Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS - Amazon GuardDuty
Meninjau statistik cakupanPerubahan status cakupan dengan EventBridge notifikasiMemecahkan masalah cakupan runtime Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS

Setelah Anda mengaktifkan Runtime Monitoring dan menginstal agen GuardDuty keamanan (add-on) untuk EKS baik secara manual atau melalui konfigurasi agen otomatis, Anda dapat mulai menilai cakupan untuk kluster EKS Anda.

Meninjau statistik cakupan

Statistik cakupan untuk kluster EKS yang terkait dengan akun Anda sendiri atau akun anggota Anda adalah persentase kluster EKS yang sehat di semua kluster EKS yang dipilih. Wilayah AWS Persamaan berikut mewakili ini sebagai:

(Cluster sehat/Semua cluster) * 100

Pilih salah satu metode akses untuk meninjau statistik cakupan akun Anda.

Console

  • Masuk ke AWS Management Console dan buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  • Di panel navigasi, pilih Runtime Monitoring.

  • Pilih tab cakupan runtime cluster EKS.

  • Di bawah tab cakupan runtime kluster EKS, Anda dapat melihat statistik cakupan yang dikumpulkan berdasarkan status cakupan yang tersedia di tabel daftar Clusters.

    • Anda dapat memfilter tabel daftar Clusters dengan kolom berikut:

      • Nama cluster

      • ID Akun

      • Jenis manajemen agen

      • Status cakupan

      • Versi pengaya

  • Jika salah satu kluster EKS Anda memiliki status Cakupan sebagai Tidak Sehat, kolom Masalah dapat menyertakan informasi tambahan tentang alasan status Tidak Sehat.

API/CLI

  • Jalankan ListCoverageAPI dengan ID detektor, Wilayah, dan titik akhir layanan Anda yang valid. Anda dapat memfilter dan mengurutkan daftar cluster menggunakan API ini.

    • Anda dapat mengubah contoh filter-criteria dengan salah satu opsi berikut untukCriterionKey:

      • ACCOUNT_ID

      • CLUSTER_NAME

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • ADDON_VERSION

      • MANAGEMENT_TYPE

    • Anda dapat mengubah contoh AttributeName sort-criteria dengan opsi berikut:

      • ACCOUNT_ID

      • CLUSTER_NAME

      • COVERAGE_STATUS

      • ISSUE

      • ADDON_VERSION

      • UPDATED_AT

    • Anda dapat mengubah max-results (hingga 50).

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Jalankan GetCoverageStatisticsAPI untuk mengambil statistik agregat cakupan berdasarkan. statisticsType

    • Anda dapat mengubah contoh statisticsType ke salah satu opsi berikut:

      • COUNT_BY_COVERAGE_STATUS— Merupakan statistik cakupan untuk kluster EKS yang dikumpulkan berdasarkan status cakupan.

      • COUNT_BY_RESOURCE_TYPE— Statistik cakupan dikumpulkan berdasarkan jenis AWS sumber daya dalam daftar.

      • Anda dapat mengubah contoh filter-criteria dalam perintah. Anda dapat menggunakan opsi berikut untukCriterionKey:

        • ACCOUNT_ID

        • CLUSTER_NAME

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • ADDON_VERSION

        • MANAGEMENT_TYPE

    • Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

Jika status cakupan cluster EKS Anda tidak sehat, lihatMemecahkan masalah cakupan runtime Amazon EKS.

Perubahan status cakupan dengan EventBridge notifikasi

Status cakupan klaster EKS di akun Anda mungkin muncul sebagai Tidak Sehat. Untuk mendeteksi kapan status pertanggungan menjadi tidak sehat, kami sarankan Anda memantau status pertanggungan secara berkala dan memecahkan masalah, jika statusnya tidak sehat. Atau, Anda dapat membuat EventBridge aturan Amazon untuk memberi tahu Anda ketika status cakupan berubah dari salah satu Unhealthy ke Healthy atau sebaliknya. Secara default, GuardDuty publikasikan ini di EventBridge bus untuk akun Anda.

Skema pemberitahuan sampel

Dalam EventBridge aturan, Anda dapat menggunakan contoh peristiwa dan pola peristiwa yang telah ditentukan sebelumnya untuk menerima pemberitahuan status cakupan. Untuk informasi selengkapnya tentang membuat EventBridge aturan, lihat Membuat aturan di Panduan EventBridge Pengguna Amazon.

