Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tras activar Runtime Monitoring e instalar el agente de GuardDuty seguridad (complemento) para EKS de forma manual o mediante una configuración automática del agente, podrá empezar a evaluar la cobertura de sus clústeres de EKS.
Contenido
Revisión de las estadísticas de cobertura
Las estadísticas de cobertura de los clústeres de EKS asociados a sus propias cuentas o a las de sus miembros representan el porcentaje de los clústeres de EKS en buen estado con respecto a todos los clústeres de EKS de la Región de AWS seleccionada. La siguiente ecuación lo representa de la siguiente manera:
(Clústeres en buen estado/Todos los clústeres)*100
Elija uno de los métodos de acceso para revisar las estadísticas de cobertura de sus cuentas.
Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Seleccione la pestaña Cobertura del tiempo de ejecución de los clústeres de EKS.
-
En la pestaña Cobertura del tiempo de ejecución de los clústeres de EKS, puede ver las estadísticas de cobertura agregadas por el estado de cobertura que está disponible en la tabla Lista de clústeres.
-
Puede filtrar la tabla Lista de clústeres por las siguientes columnas:
-
Cluster name (Nombre del clúster)
-
ID de cuenta
-
Tipo de administración del agente
-
Estado de la cobertura
-
Versión del complemento
-
-
-
Si el valor de Estado de la cobertura de alguno de sus clústeres de EKS es En mal estado, en la columna Problema se puede incluir información adicional sobre el motivo del estado En mal estado.
Si el estado de cobertura de su clúster de EKS es En mal estado, consulte Resolución de problemas de cobertura en tiempo de ejecución de Amazon EKS.
Cambio del estado de la cobertura con EventBridge notificaciones
El estado de cobertura de un clúster de EKS de su cuenta puede aparecer como En mal estado. Para detectar cuándo el estado de cobertura pasa a ser En mal estado, le recomendamos que supervise el estado de cobertura periódicamente y que solucione los problemas si el estado es En mal estado. Como alternativa, puedes crear una EventBridge regla de Amazon que te notifique cuando el estado de la cobertura cambie de Unhealthy
a Healthy
o no. De forma predeterminada, la GuardDuty publica en el EventBridge bus de tu cuenta.
Ejemplo de esquema de notificaciones
Como EventBridge regla general, puede utilizar los ejemplos de eventos y patrones de eventos predefinidos para recibir la notificación del estado de la cobertura. Para obtener más información sobre cómo crear una EventBridge regla, consulta Crear regla en la Guía del EventBridge usuario de Amazon.
Además, puede crear un patrón de eventos personalizado mediante el siguiente ejemplo de esquema de notificaciones. Asegúrese de sustituir los valores de su cuenta. Para recibir una notificación cuando el estado de cobertura de su clúster de Amazon EKS cambie de Healthy
aUnhealthy
, detail-type
debería ser asíGuardDuty Runtime
Protection Unhealthy
. Para recibir una notificación cuando el estado de la cobertura cambie de Unhealthy
aHealthy
, sustituya el valor detail-type
de porGuardDuty Runtime Protection Healthy
.
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy
",
"source": "aws.guardduty",
"account": "Cuenta de AWS ID",
"time": "event timestamp (string)",
"region": "Región de AWS",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EKS",
"eksClusterDetails": {
"clusterName": "string",
"availableNodes": "string",
"desiredNodes": "string",
"addonVersion": "string"
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
Resolución de problemas de cobertura en tiempo de ejecución de Amazon EKS
Si el estado de cobertura de su clúster EKS esUnhealthy
, puede ver el error correspondiente en la columna Problema de la GuardDuty consola o utilizando el tipo de CoverageResourcedatos.
Cuando trabaje con etiquetas de inclusión o exclusión para supervisar los clústeres de EKS de forma selectiva, es posible que las etiquetas tarden algún tiempo en sincronizarse. Esto puede afectar al estado de cobertura del clúster de EKS asociado. Puede intentar eliminar y volver a agregar la etiqueta correspondiente (inclusión o exclusión). Para obtener más información, consulte Etiquetado de los recursos de Amazon EKS en la Guía del usuario de Amazon EKS.
La estructura de un problema de cobertura es Issue type:Extra information
. Por lo general, los problemas tienen información adicional opcional que puede incluir una excepción específica del cliente o una descripción del problema. Con base en la Información adicional, las siguientes tablas indican los pasos recomendados para solucionar los problemas de cobertura de los clústeres de EKS.
