Amazon EKS 集群支持的先决条件 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EKS 集群支持的先决条件

本节包含监控 Amazon EKS 资源的运行时行为的先决条件。这些先决条件对于 GuardDuty 代理按预期运行至关重要。满足这些先决条件后,请参见启用 GuardDuty 运行时监控开始监控您的资源。

支持 Amazon EKS 功能

运行时监控支持在亚马逊 EC2实例上运行的 Amazon EKS 集群和亚马逊 EKS 自动模式。

运行时监控不支持带有 Amazon EKS 混合节点的 Amazon EKS 集群以及正在运行的集群 Amazon Fargate。

有关这些 Amazon EKS 功能的信息,请参阅什么是亚马逊 EKS?Amazon EKS 用户指南中。

验证架构要求

您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 EKS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。如果您要手动管理 GuardDuty 代理,请确保 Kubernetes 版本支持当前正在使用的 GuardDuty 代理版本。

经过验证的平台

操作系统分布、内核版本和 CPU 架构会影响 GuardDuty 安全代理提供的支持。内核支持包括eBPFTracepointsKprobe。对于 CPU 架构,运行时监控支持 AMD64 (x64) 和 ARM64(Graviton2 及更高版本)。1

下表显示了用于部署 GuardDuty 安全代理和配置 EKS 运行时监控的经过验证的配置。

操作系统分发 2 内核版本 3 支持的 Kubernetes 版本

Bottlerocket

5.4、5.10、5.15、6.14

v1.23-v1.32

Ubuntu

5.4、5.10、5.15、6.14

v1.21-v1.32

Amazon Linux 2

5.4、5.10、5.15、6.14

v1.21-v1.32

亚马逊 Linux 2023 5

5.4、5.10、5.15、6.14

v1.21-v1.32

RedHat 9.4

5.14 4

v1.21-v1.32

Fedora 34.0

5.11、5、。

v1.21-v1.32

CentOS Stream 9

5.14

v1.21-v1.32

  1. Amazon EKS 集群运行时监控不支持第一代 Graviton 实例,例如 A1 实例类型。

  2. 对各种操作系统的支持- GuardDuty 已验证运行时监控支持上表中列出的操作发行版。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行,但该 GuardDuty 团队无法保证预期的安全值。

  3. 对于任何内核版本,都必须将该CONFIG_DEBUG_INFO_BTF标志设置为y(意思是 true)。这是必需的,这样 GuardDuty 安全代理才能按预期运行。

  4. 目前,在内核版本6.1中, GuardDuty 无法生成GuardDuty 运行时监控查找类型与之相关的内容域名系统(DNS)事件

  5. 随着 GuardDuty 安全代理 v1.6. AL2 0 及更高版本的发布,运行时监控支持 023。有关更多信息,请参阅 GuardDuty Amazon EKS 资源的安全代理版本

安全代理支持的 Kubernetes 版本 GuardDuty

下表显示了安全代理支持的 EKS 集群的 Kubernetes 版本。 GuardDuty

亚马逊 EKS 附加 GuardDuty 安全代理版本 Kubernetes 版本

v1.10.0(最新——v1.10.0-eksbuild.2)

v1.9.0(最新版——v1.9.0-eksbuild.2)

v1.8.1(最新——v1.8.1-eksbuild.2)

1.21-1.32

v1.7.0

v1.6.1

1.21-1.31

v1.7.1

v1.7.0

v1.6.1

1.21-1.31

v1.6.0

v1.5.0

v1.4.1

v1.4.0

v1.3.1

1.21-1.29

v1.3.0

v1.2.0

1.21-1.28

v1.1.0

1.21-1.26

v1.0.0

1.21 – 1.25

某些 GuardDuty 安全代理版本将终止标准支持。

有关代理发行版本的信息,请参阅GuardDuty Amazon EKS 资源的安全代理版本

CPU 和内存限制

下表显示了 GuardDuty (aws-guardduty-agent) 的 Amazon EKS 附加组件的 CPU 和内存限制。

参数 最小限制 最大限制

CPU

200m

1000m

内存

256Mi

1024Mi

当您使用 Amazon EKS 插件版本 1.5.0 或更高版本时, GuardDuty 可以为您的 CPU 和内存值配置插件架构。有关可配置范围的更多信息,请参阅可配置的参数和值

启用 EKS 运行时监控并评测 EKS 集群的覆盖状态后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 设置 CPU 和内存监控

验证组织服务控制策略

如果您设置了服务控制策略(SCP)来管理组织中的权限,请验证权限边界未限制 guardduty:SendSecurityTelemetry。它是支持跨不同资源类型的运行时监控所必需的。 GuardDuty

如果您是成员账户,则连接到关联的委派管理员。有关为您的组织 SCPs 进行管理的信息,请参阅服务控制策略 (SCPs)