Amazon EKS 集群支持的先决条件

本节包含监控 Amazon EKS 资源的运行时行为的先决条件。这些先决条件对于 GuardDuty 代理按预期运行至关重要。满足这些先决条件后，请参阅启用 GuardDuty 运行时监控以开始监控您的资源。

对 Amazon EKS 功能的支持

运行时监控支持在亚马逊 EC2 实例上运行的 Amazon EKS 集群和亚马逊 EKS 自动模式。

运行时监控不支持带有 Amazon EKS 混合节点的 Amazon EKS 集群以及正在运行的集群 Amazon Fargate。

有关这些 Amazon EKS 功能的信息，请参阅什么是亚马逊 EKS？在 Amazon EKS 用户指南中。

您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 接收来自 EKS 集群运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。如果您手动管理 GuardDuty 代理，请确保 Kubernetes 版本支持当前使用的 GuardDuty 代理版本。

操作系统发行版、内核版本和 CPU 架构会影响 GuardDuty 安全代理提供的支持。内核支持包括eBPF、Tracepoints和Kprobe。对于 CPU 架构，运行时监控支持 AMD64 (x64) 和 ARM64（Graviton2 及更高版本）。¹

下表展示了用于部署 GuardDuty 安全代理以及配置 EKS 运行时监控的经验证的配置。

Amazon EKS 集群运行时监控不支持第一代 Graviton 实例，例如 A1 实例类型。
支持多种操作系统： GuardDuty 已验证运行时监控，支持上表所列操作发行版。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行，但该 GuardDuty 团队无法保证预期的安全值。
对于任何内核版本，都必须将该CONFIG_DEBUG_INFO_BTF标志设置为y（意思是 true）。这是必需的，以便 GuardDuty 安全代理可以按预期运行。
目前，在内核版本6.1中， GuardDuty 无法生成GuardDuty 运行时监控查找类型与之相关的内容域名系统（DNS）事件。
在 GuardDuty 安全代理 v1.6. AL2 0 及更高版本发布后，运行时监控支持 023。有关更多信息，请参阅 GuardDuty 适用于 Amazon EKS 资源的安全代理版本。

下表显示了安全代理支持的 EKS 集群的 Kubernetes 版本。 GuardDuty

Amazon EKS 插件 GuardDuty 安全代理版本	Kubernetes 版本
v1.10.0（最新——v1.10.0-eksbuild.2） v1.9.0（最新版——v1.9.0-eksbuild.2） v1.8.1（最新——v1.8.1-eksbuild.2）	1.21 — 1.32
v1.7.0 v1.6.1	1.21 — 1.31
v1.7.1 v1.7.0 v1.6.1	1.21 — 1.31
v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1	1.21 — 1.29
v1.3.0 v1.2.0	1.21 — 1.28
v1.1.0	1.21 — 1.26
v1.0.0	1.21 – 1.25

某些 GuardDuty 安全代理版本的标准支持将会终止。

下表显示适用于 GuardDuty (aws-guardduty-agent) 的 Amazon EKS 插件的 CPU 和内存限制。

参数	最小限制	最大限制
CPU	200m	1000m
内存	256Mi	1024Mi

使用 Amazon EKS 附加组件版本 1.5.0 或更高版本时， GuardDuty 您将能够为您的 CPU 和内存值配置附加组件架构。有关可配置范围的更多信息，请参阅可配置的参数和值。

启用 EKS 运行时监控并评测 EKS 集群的覆盖状态后，您可以设置和查看容器洞察指标。有关更多信息，请参阅设置 CPU 和内存监控。

如果您设置了服务控制策略（SCP）来管理组织中的权限，请验证权限边界未限制 guardduty:SendSecurityTelemetry。需要此权限 GuardDuty 才能支持不同资源类型的运行时监控。

如果您是成员账户，则连接到关联的委派管理员。有关为您的组织 SCPs 进行管理的信息，请参阅服务控制策略 (SCPs)。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

对于 Fargate（仅限 ECS）集群

启用运行时监控