本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Fargate (仅限 Amazon ECS)支持的先决条件
验证架构要求
您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 Amazon ECS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。
- 初步考虑因素:
-
您的亚马逊 ECS 集群的 Amazon Fargate (Fargate) 平台必须是 Linux。相应的平台版本必须至少为
1.4.0
、或LATEST
。有关平台版本的更多信息,请参阅《亚马逊弹性容器服务开发人员指南》中的 Linux 平台版本。目前尚不支持 Windows 平台版本。
经过验证的平台
操作系统分布和 CPU 架构会影响 GuardDuty安全代理提供的支持。下表显示了用于部署 GuardDuty安全代理和配置运行时监控的经过验证的配置。
操作系统发行版 | 内核支持 | CPU 架构 | |
---|---|---|---|
x64(AMD64) | Graviton(ARM64) | ||
Linux | eBPF, Tracepoints, Kprobe | Supported | Supported |
提供 ECR 权限和子网详细信息
在启用运行时监控之前,必须提供以下详细信息:
- 为任务执行角色提供权限
-
任务执行角色要求您拥有某些亚马逊弹性容器注册表 (Amazon ECR) Container Registry 权限。您可以使用 Amazonecs TaskExecutionRolePolicy 托管策略,也可以在您的
TaskExecutionRole
策略中添加以下权限:... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...
要进一步限制 Amazon ECR 权限,您可以添加托管其 GuardDuty 安全代理的 Amazon ECR 存储库 URI(仅限 Amazon Fargate Amazon ECS)。有关更多信息,请参阅 上的 GuardDuty 代理存储库 Amazon Fargate (仅限 Amazon ECS)。
- 在任务定义中提供子网详细信息
-
您可以在任务定义中提供公有子网作为输入,也可以创建 Amazon ECR VPC 终端节点。
-
使用任务定义选项 — 运行《亚马逊弹性容器服务 UpdateServiceAPI 参考》中的CreateService和 API 需要您传递子网信息。有关更多信息,请参阅《亚马逊弹性容器服务开发者指南》中的 Amazon ECS 任务定义。
-
使用 Amazon ECR VPC 终端节点选项 — 提供指向 Amazon ECR 的网络路径 — 确保托管 GuardDuty 安全代理的 Amazon ECR 存储库 URI 可通过网络访问。如果您的 Fargate 任务将在私有子网中运行,那么 Fargate 将需要网络路径来下载容器。 GuardDuty
有关启用 Fargate 下载容器的信息,请参阅亚马逊弹性 GuardDuty 容器服务开发者指南中的将 Amazon ECR 与 Ama zon ECS 配合使用。
-
CPU 和内存限制
在 Fargate 任务定义中,您必须在任务级别指定 CPU 和内存值。下表显示了任务级 CPU 和内存值的有效组合,以及容器的相应 GuardDuty 安全代理最大内存限制。 GuardDuty
CPU 值 | 内存值 | GuardDuty 代理最大内存限制 |
---|---|---|
256 (.25 vCPU) |
512 MiB、1 GB、2GB |
128MB |
512 (.5 vCPU) |
1GB、2GB、3GB、4GB |
|
1024 (1 vCPU) |
2 GB、3 GB、4 GB |
|
5 GB、6 GB、7 GB、8 GB |
||
2048 (2 vCPU) |
4GB 到 16GB 之间 (以 1GB 为增量) |
|
4096 (4 vCPU) |
介于 8 GB 到 20 GB 之间,以 1 GB 为增量 |
|
8192 (8 vCPU) |
在 16 GB 到 28 GB 之间,以 4 GB 为增量 |
256 MB |
介于 32 GB 到 60 GB 之间,以 4 GB 为增量 |
512MB |
|
16384 (16 个 vCPU) |
32 GB 到 120 GB 之间(以 8 GB 为增量) |
1 GB |
启用运行时监控并评估集群的覆盖状态是否为 “正常” 后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 在 Amazon ECS 集群上设置监控。
下一步是配置运行时监控并管理安全代理。有关更多信息,请参阅 启用运行时监控。