Selain itu, Anda dapat membuat pola acara khusus dengan menggunakan skema pemberitahuan contoh berikut. Pastikan untuk mengganti nilai untuk akun Anda. Untuk mendapatkan pemberitahuan saat status cakupan klaster Amazon EKS Anda berubah dari Healthy keUnhealthy, detail-type seharusnya GuardDuty Runtime Protection Unhealthy begitu. Untuk mendapatkan pemberitahuan ketika status cakupan berubah dari Unhealthy keHealthy, ganti nilai detail-type denganGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Akun AWS ID",
  "time": "event timestamp (string)",
  "region": "Wilayah AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Memecahkan masalah cakupan runtime Amazon EKS

Jika status cakupan untuk kluster EKS AndaUnhealthy, Anda dapat melihat kesalahan terkait baik di bawah kolom Masalah di GuardDuty konsol, atau dengan menggunakan tipe CoverageResourcedata.

Saat bekerja dengan tag inklusi atau pengecualian untuk memantau kluster EKS Anda secara selektif, mungkin perlu beberapa waktu bagi tag untuk disinkronkan. Ini dapat memengaruhi status cakupan cluster EKS terkait. Anda dapat mencoba menghapus dan menambahkan tag yang sesuai (penyertaan atau pengecualian) lagi. Untuk informasi selengkapnya, lihat Menandai sumber daya Amazon EKS Anda di Panduan Pengguna Amazon EKS.

Struktur masalah cakupan adalahIssue type:Extra information. Biasanya, masalah akan memiliki informasi Tambahan opsional yang mungkin mencakup pengecualian atau deskripsi sisi klien tertentu tentang masalah tersebut. Berdasarkan informasi tambahan, tabel berikut memberikan langkah-langkah yang disarankan untuk memecahkan masalah cakupan untuk kluster EKS Anda.

Jenis masalah (awalan)

Informasi tambahan

Langkah pemecahan masalah yang disarankan

Pembuatan Addon Gagal

Addon tidak aws-guardduty-agent kompatibel dengan versi cluster cluster saat ini. ClusterName Addon ditentukan tidak didukung.

Pastikan Anda menggunakan salah satu versi Kubernetes yang mendukung penerapan add-on EKS. aws-guardduty-agent Untuk informasi selengkapnya, lihat Versi Kubernetes didukung oleh agen keamanan GuardDuty . Untuk informasi tentang memperbarui versi Kubernetes Anda, lihat Memperbarui versi Kubernetes klaster Amazon EKS.

Pembuatan Addon Gagal

Update Addon Gagal

Addon Status Tidak Sehat

Masalah EKS Addon -AddonIssueCode: AddonIssueMessage

Untuk informasi tentang langkah-langkah yang disarankan untuk kode masalah add-on tertentu, lihatTroubleshooting steps for Addon creation/updatation error with Addon issue code.

Untuk daftar kode masalah addon yang mungkin Anda alami dalam masalah ini, lihat AddonIssue.

Pembuatan Titik Akhir VPC Gagal

Pembuatan titik akhir VPC tidak didukung untuk VPC bersama vpcId

Runtime Monitoring sekarang mendukung penggunaan VPC bersama dalam suatu organisasi. Pastikan akun Anda memenuhi semua prasyarat. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan VPC bersama.

Hanya saat menggunakan VPC bersama dengan konfigurasi agen otomatis

ID akun pemilik 111122223333 untuk VPC bersama vpcId tidak mengaktifkan Runtime Monitoring, konfigurasi agen otomatis, atau keduanya.

 Akun pemilik VPC bersama harus mengaktifkan Runtime Monitoring dan konfigurasi agen otomatis untuk setidaknya satu jenis sumber daya (Amazon EKS atau Amazon ECS ()).AWS Fargate Untuk informasi selengkapnya, lihat Prasyarat khusus untuk Runtime Monitoring GuardDuty .

Mengaktifkan DNS pribadi memerlukan atribut keduanya dan enableDnsSupport enableDnsHostnames VPC disetel ke true for vpcId (Layanan: Ec2, Kode Status: 400, ID Permintaan:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Pastikan atribut VPC berikut disetel ke trueenableDnsSupport dan. enableDnsHostnames Untuk informasi selengkapnya, lihat atribut DNS di VPC Anda.

Jika Anda menggunakan Konsol VPC Amazon di https://console.aws.amazon.com/vpc/untuk membuat VPC Amazon, pastikan untuk memilih Aktifkan nama host DNS dan Aktifkan resolusi DNS. Untuk informasi selengkapnya, lihat opsi konfigurasi VPC.

Penghapusan Titik Akhir VPC Bersama Gagal

Penghapusan titik akhir VPC bersama tidak diizinkan untuk ID akun, VPC 111122223333 bersama, ID akun pemilik. vpcId 555555555555
Langkah-langkah potensial:

  • Menonaktifkan status Runtime Monitoring akun peserta VPC bersama tidak memengaruhi kebijakan titik akhir VPC bersama dan grup keamanan yang ada di akun pemilik.

