本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EKS 集群支持的先决条件
本节包含监控 Amazon EKS 资源的运行时行为的先决条件。这些先决条件对于 GuardDuty 代理按预期运行至关重要。满足这些先决条件后,请参见启用 GuardDuty 运行时监控开始监控您的资源。
支持 Amazon EKS 功能
运行时监控支持在亚马逊 EC2实例上运行的 Amazon EKS 集群和亚马逊 EKS 自动模式。
运行时监控不支持带有 Amazon EKS 混合节点的 Amazon EKS 集群以及正在运行的集群 Amazon Fargate。
有关这些 Amazon EKS 功能的信息,请参阅什么是亚马逊 EKS? 在 Amazon EKS 用户指南中。
验证架构要求
您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 EKS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。如果您要手动管理 GuardDuty 代理,请确保 Kubernetes 版本支持当前正在使用的 GuardDuty 代理版本。
经过验证的平台
操作系统分布、内核版本和 CPU 架构会影响 GuardDuty 安全代理提供的支持。内核支持包括eBPF
、Tracepoints
和Kprobe
。对于 CPU 架构,运行时监控支持 AMD64 (x64
) 和 ARM64(Graviton2 及更高版本)。1
下表显示了用于部署 GuardDuty 安全代理和配置 EKS 运行时监控的经过验证的配置。
操作系统分发 2 | 内核版本 3 | 支持的 Kubernetes 版本 |
---|---|---|
Bottlerocket |
5.4、5.10、5.15、6.14 |
v1.23-v1.32 |
Ubuntu |
5.4、5.10、5.15、6.14 |
v1.21-v1.32 |
Amazon Linux 2 |
5.4、5.10、5.15、6.14 |
v1.21-v1.32 |
亚马逊 Linux 2023 5 |
5.4、5.10、5.15、6.14 |
v1.21-v1.32 |
RedHat 9.4 |
5.14 4 |
v1.21-v1.32 |
Fedora 34.0 |
5.11、5、。 |
v1.21-v1.32 |
CentOS Stream 9 |
5.14 |
v1.21-v1.32 |
-
Amazon EKS 集群运行时监控不支持第一代 Graviton 实例,例如 A1 实例类型。
-
对各种操作系统的支持- GuardDuty 已验证运行时监控支持上表中列出的操作发行版。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行,但该 GuardDuty 团队无法保证预期的安全值。
-
对于任何内核版本,都必须将该
CONFIG_DEBUG_INFO_BTF
标志设置为y
(意思是 true)。这是必需的,这样 GuardDuty 安全代理才能按预期运行。 -
目前,在内核版本
6.1
中, GuardDuty 无法生成GuardDuty 运行时监控查找类型与之相关的内容域名系统(DNS)事件。 -
随着 GuardDuty 安全代理 v1.6. AL2 0 及更高版本的发布,运行时监控支持 023。有关更多信息,请参阅 GuardDuty Amazon EKS 资源的安全代理版本。
安全代理支持的 Kubernetes 版本 GuardDuty
下表显示了安全代理支持的 EKS 集群的 Kubernetes 版本。 GuardDuty
亚马逊 EKS 附加 GuardDuty 安全代理版本 | Kubernetes 版本 |
---|---|
v1.10.0(最新——v1.10.0-eksbuild.2) v1.9.0(最新版——v1.9.0-eksbuild.2) v1.8.1(最新——v1.8.1-eksbuild.2) |
1.21-1.32 |
v1.7.0 v1.6.1 |
1.21-1.31 |
v1.7.1 v1.7.0 v1.6.1 |
1.21-1.31 |
v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 |
1.21-1.29 |
v1.3.0 v1.2.0 |
1.21-1.28 |
v1.1.0 |
1.21-1.26 |
v1.0.0 |
1.21 – 1.25 |
某些 GuardDuty 安全代理版本将终止标准支持。
有关代理发行版本的信息,请参阅GuardDuty Amazon EKS 资源的安全代理版本。
CPU 和内存限制
下表显示了 GuardDuty (aws-guardduty-agent
) 的 Amazon EKS 附加组件的 CPU 和内存限制。
参数 | 最小限制 | 最大限制 |
---|---|---|
CPU |
200m |
1000m |
内存 |
256Mi |
1024Mi |
当您使用 Amazon EKS 插件版本 1.5.0 或更高版本时, GuardDuty 可以为您的 CPU 和内存值配置插件架构。有关可配置范围的更多信息,请参阅可配置的参数和值。
启用 EKS 运行时监控并评测 EKS 集群的覆盖状态后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 设置 CPU 和内存监控。
验证组织服务控制策略
如果您设置了服务控制策略(SCP)来管理组织中的权限,请验证权限边界未限制 guardduty:SendSecurityTelemetry
。它是支持跨不同资源类型的运行时监控所必需的。 GuardDuty
如果您是成员账户,则连接到关联的委派管理员。有关为您的组织 SCPs 进行管理的信息,请参阅服务控制策略 (SCPs)。