手动更新 Amazon EKS 资源的安全代理 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

手动更新 Amazon EKS 资源的安全代理

当您手动管理 GuardDuty 安全代理时,您自行负责为账户更新安全代理。如需获得新代理版本的通知,您可以订阅 GuardDuty 安全代理发行版本 RSS 源。

您可以将安全代理更新到最新版本,以受益于新增的支持和改进。如果您当前的代理版本已接近标准支持结束日期,则要继续使用运行时监控(或 EKS 运行时监控),则必须更新到下一个可用版本或最新的代理版本。

先决条件:。

在更新安全代理版本之前,请确保您当前计划使用的代理版本与您的 Kubernetes 版本兼容。有关更多信息,请参阅 GuardDuty 安全代理支持的 Kubernetes 版本

Console

  1. 从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home#/clusters

  2. 选择集群名称

  3. 集群信息下,选择附加组件选项卡。

  4. 附加组件选项卡下,选择 GuardDuty 运行时监控

  5. 选择编辑以更新代理详细信息。

  6. 配置 GuardDuty EKS 运行时监控页面上,更新详细信息。

  7. (可选)更新可选配置设置

    如果您的 EKS 附加组件版本1.5.0 或更高版本,则还可以更新附加组件配置架构。

    1. 展开可选配置设置以查看配置架构。

    2. 根据配置 EKS 附加组件参数中提供的范围更新参数值。

    3. 选择保存更改以开始更新。

    4. 对于冲突解决方法,如果将参数的值更新为非默认值,则将使用您选择的选项来解决冲突。有关所列选项的更多信息,请参阅《Amazon EKS API 参考》中的 resolveConflicts

API/CLI

要更新 Amazon EKS 集群的 GuardDuty 安全代理,请参阅更新插件

注意

对于附加组件 version,如果您选择 1.5.0 或更高版本,则运行时监控支持配置 GuardDuty 代理的特定参数。有关参数范围的信息,请参阅配置 EKS 附加组件参数

在使用 1.5.0 及更高版本附加组件支持的可配置值时,可以使用以下 Amazon CLI 示例。务必要将以红色突出显示的占位符值以及相关的 Example.json 替换为配置的值。

aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.11.0-eksbuild.2 --configuration-values 'file://example.json'
例 Example.json
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

如果您的 Amazon EKS 附加组件版本为 1.5.0 或更高版本,并且您已配置了附加组件架构,则可以验证为集群显示的值是否正确。有关更多信息,请参阅 验证配置架构更新