    Untuk menghapus titik akhir VPC bersama dan grup keamanan, Anda harus menonaktifkan Pemantauan Waktu Proses atau status konfigurasi agen otomatis di akun pemilik VPC bersama.

  • Akun peserta VPC bersama tidak dapat menghapus titik akhir VPC bersama dan grup keamanan yang dihosting di akun pemilik VPC bersama.

Cluster EKS lokal

Addon EKS tidak didukung pada kluster pos terdepan lokal.

Tidak bisa ditindaklanjuti.

Untuk informasi lebih lanjut, lihat Amazon EKS di AWS pos terdepan.

Izin pengaktifan Pemantauan Runtime EKS tidak diberikan

(mungkin atau mungkin tidak menampilkan informasi tambahan)

  1. Jika informasi tambahan tersedia untuk masalah ini, perbaiki akar penyebabnya dan ikuti langkah berikutnya.

  2. Alihkan EKS Runtime Monitoring untuk mematikannya dan kemudian menyalakannya kembali. Pastikan GuardDuty agen juga dikerahkan, baik secara otomatis melalui GuardDuty atau manual.

EKS Runtime Monitoring pemberdayaan penyediaan sumber daya sedang berlangsung

(mungkin atau mungkin tidak menampilkan informasi tambahan)

Tidak bisa ditindaklanjuti.

Setelah Anda mengaktifkan EKS Runtime Monitoring, status cakupan mungkin tetap ada Unhealthy hingga langkah penyediaan sumber daya selesai. Status cakupan dipantau dan diperbarui secara berkala.

Lainnya (masalah lainnya)

Kesalahan karena kegagalan otorisasi

Alihkan EKS Runtime Monitoring untuk mematikannya dan kemudian menyalakannya kembali. Pastikan GuardDuty agen juga dikerahkan, baik secara otomatis melalui GuardDuty atau manual.
Langkah-langkah pemecahan masalah untuk kesalahan pembuatan/pembaruan Addon dengan kode masalah Addon

Kesalahan pembuatan atau pembaruan addon

Langkah pemecahan masalah

EKS Addon Issue -InsufficientNumberOfReplicas: Add-on tidak sehat karena tidak memiliki jumlah replika yang diinginkan.

  • Dengan menggunakan pesan masalah, Anda dapat mengidentifikasi dan memperbaiki akar masalahnya. Anda bisa mulai dengan mendeskripsikan cluster Anda. Misalnya, gunakan kubectl describe podsuntuk mengidentifikasi akar penyebab kegagalan pod.

    Setelah Anda memperbaiki akar penyebabnya, coba lagi langkahnya (pembuatan atau pembaruan add-on).

  • Jika masalah berlanjut, validasi bahwa titik akhir VPC untuk kluster Amazon EKS Anda telah dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Memvalidasi konfigurasi titik akhir VPC.

EKS Addon Issue -InsufficientNumberOfReplicas: Add-on tidak sehat karena satu atau lebih pod tidak dijadwalkan 0/x node tersedia:. x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never

Untuk mengatasi masalah ini, Anda dapat melakukan salah satu dari yang berikut:

catatan

Pesan ditampilkan o/x karena hanya GuardDuty melaporkan kesalahan pertama yang ditemukan. Jumlah sebenarnya dari pod yang berjalan di GuardDuty daemonset mungkin lebih besar dari 0.

EKS Addon Issue -InsufficientNumberOfReplicas: Add-on tidak sehat karena satu atau lebih pod tidak dijadwalkan 0/x node tersedia:. x Too many pods. preemption: not eligible due to preemptionPolicy=Never

EKS Addon Issue -InsufficientNumberOfReplicas: Add-on tidak sehat karena satu atau lebih pod tidak dijadwalkan 0/x node tersedia:. 1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never

Masalah EKS Addon -InsufficientNumberOfReplicas: Add-on tidak sehat karena satu atau lebih pod memiliki wadah yang menunggu CrashLoopBackOff: Completed

Anda dapat melihat log yang terkait dengan pod dan mengidentifikasi masalahnya. Untuk informasi tentang cara melakukannya, lihat Debug Running Pods di Dokumentasi Kubernetes.

Gunakan daftar periksa berikut untuk memecahkan masalah add-on ini:

  • Validasi bahwa Runtime Monitoring diaktifkan.

  • Validasi bahwaPrasyarat untuk dukungan klaster Amazon EKS, seperti distribusi OS terverifikasi dan versi Kubernetes yang didukung, terpenuhi.

  • Saat Anda mengelola agen keamanan secara manual, konfirmasikan bahwa Anda membuat titik akhir VPC untuk semua. VPCs Saat Anda mengaktifkan konfigurasi GuardDuty otomatis, Anda tetap harus memvalidasi bahwa titik akhir VPC dibuat. Misalnya, saat menggunakan VPC bersama dalam konfigurasi otomatis.