Tipo de problema (prefijo) |
Información adicional |
Pasos recomendados de solución de problemas |
---|---|---|
Se produjo un error al crear el complemento |
El complemento no |
Asegúrese de utilizar una de esas versiones de Kubernetes que admiten la implementación del complemento de EKS |
Se produjo un error al crear el complemento Se produjo un error al actualizar el complemento El complemento está en mal estado |
Problema con el complemento de EKS: |
Para obtener información sobre los pasos recomendados para un código de problema de complemento específico, consulte Troubleshooting steps for Addon creation/updatation error with Addon issue code. Para obtener una lista de los códigos de problemas relacionados con los complementos que podrían producirse en este problema, consulte. AddonIssue |
Se produjo un error al crear el punto de conexión de VPC |
La creación de puntos de conexión de VPC no es compatible con la VPC compartida |
La Supervisión en tiempo de ejecución ahora admite el uso de una VPC compartida dentro de una organización. Asegúrese de que las cuentas cumplen todos los requisitos previos. Para obtener más información, consulte Requisitos previos para utilizar una VPC compartida. |
Solo cuando se utiliza una VPC compartida con una configuración automatizada del agente El ID de cuenta propietario |
La cuenta de propietario de la VPC compartida debe habilitar la Supervisión en tiempo de ejecución y la configuración automatizada del agente para al menos un tipo de recurso (Amazon EKS o Amazon ECS [AWS Fargate]). Para obtener más información, consulte Requisitos previos específicos de la supervisión del GuardDuty tiempo de ejecución. | |
La habilitación del DNS privado requiere que ambos |
Asegúrese de que los siguientes atributos de VPC estén establecidos en Si utiliza Amazon VPC Console https://console.aws.amazon.com/vpc/ |
|
Se produjo un error al eliminar el punto de conexión de la VPC compartida |
No se permite eliminar el punto final de la VPC compartida para el ID de cuenta |
Medidas posibles:
|
Clústeres de EKS locales |
Los complementos de EKS no se admiten en los clústeres de Outposts locales. |
No se puede procesar. Para obtener más información, consulte Amazon EKS on AWS outposts. |
No se ha concedido el permiso de habilitación de la supervisión en tiempo de ejecución de EKS |
(puede o no mostrar información adicional) |
|
Aprovisionamiento de recursos de habilitación de la supervisión en tiempo de ejecución de EKS en curso. |
(puede o no mostrar información adicional) |
No se puede procesar. Después de habilitar la supervisión en tiempo de ejecución de EKS, el estado de cobertura puede seguir siendo |
Otros (cualquier otro problema) |
Error debido a una falla de autorización |
Desactive la supervisión en tiempo de ejecución de EKS y vuelva a activarla. Asegúrese de que el GuardDuty agente también se despliegue, de forma automática GuardDuty o manual. |
Error de creación o actualización del complemento |
Pasos para la solución de problemas |
---|---|
Problema con el complemento EKS |
|
Problema con el complemento EKS |
Para resolver este problema, puede seguir uno de estos pasos:
notaEl mensaje se muestra |
Problema con el complemento EKS |
|
Problema con el complemento EKS |
|
Problema con el complemento EKS |
Puede ver los registros asociados al pod e identificar el problema. Para obtener información sobre cómo hacerlo, consulta Depurar pods en ejecución Usa la siguiente lista de verificación para solucionar este problema con el complemento:
|
Problema con el complemento EKS |
Puede ver los registros asociados al pod e identificar el problema. Para obtener información sobre cómo hacerlo, consulta Depurar pods en ejecución Una vez que hayas identificado el problema, usa la siguiente lista de verificación para solucionarlo:
|
Problema con el complemento EKS |
|
Problema con el complemento de EKS: |
Al crear o actualizar el complemento, indique la marca de resolución de conflictos En primer lugar, puede eliminar un complemento de Amazon EKS de un clúster y, a continuación, volver a instalarlo. |
Problema con el complemento de EKS: |
Debe agregar el permiso que falta al
Ahora puede aplicar este
|
AddonUpdationFailed: EKSAddon Problema - |
|
Problema con el complemento de EKS: |
Debe desactivar el controlador o hacer que este acepte las solicitudes del clúster de Amazon EKS. Antes de crear o actualizar el complemento, también puedes crear un espacio de GuardDuty nombres y etiquetarlo como. |
Problema con el complemento de EKS: |
Debe desactivar el controlador o hacer que este acepte las solicitudes del clúster de Amazon EKS. Antes de crear o actualizar el complemento, también puedes crear un espacio de GuardDuty nombres y etiquetarlo como. |
Problema con el complemento de EKS: |
Añade el registro de imágenes GuardDuty a tu controlador |