Konfigurasikan parameter agen GuardDuty keamanan (add-on) untuk Amazon EKS - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan parameter agen GuardDuty keamanan (add-on) untuk Amazon EKS

Anda dapat mengonfigurasi parameter spesifik agen GuardDuty keamanan Anda untuk Amazon EKS. Dukungan ini tersedia untuk agen GuardDuty keamanan versi 1.5.0 dan di atasnya. Untuk informasi tentang versi add-on terbaru, lihatGuardDuty agen keamanan untuk kluster Amazon EKS.

Mengapa saya harus memperbarui skema konfigurasi agen keamanan

Skema konfigurasi untuk agen GuardDuty keamanan sama di semua kontainer dalam kluster Amazon EKS Anda. Jika nilai default tidak sejajar dengan beban kerja dan ukuran instans terkait, pertimbangkan untuk mengonfigurasi pengaturan CPU, pengaturan memori, dan pengaturan. PriorityClass dnsPolicy Terlepas dari bagaimana Anda mengelola GuardDuty agen untuk kluster Amazon EKS Anda, Anda dapat mengonfigurasi atau memperbarui konfigurasi parameter ini yang ada.

Perilaku konfigurasi agen otomatis dengan parameter yang dikonfigurasi

Ketika GuardDuty mengelola agen keamanan (EKS add-on) atas nama Anda, itu memperbarui add-on, sesuai kebutuhan. GuardDuty akan mengatur nilai parameter yang dapat dikonfigurasi ke nilai default. Namun, Anda masih dapat memperbarui parameter ke nilai yang diinginkan. Jika ini mengarah ke konflik, opsi default untuk ResolveConflicts adalah. None

Parameter dan nilai yang dapat dikonfigurasi

Untuk informasi tentang langkah-langkah untuk mengkonfigurasi parameter add-on, lihat:

Tabel berikut menyediakan rentang dan nilai yang dapat Anda gunakan untuk menerapkan add-on Amazon EKS secara manual atau memperbarui pengaturan add-on yang ada.

Pengaturan CPU

Parameter

Nilai default

Rentang yang dapat dikonfigurasi

Permintaan

200m

Antara 200m dan 10000m, keduanya inklusif

Batas

1000m

Pengaturan memori

Parameter

Nilai default

Rentang yang dapat dikonfigurasi

Permintaan

256Mi

Antara 256Mi dan 20000Mi, keduanya inklusif

Batas

1024Mi

PriorityClasspengaturan

Saat GuardDuty membuat add-on Amazon EKS untuk Anda, yang ditetapkan PriorityClass adalahaws-guardduty-agent.priorityclass. Ini berarti bahwa tidak ada tindakan yang akan diambil berdasarkan prioritas pod agen. Anda dapat mengonfigurasi parameter add-on ini dengan memilih salah satu PriorityClass opsi berikut:

Dapat dikonfigurasi PriorityClass

Nilai preemptionPolicy

preemptionPolicydeskripsi

Nilai pod

aws-guardduty-agent.priorityclass

Never

Tidak ada tindakan

1000000

aws-guardduty-agent.priorityclass-high

PreemptLowerPriority

Menetapkan nilai ini akan mendahului sebuah pod yang berjalan dengan nilai prioritas lebih rendah dari nilai pod agen.

100000000

system-cluster-critical1

PreemptLowerPriority

2000000000

system-node-critical1

PreemptLowerPriority

2000001000

1 Kubernetes menyediakan dua PriorityClass opsi ini — dan. system-cluster-critical system-node-critical Untuk informasi selengkapnya, lihat PriorityClassdi dokumentasi Kubernetes.

dnsPolicypengaturan

Pilih salah satu opsi kebijakan DNS berikut yang didukung Kubernetes. Ketika tidak ada konfigurasi yang ClusterFirst ditentukan, digunakan sebagai nilai default.

  • ClusterFirst

  • ClusterFirstWithHostNet

  • Default

Untuk informasi tentang kebijakan ini, lihat Kebijakan DNS Pod di dokumentasi Kubernetes.

Memverifikasi pembaruan skema konfigurasi

Setelah Anda mengonfigurasi parameter, lakukan langkah-langkah berikut untuk memverifikasi bahwa skema konfigurasi telah diperbarui:

  1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/rumah#/cluster.

  2. Pada panel navigasi, silakan pilih Klaster.

  3. Pada halaman Clusters, pilih nama Cluster yang ingin Anda verifikasi pembaruannya.

  4. Pilih tab Sumber Daya.

  5. Dari panel Jenis sumber daya, di bawah Beban kerja, pilih. DaemonSets

  6. Pilih aws-guardduty-agent.

  7. Pada aws-guardduty-agenthalaman, pilih Tampilan mentah untuk melihat respons JSON yang tidak diformat. Verifikasi bahwa parameter yang dapat dikonfigurasi menampilkan nilai yang Anda berikan.

Setelah Anda memverifikasi, beralih ke GuardDuty konsol. Pilih yang sesuai Wilayah AWS dan lihat status cakupan untuk kluster Amazon EKS Anda. Untuk informasi selengkapnya, lihat Cakupan runtime dan pemecahan masalah untuk klaster Amazon EKS.