    Untuk memvalidasi ini, lihatMemvalidasi konfigurasi titik akhir VPC.

  • Konfirmasikan bahwa agen GuardDuty keamanan dapat menyelesaikan DNS GuardDuty pribadi titik akhir VPC. Untuk mengetahui titik akhir, lihat Nama DNS pribadi untuk titik akhir di. Mengelola agen GuardDuty keamanan

    Untuk melakukan ini, Anda dapat menggunakan nslookup alat di Windows atau Mac, atau dig alat di Linux. Saat menggunakan nslookup, Anda dapat menggunakan perintah berikut setelah mengganti Region us-west-2 dengan Region Anda:

    nslookup guardduty-data.us-west-2.amazonaws.com

  • Validasi bahwa kebijakan titik akhir GuardDuty VPC Anda atau kebijakan kontrol layanan tidak memengaruhi tindakan. guardduty:SendSecurityTelemetry

Masalah EKS Addon -InsufficientNumberOfReplicas: Add-on tidak sehat karena satu atau lebih pod memiliki wadah yang menunggu CrashLoopBackOff: Error

Anda dapat melihat log yang terkait dengan pod dan mengidentifikasi masalahnya. Untuk informasi tentang cara melakukannya, lihat Debug Running Pods di Dokumentasi Kubernetes.

Setelah Anda mengidentifikasi masalah, gunakan daftar periksa berikut untuk memecahkan masalah ini:

  • Validasi bahwa Runtime Monitoring diaktifkan.

  • Validasi bahwaPrasyarat untuk dukungan klaster Amazon EKS, seperti distribusi OS terverifikasi dan versi Kubernetes yang didukung, terpenuhi.

  • Agen GuardDuty keamanan dapat menyelesaikan DNS pribadi titik akhir GuardDuty VPC. Untuk mengetahui titik akhir, lihat Nama DNS pribadi untuk titik akhir di. Mengelola agen GuardDuty keamanan

EKS Addon Issue -AdmissionRequestDenied: webhook penerimaan "validate.kyverno.svc-fail" menolak permintaan: kebijakan DaemonSet/amazon-guardduty/aws-guardduty-agent untuk pelanggaran sumber daya:: restrict-image-registries:autogen-validate-registries...

  1. Cluster Amazon EKS atau administrator keamanan harus meninjau kebijakan keamanan yang memblokir pembaruan Addon.

  2. Anda harus menonaktifkan controller (webhook) atau meminta controller menerima permintaan dari Amazon EKS.

EKS Addon Issue -ConfigurationConflict: Konflik ditemukan saat mencoba menerapkan. Tidak akan berlanjut karena menyelesaikan mode konflik. Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image

Saat membuat atau memperbarui Addon, berikan bendera OVERWRITE konflik penyelesaian. Ini berpotensi menimpa setiap perubahan yang telah dibuat langsung ke sumber daya terkait di Kubernetes dengan menggunakan API Kubernetes.

Anda dapat terlebih dahulu Menghapus add-on Amazon EKS dari cluster dan kemudian menginstal ulang.

Masalah EKS Addon - AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope

Anda harus menambahkan izin yang hilang ke eks:addon-cluster-admin ClusterRoleBinding manual. Tambahkan yang berikut ini yaml keeks:addon-cluster-admin:

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: eks:addon-cluster-admin
subjects:
- kind: User
  name: eks:addon-manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---

Anda sekarang dapat menerapkan ini yaml ke cluster Amazon EKS Anda dengan menggunakan perintah berikut:

kubectl apply -f eks-addon-cluster-admin.yaml

AddonUpdationFailed: EKSAddon Masalah - AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"

Masalah EKS Addon - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

Anda harus menonaktifkan pengontrol atau meminta pengontrol menerima permintaan dari kluster Amazon EKS.

Sebelum membuat atau memperbarui add-on, Anda juga dapat membuat GuardDuty namespace dan memberi label sebagai. owner

Masalah EKS Addon - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

Anda harus menonaktifkan pengontrol atau meminta pengontrol menerima permintaan dari kluster Amazon EKS.

Sebelum membuat atau memperbarui add-on, Anda juga dapat membuat GuardDuty namespace dan memberi label sebagai. owner

Masalah EKS Addon - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [allowed-container-registries] container <aws-guardduty-agent> has an invalid image registry

Tambahkan registri gambar GuardDuty ke allowed-container-registries dalam pengontrol penerimaan Anda. Untuk informasi lebih lanjut, lihat repositori ECR untuk EKS v1.8.1-eks-build.2 di. Agen hosting repositori Amazon ECR GuardDuty