Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS - Amazon GuardDuty
Consultation des statistiques de couvertureModification de l'état de couverture avec EventBridge notificationsRésolution des problèmes de couverture du temps d'exécution d'Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS

Après avoir activé la surveillance du temps d'exécution et installé l'agent de GuardDuty sécurité (module complémentaire) pour EKS manuellement ou par le biais d'une configuration automatique de l'agent, vous pouvez commencer à évaluer la couverture de vos clusters EKS.

Consultation des statistiques de couverture

Les statistiques de couverture pour les clusters EKS associés à vos propres comptes ou à vos comptes membres sont le pourcentage de clusters EKS sains par rapport à tous les clusters EKS de la Région AWS sélectionnée. L'équation suivante représente cela comme suit :

(Clusters sains/Tous les clusters) x 100

Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.

Console

  • Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  • Dans le volet de navigation, choisissez Runtime Monitoring.

  • Choisissez l'onglet Couverture d'exécution du cluster EKS.

  • Dans l'onglet Couverture d'exécution du cluster EKS, vous pouvez consulter les statistiques de couverture agrégées selon l'état de couverture disponible dans le tableau Liste des clusters.

    • Vous pouvez filtrer le tableau Liste des clusters selon les colonnes suivantes :

      • Nom du cluster

      • ID de compte

      • Type de gestion des agents

      • État de couverture

      • Version du module complémentaire

  • Si l'un de vos clusters EKS a un état de couverture Non sain, la colonne Problème peut inclure des informations supplémentaires sur la raison de l'état Défectueux.

API/CLI

  • Exécutez l'ListCoverageAPI avec votre propre identifiant de détecteur, votre région et votre point de terminaison de service valides. Vous pouvez filtrer et trier la liste des clusters à l'aide de cette API.

    • Vous pouvez modifier l'exemple de filter-criteria à l'aide de l'une des options suivantes pour CriterionKey :

      • ACCOUNT_ID

      • CLUSTER_NAME

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • ADDON_VERSION

      • MANAGEMENT_TYPE

    • Vous pouvez modifier l'exemple de AttributeName dans sort-criteria à l'aide des options suivantes :

      • ACCOUNT_ID

      • CLUSTER_NAME

      • COVERAGE_STATUS

      • ISSUE

      • ADDON_VERSION

      • UPDATED_AT

    • Vous pouvez modifier le max-results (jusqu'à 50).

    • Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Exécutez l'GetCoverageStatisticsAPI pour récupérer les statistiques agrégées de couverture sur la base destatisticsType.

    • Vous pouvez modifier l'exemple de statisticsType sur l'une des options suivantes :

      • COUNT_BY_COVERAGE_STATUS : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.

      • COUNT_BY_RESOURCE_TYPE— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.

      • Vous pouvez modifier l'exemple de filter-criteria dans la commande. Vous pouvez utiliser les options suivantes pour CriterionKey :

        • ACCOUNT_ID

        • CLUSTER_NAME

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • ADDON_VERSION

        • MANAGEMENT_TYPE

    • Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Si l'état de couverture de votre cluster EKS est Défectueux, veuillez consulter Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS.

Modification de l'état de couverture avec EventBridge notifications

L'état de couverture d'un cluster EKS sur votre compte peut être indiqué comme étant Défectueux. Pour détecter les cas où l'état de couverture devient Défectueux, nous vous recommandons de surveiller régulièrement l'état de couverture et de résoudre les problèmes, si l'état est Défectueux Vous pouvez également créer une EventBridge règle Amazon pour vous avertir lorsque le statut de couverture passe de Healthy ou non Unhealthy à. Par défaut, il le GuardDuty publie dans le EventBridge bus pour votre compte.

Exemple de schéma de notification

Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section Créer une règle dans le guide de EventBridge l'utilisateur Amazon.

En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon EKS passe de Healthy àUnhealthy, le detail-type doit êtreGuardDuty Runtime Protection Unhealthy. Pour être averti lorsque le statut de couverture passe de Unhealthy àHealthy, remplacez la valeur de detail-type parGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Compte AWS ID",
  "time": "event timestamp (string)",
  "region": "Région AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS

Si l'état de couverture de votre cluster EKS est le suivantUnhealthy, vous pouvez afficher l'erreur correspondante soit dans la colonne Problème de la GuardDuty console, soit en utilisant le type de CoverageResourcedonnées.

