Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions préalables à la prise en charge des EKS clusters Amazon
Cette section inclut les conditions préalables à la surveillance du comportement d'exécution de vos EKS ressources Amazon. Une fois ces conditions préalables remplies, voirActiver la surveillance du GuardDuty temps d'exécution.
Validation des exigences architecturales
La plate-forme que vous utilisez peut avoir un impact sur GuardDuty la manière dont l'agent de sécurité prend GuardDuty en charge la réception des événements d'exécution de vos EKS clusters. Vous devez confirmer que vous utilisez l'une des plateformes vérifiées. Si vous gérez l' GuardDuty agent manuellement, assurez-vous que la version de Kubernetes prend en charge la version de l' GuardDuty agent actuellement utilisée.
Plateformes vérifiées
La distribution du système d'exploitation, la version du noyau et CPU l'architecture ont une incidence sur le support fourni par l'agent GuardDuty de sécurité. Le tableau suivant présente la configuration vérifiée pour le déploiement de l'agent de GuardDuty sécurité et la configuration de la surveillance du EKS temps d'exécution.
| Distribution du système d'exploitation1 | Version de noyau | Support du noyau | CPUarchitecture | Version de Kubernetes prise en charge | |
|---|---|---|---|---|---|
64 bits (AMD64) |
Graviton () ARM64 (Graviton2 et versions ultérieures) 2 |
||||
Ubuntu |
5,4, 5,10, 5,15, 6,1 3 |
Par BPF Tracepoints, K-probe |
Pris en charge |
Pris en charge |
V1.21 - V1.30 |
AL2 |
|||||
|
AL2023 4 |
|||||
Bottlerocket |
V1.23 - V1.30 |
||||
-
Support pour différents systèmes d'exploitation : GuardDuty a vérifié la prise en charge de l'utilisation de Runtime Monitoring sur les systèmes d'exploitation répertoriés dans le tableau précédent. Si vous utilisez un autre système d'exploitation et que vous parvenez à installer correctement l'agent de sécurité, vous obtiendrez peut-être toutes les valeurs de sécurité attendues dont l' GuardDuty exactitude a été vérifiée pour la distribution du système d'exploitation répertoriée.
-
La surveillance du temps d'exécution pour les EKS clusters Amazon ne prend pas en charge les instances Graviton de première génération telles que les types d'instances A1.
-
Actuellement, avec la version Kernel
6.1, je ne GuardDuty peux pas générer GuardDuty Types de recherche liés à la surveillance du temps ceux qui sont liés àÉvénements relatifs au système de noms de domaine (DNS). -
Runtime Monitoring prend en charge la version AL2 0.23 avec la sortie de l'agent de GuardDuty sécurité v1.6.0 et versions ultérieures. Pour de plus amples informations, veuillez consulter GuardDuty agent de sécurité pour les EKS clusters Amazon.
Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty
Le tableau suivant indique les versions de Kubernetes pour vos EKS clusters prises en charge par GuardDuty l'agent de sécurité.
|
Version de Kubernetes |
Version de l'agent GuardDuty de sécurité du EKS module complémentaire Amazon |
|---|---|
|
1,28 - 1,30 |
v1.4.1 et versions ultérieures |
|
1,27 |
v1.3.0 et versions ultérieures |
|
1,26 |
v1.2.0 et versions ultérieures |
|
1,21 - 1,25 |
Toutes les versions |
Certaines versions de l'agent GuardDuty de sécurité atteindront la fin du support standard. Pour plus d'informations sur les versions publiées de l'agent, consultezGuardDuty agent de sécurité pour les EKS clusters Amazon.
CPUet limites de mémoire
Le tableau suivant indique les limites CPU et les limites de mémoire du EKS module complémentaire Amazon pour GuardDuty (aws-guardduty-agent).
| Paramètre | Limite minimum | Limite maximum |
|---|---|---|
CPU |
200 m |
1 000 m |
Mémoire |
256 milles |
1 024 milles |
Lorsque vous utilisez le EKS module complémentaire Amazon version 1.5.0 ou supérieure, il GuardDuty permet de configurer le schéma du module complémentaire pour vos valeurs CPU et celles de la mémoire. Pour plus d'informations sur la plage configurable, consultezParamètres et valeurs configurables.
Une fois que vous avez activé la surveillance du temps EKS d'exécution et évalué l'état de couverture de vos EKS clusters, vous pouvez configurer et consulter les indicateurs d'analyse des conteneurs. Pour de plus amples informations, veuillez consulter Configuration CPU et surveillance de la mémoire.
