的状态为 “需要激活”,请选择 “激活” GuardDuty。此操作将打开 GuardDuty 控制台,为您的账户配置运行时监控。

  8. 为账户配置运行时监控后,切换回 Amazon EKS 控制台。您的 EKS 插件的状态应变为准备安装

  9. (可选)提供 EKS 附加组件配置架构

    对于附加版本,如果您选择 v1.5.0 或更高版本,则运行时监控支持配置代理的 GuardDuty 特定参数。有关参数范围的信息,请参阅配置 EKS 附加组件参数

    1. 展开可选配置设置,以查看可配置参数及其预期值和格式。

    2. 设置参数。值必须在 配置 EKS 附加组件参数 中提供的范围内。

    3. 选择保存更改,以根据高级配置创建附加组件。

    4. 对于冲突解决方法,如果将参数的值更新为非默认值,则将使用您选择的选项来解决冲突。有关所列选项的更多信息,请参阅《Amazon EKS API 参考》中的 resolveConflicts

  10. 选择下一步

  11. 查看和创建页面上,验证所有详细信息,然后选择创建

  12. 导航回集群详细信息,然后选择资源选项卡。

  13. 您可以查看带有前缀的新窗格aws-guardduty-agent

API/CLI

您可以使用以下任一选项来配置 Amazon EKS 插件代理(aws-guardduty-agent):

  • CreateAddon为你的账户跑步。

  • 注意

    对于附加组件version,如果您选择 v1.5.0 或更高版本,则运行时监控支持配置代理的 GuardDuty 特定参数。有关更多信息,请参阅 配置 EKS 附加组件参数

    对请求参数使用以下值:

    • 对于 addonName,输入 aws-guardduty-agent

      在使用附加版本v1.5.0或更高版本支持的可配置值时,可以使用以下 Amazon CLI 示例。务必要将以红色突出显示的占位符值以及相关的 Example.json 替换为配置的值。

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.9.0-eksbuild.2 --configuration-values 'file://example.json'
      例 Example.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • 有关支持的 addonVersion 的信息,请参阅 安全代理支持的 Kubernetes 版本 GuardDuty

VPC 端点的私有 DNS 名称

默认情况下,安全代理会解析并连接到 VPC 端点的私有 DNS 名称。以下列表提供了端点的私有 DNS 名称:

  • 非 FIPS 端点 – guardduty-data.us-east-1.amazonaws.com

  • FIPS 端点 – guardduty-data-fips.us-east-1.amazonaws.com

Amazon Web Services 区域、us-east-1、将根据您所在的地区而变化。