Lorsque vous utilisez des balises d'inclusion ou d'exclusion pour surveiller vos clusters EKS de manière sélective, la synchronisation des balises peut prendre un certain temps. Cela peut avoir un impact sur l'état de couverture du cluster EKS associé. Vous pouvez réessayer de supprimer et d'ajouter la balise correspondante (inclusion ou exclusion). Pour plus d'informations, veuillez consulter Étiquetage de vos ressources Amazon EKS dans le Guide du de l'utilisateur Amazon EKS.

La structure d'un problème de couverture est Issue type:Extra information. Généralement, les problèmes comportent des informations supplémentaires facultatives qui peuvent inclure une exception spécifique côté client ou une description du problème. Sur la base d'informations supplémentaires, les tableaux suivants fournissent les étapes recommandées pour résoudre les problèmes de couverture de vos clusters EKS.

Type de problème (préfixe)

Informations supplémentaires

Étapes de dépannage recommandées

Échec de la création de l'addon

L'addon n'aws-guardduty-agentest pas compatible avec la version actuelle du clusterClusterName. Le module complémentaire spécifié n'est pas pris en charge.

Assurez-vous que vous utilisez l'une de ces versions de Kubernetes prenant en charge le déploiement du module complémentaire EKS aws-guardduty-agent. Pour de plus amples informations, veuillez consulter Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty . Pour plus d'informations sur la mise à jour de votre version de Kubernetes, veuillez consulter la section Mise à jour d'une version Kubernetes de cluster Amazon EKS.

Échec de la création de l'addon

Échec de la mise à jour de l'addon

État de l'addon malsain

Problème de module complémentaire EKS : AddonIssueCode: AddonIssueMessage

Pour plus d'informations sur les étapes recommandées pour un code de problème spécifique à un module complémentaire, consultezTroubleshooting steps for Addon creation/updatation error with Addon issue code.

Pour obtenir la liste des codes d'erreur liés aux modules complémentaires que vous pourriez rencontrer dans le cadre de ce problème, consultez AddonIssue.

Échec de la création du point de terminaison VPC

La création de points de terminaison VPC n'est pas prise en charge pour les VPC partagés vpcId

Runtime Monitoring prend désormais en charge l'utilisation d'un VPC partagé au sein d'une organisation. Assurez-vous que vos comptes répondent à toutes les conditions requises. Pour de plus amples informations, veuillez consulter Conditions préalables à l'utilisation d'un VPC partagé.

Uniquement lors de l'utilisation d'un VPC partagé avec configuration d'agent automatisée

L'ID 111122223333 de compte propriétaire du VPC partagé vpcId n'est activé ni sur la surveillance du temps d'exécution, ni sur la configuration automatique des agents, ni sur les deux.

 Le compte propriétaire du VPC partagé doit activer la surveillance du temps d'exécution et la configuration automatique des agents pour au moins un type de ressource (Amazon EKS ou Amazon ECS (AWS Fargate)). Pour de plus amples informations, veuillez consulter Prérequis spécifiques à la surveillance du temps d' GuardDuty exécution.

L'activation du DNS privé nécessite à la fois que enableDnsSupport les attributs enableDnsHostnames VPC soient définis sur true for vpcId (Service : Ec2, Status Code:400, Request ID :). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assurez-vous que les attributs de VPC suivants sont définis sur true : enableDnsSupport et enableDnsHostnames. Pour plus d'informations, veuillez consulter la rubrique Attributs DNS dans votre VPC.

Si vous utilisez la console Amazon VPC https://console.aws.amazon.com/vpc/pour créer l'Amazon VPC, assurez-vous de sélectionner à la fois Activer les noms d'hôte DNS et Activer la résolution DNS. Pour plus d'informations, veuillez consulter Options de configuration de VPC.

