Automatisiertes Verhalten der Agentenkonfiguration mit konfigurierten Parametern Konfigurierbare Parameter und Werte

Konfigurieren Sie die Parameter des GuardDuty Security Agents (Add-on) für Amazon EKS

Sie können spezifische Parameter Ihres GuardDuty Security Agents für Amazon konfigurierenEKS. Diese Unterstützung ist für GuardDuty Security Agent Version 1.5.0 und höher verfügbar. Informationen zu den neuesten Add-On-Versionen finden Sie unterGuardDuty Sicherheitsagent für EKS Amazon-Cluster.

Warum sollte ich das Security Agent Konfigurationsschema aktualisieren: Das Konfigurationsschema für den GuardDuty Security Agent ist für alle Container in Ihren EKS Amazon-Clustern dasselbe. Wenn die Standardwerte nicht mit den zugehörigen Workloads und der Instance-Größe übereinstimmen, sollten Sie die Konfiguration der CPU Einstellungen, Speichereinstellungen und dnsPolicy Einstellungen in Betracht ziehen. PriorityClass Unabhängig davon, wie Sie den GuardDuty Agenten für Ihre EKS Amazon-Cluster verwalten, können Sie die bestehende Konfiguration dieser Parameter konfigurieren oder aktualisieren.

Automatisiertes Verhalten der Agentenkonfiguration mit konfigurierten Parametern

Wenn der Security Agent (EKSAdd-on) in Ihrem Namen GuardDuty verwaltet wird, aktualisiert er das Add-on bei Bedarf. GuardDuty setzt den Wert der konfigurierbaren Parameter auf einen Standardwert. Sie können die Parameter jedoch immer noch auf einen gewünschten Wert aktualisieren. Wenn dies zu einem Konflikt führt, resolveConflictsist die Standardoption aufNone.

Konfigurierbare Parameter und Werte

Informationen zu den Schritten zur Konfiguration der Zusatzparameter finden Sie unter:

Die folgenden Tabellen enthalten die Bereiche und Werte, die Sie verwenden können, um das EKS Amazon-Add-on manuell bereitzustellen oder die vorhandenen Add-On-Einstellungen zu aktualisieren.

CPUEinstellungen

Parameter	Standardwert	Konfigurierbarer Bereich
Anforderungen	200m	Zwischen 200 m und 10000 m, beide inklusive
Einschränkungen	1000m	Zwischen 200 m und 10000 m, beide inklusive

Speicher-Einstellungen

Parameter	Standardwert	Konfigurierbarer Bereich
Anforderungen	256 Mi	Zwischen 256Mi und 20000Mi, beide inklusive
Einschränkungen	1024 Mi	Zwischen 256Mi und 20000Mi, beide inklusive

PriorityClass-Einstellungen

Wenn ein EKS Amazon-Add-on für Sie GuardDuty erstellt wird, PriorityClass ist das zugewieseneaws-guardduty-agent.priorityclass. Das bedeutet, dass aufgrund der Priorität des Agenten-Pods keine Maßnahmen ergriffen werden. Sie können diesen Zusatzparameter konfigurieren, indem Sie eine der folgenden PriorityClass Optionen wählen:

Konfigurierbar `PriorityClass`	`preemptionPolicy` Wert	`preemptionPolicy`Beschreibung	Pod-Wert
`aws-guardduty-agent.priorityclass`	`Never`	Keine Aktion	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	Durch die Zuweisung dieses Werts wird verhindert, dass ein Pod ausgeführt wird, dessen Prioritätswert unter dem Pod-Wert des Agenten liegt.	100000000
`system-cluster-critical`¹	`PreemptLowerPriority`		2000000000
`system-node-critical`¹	`PreemptLowerPriority`		2000001000

¹ Kubernetes bietet diese beiden PriorityClass Optionen — und. system-cluster-critical system-node-critical Weitere Informationen finden Sie PriorityClassin der Kubernetes-Dokumentation.

dnsPolicy-Einstellungen

Wählen Sie eine der folgenden DNS Richtlinienoptionen, die Kubernetes unterstützt. Wird als Standardwert verwendet, wenn keine Konfiguration angegeben ClusterFirst ist.

ClusterFirst
ClusterFirstWithHostNet
Default

Informationen zu diesen Richtlinien finden Sie unter Pods DNS Policy in der Kubernetes-Dokumentation.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Voraussetzung — Einen VPC Amazon-Endpunkt erstellen

Manuelles Installieren des GuardDuty Security Agents auf EKS Amazon-Ressourcen