Amazon EKS 集群支持的先决条件 - Amazon GuardDuty
对 Amazon EKS 功能的支持验证架构要求验证组织服务控制策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon EKS 集群支持的先决条件

本节包含监控 Amazon EKS 资源的运行时行为的先决条件。这些先决条件对于 GuardDuty 代理按预期运行至关重要。满足这些先决条件后,请参阅启用 GuardDuty 运行时监控,开始监控您的资源。

对 Amazon EKS 功能的支持

运行时监控支持在 Amazon EC2 实例上运行的 Amazon EKS 集群和 Amazon EKS 自动模式。

运行时监控不支持带有 Amazon EKS 混合节点功能的 Amazon EKS 集群以及在 Amazon Fargate 上运行的集群。

有关这些 Amazon EKS 功能的更多信息,请参阅《Amazon EKS 用户指南》中的什么是 Amazon EKS?

验证架构要求

您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 接收来自 EKS 集群运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。如果您手动管理 GuardDuty 代理,请确保 Kubernetes 版本支持当前使用的 GuardDuty 代理版本。

经过验证的平台

操作系统发行版、内核版本和 CPU 架构会影响 GuardDuty 安全代理提供的支持。内核支持包括 eBPFTracepointsKprobe。对于 CPU 架构,运行时监控支持 AMD64 (x64) 和 ARM64(Graviton2 及更高版本)1

下表显示用于部署 GuardDuty 安全代理,以及配置 EKS 运行时监控的经过验证的配置。

操作系统发行版2 内核版本3 支持的 Kubernetes 版本

Bottlerocket

5.4、5.10、5.15、6.14

v1.23 – v1.34

Ubuntu

5.4、5.10、5.15、6.14

v1.21 – v1.34

Amazon Linux 2

5.4、5.10、5.15、6.14

v1.21 – v1.34

Amazon Linux 20235

5.4、5.10、5.15、6.14

v1.21 – v1.34

RedHat 9.4

5.144

v1.21 – v1.34

Fedora 34

5.11、5,17

v1.21 – v1.34

Fedora 40

6.8

v1.28 – v1.34

Fedora 41

6.12

v1.28 – v1.34

CentOS Stream 9

5.14

v1.21 – v1.34

  1. Amazon EKS 集群运行时监控不支持第一代 Graviton 实例,例如 A1 实例类型。

  2. 支持多种操作系统:已验证 GuardDuty 能够支持在上表所列操作系统上的运行时监控。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行,但 GuardDuty 团队无法保证预期的安全值。

  3. 对于任何内核版本,都必须将 CONFIG_DEBUG_INFO_BTF 标志设置为 y(含义为 true)。这是必需的,这样 GuardDuty 安全代理才能按预期运行。

  4. 目前,对于内核版本 6.1,GuardDuty 无法生成与 域名系统(DNS)事件 相关的 GuardDuty 运行时监控调查发现类型

  5. 在 GuardDuty 安全代理 v1.6.0 及更高版本发布后,运行时监控支持 AL2023。有关更多信息,请参阅 适用于 Amazon EKS 资源的 GuardDuty 安全代理版本

GuardDuty 安全代理支持的 Kubernetes 版本

下表显示 GuardDuty 安全代理支持的 EKS 集群的 Kubernetes 版本。

Amazon EKS 插件 GuardDuty 安全代理版本 Kubernetes 版本

v1.11.0(最新 – v1.11.0-eksbuild.2)

1.28 – 1.34

v1.10.0(最新 – v1.10.0-eksbuild.2)

1.21 – 1.33

v1.9.0(最新 – v1.9.0-eksbuild.2)

v1.8.1(最新 – v1.8.1-eksbuild.2)

1.21 – 1.32

v1.7.1

v1.7.0

v1.6.1

1.21 – 1.31

v1.6.0

v1.5.0

v1.4.1

v1.4.0

v1.3.1

1.21 – 1.29

v1.3.0

v1.2.0

1.21 – 1.28

v1.1.0

1.21 – 1.26

v1.0.0

1.21 – 1.25

某些 GuardDuty 安全代理版本的标准支持将会终止。

有关代理发行版本的信息,请参阅适用于 Amazon EKS 资源的 GuardDuty 安全代理版本

CPU 和内存限制

下表显示适用于 GuardDuty 的 Amazon EKS 插件(aws-guardduty-agent)的 CPU 和内存限制。

参数 最小限制 最大限制

CPU

200m

1000m

内存

256Mi

1024Mi

使用 Amazon EKS 附加组件版本 1.5.0 或更高版本时,GuardDuty 可以为您的 CPU 和内存值配置附加组件架构。有关可配置范围的更多信息,请参阅可配置的参数和值

启用 EKS 运行时监控并评测 EKS 集群的覆盖状态后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 设置 CPU 和内存监控

验证组织服务控制策略

如果您设置了服务控制策略(SCP)来管理组织中的权限,请验证权限边界未限制 guardduty:SendSecurityTelemetry。GuardDuty 需要此权限才能支持不同资源类型的运行时监控。

如果您是成员账户,则连接到关联的委派管理员。有关管理组织的 SCP 的信息,请参阅 Service control policies (SCPs)