La suppression du point de terminaison VPC partagé a échoué

La suppression du point de terminaison VPC partagé n'est pas autorisée pour l'ID de compte111122223333, le VPC vpcId partagé et l'ID de compte propriétaire. 555555555555
Étapes potentielles :

  • La désactivation de l'état de surveillance du temps d'exécution du compte de participant VPC partagé n'a aucun impact sur la politique de point de terminaison du VPC partagé ni sur le groupe de sécurité existant dans le compte propriétaire.

    Pour supprimer le point de terminaison et le groupe de sécurité VPC partagés, vous devez désactiver la surveillance du temps d'exécution ou l'état de configuration automatique de l'agent dans le compte propriétaire du VPC partagé.

  • Le compte de participant VPC partagé ne peut pas supprimer le point de terminaison et le groupe de sécurité VPC partagés hébergés dans le compte propriétaire du VPC partagé.

Clusters EKS locaux

Les modules complémentaires EKS ne sont pas prises en charge sur les clusters Outpost locaux.

Non exploitable.

Pour plus d'informations, consultez Amazon EKS sur les AWS avant-postes.

Autorisation d'activation de la surveillance d'exécution EKS non accordée

(peut afficher ou non des informations supplémentaires)

  1. Si des informations supplémentaires sont disponibles pour ce problème, corrigez la cause première et passez à l'étape suivante.

  2. Activez la surveillance d'exécution EKS pour la désactiver, puis la réactiver. Assurez-vous que l' GuardDutyagent est également déployé, que ce soit automatiquement GuardDuty ou manuellement.

la surveillance d'exécution EKS permet l'allocation de ressources en cours

(peut afficher ou non des informations supplémentaires)

Non exploitable.

Une fois que vous avez activé la surveillance d'exécution EKS, l'état de couverture peut rester Unhealthy jusqu'à la fin de l'étape d'allocation des ressources. L'état de couverture est surveillé et mis à jour périodiquement.

Autres (tout autre problème)

Erreur due à un échec d'autorisation

Activez la surveillance d'exécution EKS pour la désactiver, puis la réactiver. Assurez-vous que l' GuardDuty agent est également déployé, automatiquement GuardDuty ou manuellement.
Étapes de dépannage en cas d'erreur de création/mise à jour d'un addon avec le code de problème de l'addon

Erreur de création ou de mise à jour de l'addon

Étapes de résolution des problèmes

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : Le module complémentaire est défectueux car il ne contient pas le nombre de répliques souhaité.

  • À l'aide du message du problème, vous pouvez identifier et corriger la cause première. Vous pouvez commencer par décrire votre cluster. Par exemple, kubectl describe podsà utiliser pour identifier la cause première de la défaillance du pod.

    Après avoir corrigé la cause première, réessayez l'étape (création ou mise à jour d'un module complémentaire).

  • Si le problème persiste, vérifiez que le point de terminaison VPC de votre cluster Amazon EKS est correctement configuré. Pour de plus amples informations, veuillez consulter Validation de la configuration des points de terminaison VPC.

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des 0/x nœuds sont disponibles :x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never.

Pour résoudre ce problème, vous pouvez procéder de l'une des manières suivantes :

Note

Le message s'affiche o/x car seule la première erreur détectée est GuardDuty signalée. Le nombre réel de pods actifs dans le GuardDuty daemonset peut être supérieur à 0.

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des 0/x nœuds sont disponibles :x Too many pods. preemption: not eligible due to preemptionPolicy=Never.

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des 0/x nœuds sont disponibles :1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never.

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente CrashLoopBackOff: Completed

Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section Debug Running Pods dans la documentation de Kubernetes.

Utilisez la liste de contrôle suivante pour résoudre ce problème lié au module complémentaire :

  • Vérifiez que la surveillance du temps d'exécution est activée.

  • Vérifiez que les conditionsConditions préalables à la prise en charge des clusters Amazon EKS, telles que les distributions de système d'exploitation vérifiées et les versions de Kubernetes prises en charge, sont respectées.

