EKSFunciones de Support for Amazon Validación de los requisitos de arquitectura

Requisitos previos para el soporte de EKS clústeres de Amazon

En esta sección se incluyen los requisitos previos para monitorizar el comportamiento en tiempo de ejecución de tus EKS recursos de Amazon. Estos requisitos previos son cruciales para que el GuardDuty agente funcione según lo esperado. Una vez que se cumplan estos requisitos previos, empiece ¿Habilitar la GuardDuty supervisión del tiempo a monitorizar sus recursos.

EKSFunciones de Support for Amazon

Runtime Monitoring admite EKS clústeres de Amazon que se ejecutan en EC2 instancias de Amazon y Amazon EKS Auto Mode.

Runtime Monitoring no admite EKS los clústeres de Amazon con Amazon EKS Hybrid Nodes ni los que se ejecutan en ellos AWS Fargate.

Para obtener información sobre estas EKS funciones de Amazon, consulta ¿Qué es AmazonEKS? en la Guía del EKS usuario de Amazon.

Validación de los requisitos de arquitectura

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus EKS clústeres. Debe validar que esté utilizando una de las plataformas verificadas. Si administra el GuardDuty agente manualmente, asegúrese de que la versión de Kubernetes sea compatible con la versión del GuardDuty agente que está en uso actualmente.

Plataformas verificadas

La distribución del sistema operativo, la versión del núcleo y la CPU arquitectura afectan al soporte que proporciona el agente de seguridad. GuardDuty En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar EKS Runtime Monitoring.

Distribución del sistema operativo¹	Versión del kernel²	Compatibilidad del kernel	Arquitectura de CPU		Versión de Kubernetes compatible
Distribución del sistema operativo¹	Versión del kernel²	Compatibilidad del kernel	x64 () AMD64	Gravitón () ARM64 (Graviton2 y superior)³	Versión de Kubernetes compatible
Bottlerocket	e BPF Tracepoints, Kprobe	Soportado	Soportado	5.4, 5.10, 5.15, 6.1⁴	v1.23 - v1.31
Ubuntu					v1.21 - v1.31
AL2
AL2023 ⁵
RedHat 9.4				5.14
Fedora 34.0				5.11, 5.17
CentOS 9.0				5.14

Soporte para varios sistemas operativos: GuardDuty ha verificado la compatibilidad con el uso de Runtime Monitoring en los sistemas operativos que se enumeran en la tabla anterior. Si utiliza un sistema operativo diferente y puede instalar el agente de seguridad correctamente, es posible que obtenga todo el valor de seguridad esperado que se GuardDuty ha verificado para la distribución del sistema operativo indicada.
Para cualquier versión del núcleo, debe establecer el CONFIG_DEBUG_INFO_BTF indicador en y (que significa verdadero). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado.
Runtime Monitoring for Amazon EKS clusters no admite la instancia de Graviton de primera generación, como los tipos de instancia A1.
Actualmente, con la versión Kernel6.1, no GuardDuty Tipos de búsqueda de Runtime Monitoring se GuardDuty pueden generar aquellos relacionados Eventos del Sistema de nombres de dominio (DNS) con.
La monitorización del tiempo de ejecución es compatible con la versión AL2 0.23 con la versión 1.6.0 y versiones posteriores del agente de GuardDuty seguridad. Para obtener más información, consulte GuardDuty agente de seguridad para EKS clústeres de Amazon.

Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty

En la siguiente tabla se muestran las versiones de Kubernetes para sus EKS clústeres que son compatibles con el agente de seguridad. GuardDuty

Versión del agente GuardDuty de seguridad EKS adicional de Amazon	Versión de Kubernetes
v1.8.1 (más reciente: v1.8.1-eks.build-2) v1.7.0 v1.6.1	1.21 - 1.31
v1.7.1 v1.7.0 v1.6.1	1,21 - 1,31

Versión 1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1	1,21 - 1,29

v1.3.0 v1.2.0	1,21 - 1,28

v1.1.0	1,21 - 1,26

v1.0.0	1.21 - 1.25

Algunas de las versiones del agente GuardDuty de seguridad llegarán al final del soporte estándar. Para obtener información sobre las versiones de lanzamiento del agente, consulte GuardDuty agente de seguridad para EKS clústeres de Amazon.

CPUy límites de memoria

En la siguiente tabla se muestran los límites CPU y los límites de memoria del EKS complemento de Amazon para GuardDuty (aws-guardduty-agent).

Parámetro	Límite mínimo	Límite máximo
CPU	200m	1000m
Memoria	256 Mi	1024 Mi

Cuando utilizas la versión 1.5.0 o superior del EKS complemento de Amazon, GuardDuty ofrece la posibilidad de configurar el esquema del complemento para tus valores CPU y los de memoria. Para obtener información sobre el rango configurable, consulte Parámetros y valores que se pueden configurar.

Después de activar EKS Runtime Monitoring y evaluar el estado de cobertura de EKS los clústeres, puede configurar y ver las métricas de información sobre los contenedores. Para obtener más información, consulte Configuración CPU y supervisión de la memoria.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Para el clúster Fargate (ECSsolo)

Habilitación de la supervisión en tiempo de ejecución