  • Lorsque vous gérez l'agent de sécurité manuellement, vérifiez que vous avez créé un point de terminaison VPC pour tous les. VPCs Lorsque vous activez la configuration GuardDuty automatique, vous devez toujours vérifier que le point de terminaison VPC est créé. Par exemple, lors de l'utilisation d'un VPC partagé dans une configuration automatisée.

    Pour valider cela, consultezValidation de la configuration des points de terminaison VPC.

  • Vérifiez que l'agent GuardDuty de sécurité est capable de résoudre le DNS privé du point de terminaison GuardDuty VPC. Pour connaître les points de terminaison, consultez la section Noms DNS privés des points de terminaison dans. Gestion des agents GuardDuty de sécurité

    Pour ce faire, vous pouvez utiliser nslookup un outil sous Windows ou Mac, ou dig un outil sous Linux. Lorsque vous utilisez nslookup, vous pouvez utiliser la commande suivante après avoir remplacé la région us-west-2 par votre région :

    nslookup guardduty-data.us-west-2.amazonaws.com

  • Vérifiez que votre politique de point de terminaison GuardDuty VPC ou la politique de contrôle des services n'ont aucune incidence sur guardduty:SendSecurityTelemetry l'action.

Problème lié à l'addon EKS - InsufficientNumberOfReplicas : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente CrashLoopBackOff: Error

Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section Debug Running Pods dans la documentation de Kubernetes.

Après avoir identifié le problème, utilisez la liste de contrôle suivante pour le résoudre :

  • Vérifiez que la surveillance du temps d'exécution est activée.

  • Vérifiez que les conditionsConditions préalables à la prise en charge des clusters Amazon EKS, telles que les distributions de système d'exploitation vérifiées et les versions de Kubernetes prises en charge, sont respectées.

  • L'agent GuardDuty de sécurité est capable de résoudre le DNS privé du point de terminaison GuardDuty VPC. Pour connaître les points de terminaison, consultez la section Noms DNS privés des points de terminaison dans. Gestion des agents GuardDuty de sécurité

Problème lié à l'addon EKS - AdmissionRequestDenied : le webhook d'admission "validate.kyverno.svc-fail" a refusé la demande : politique de violation DaemonSet/amazon-guardduty/aws-guardduty-agent des ressources : : restrict-image-registries :... autogen-validate-registries

  1. Le cluster Amazon EKS ou l'administrateur de sécurité doivent revoir la politique de sécurité qui bloque la mise à jour de l'addon.

  2. Vous devez soit désactiver le contrôleur (webhook), soit lui demander d'accepter les demandes d'Amazon EKS.

Problème lié à l'extension EKS - ConfigurationConflict : Conflits détectés lors de la tentative de candidature. Ne continuera pas en raison du mode de résolution des conflits. Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image

Lors de la création ou de la mise à jour de l'addon, fournissez l'indicateur de OVERWRITE résolution des conflits. Cela remplacera potentiellement toutes les modifications apportées directement aux ressources associées dans Kubernetes à l'aide de l'API Kubernetes.

Vous pouvez d'abord supprimer un module complémentaire Amazon EKS d'un cluster, puis le réinstaller.

Problème lié à l'extension EKS - AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope

Vous devez ajouter eks:addon-cluster-admin ClusterRoleBinding manuellement l'autorisation manquante. Ajoutez ce qui suit yaml à eks:addon-cluster-admin :

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: eks:addon-cluster-admin
subjects:
- kind: User
  name: eks:addon-manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---

Vous pouvez désormais l'appliquer yaml à votre cluster Amazon EKS à l'aide de la commande suivante :

kubectl apply -f eks-addon-cluster-admin.yaml

AddonUpdationFailed: EKSAddon Problème - AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"

Problème lié à l'extension EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS.

Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme owner suit.

Problème lié à l'extension EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS.

Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme owner suit.

Problème lié à l'extension EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [allowed-container-registries] container <aws-guardduty-agent> has an invalid image registry

Ajoutez le registre d'images GuardDuty pour allowed-container-registries dans votre contrôleur d'admission. Pour plus d'informations, consultez le référentiel ECR pour EKS v1.8.1-eks-build.2 dans. Agent d'hébergement GuardDuty de référentiels Amazon ECR