Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS

PDF
RSS
Modalità Focus
Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS - Amazon GuardDuty
Revisione delle statistiche di coperturaModifica dello stato della copertura con EventBridge notificheRisoluzione dei problemi di copertura del runtime di Amazon EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dopo aver abilitato il Runtime Monitoring e installato il GuardDuty security agent (componente aggiuntivo) per EKS manualmente o tramite la configurazione automatica degli agenti, puoi iniziare a valutare la copertura per i tuoi cluster EKS.

Revisione delle statistiche di copertura

Le statistiche di copertura per i cluster EKS associati ai tuoi account o ai tuoi account membri consistono nella percentuale dei cluster EKS integri rispetto a tutti i cluster EKS nella Regione AWS selezionata. L'equazione seguente rappresenta questa percentuale come:

(Cluster integri/Tutti i cluster)*100

Scegli uno dei metodi di accesso per esaminare le statistiche di copertura dei tuoi account.

Console

  • Accedi a AWS Management Console e apri la console all' GuardDuty indirizzo. https://console.aws.amazon.com/guardduty/

  • Nel riquadro di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Copertura runtime dei cluster EKS.

  • Nella scheda Copertura runtime del cluster EKS puoi visualizzare le statistiche di copertura aggregate per stato di copertura, disponibili nella tabella Elenco cluster.

    • Puoi filtrare la tabella Elenco cluster in base alle seguenti colonne:

      • Nome cluster

      • ID account

      • Tipo di gestione dell'agente

      • Stato copertura

      • Versione del componente aggiuntivo

  • Se uno dei tuoi cluster EKS ha lo Stato copertura impostato su Non integro, la colonna Problema può includere informazioni aggiuntive sul motivo dello stato Non integro.

API/CLI

  • Esegui l'ListCoverageAPI con il tuo ID rilevatore, la tua regione e l'endpoint di servizio validi. Puoi filtrare e ordinare l'elenco dei cluster utilizzando l'API in questione.

    • Puoi modificare il filter-criteria di esempio con una delle opzioni seguenti per CriterionKey:

      • ACCOUNT_ID

      • CLUSTER_NAME

      • RESOURCE_TYPE

      • COVERAGE_STATUS

      • ADDON_VERSION

      • MANAGEMENT_TYPE

    • Puoi modificare il AttributeName di esempio in sort-criteria con una delle opzioni seguenti:

      • ACCOUNT_ID

      • CLUSTER_NAME

      • COVERAGE_STATUS

      • ISSUE

      • ADDON_VERSION

      • UPDATED_AT

    • Puoi modificare max-results (fino a 50).

    • Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0 --sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results 5

  • Esegui l'GetCoverageStatisticsAPI per recuperare le statistiche aggregate sulla copertura basate su. statisticsType

    • Puoi modificare il statisticsType di esempio con una delle opzioni seguenti:

      • COUNT_BY_COVERAGE_STATUS: rappresenta le statistiche di copertura per i cluster EKS aggregate per stato di copertura.

      • COUNT_BY_RESOURCE_TYPE— Statistiche di copertura aggregate in base al tipo di AWS risorsa nell'elenco.

      • È possibile modificare il filter-criteria di esempio nel comando. Puoi utilizzare le seguenti opzioni per CriterionKey:

        • ACCOUNT_ID

        • CLUSTER_NAME

        • RESOURCE_TYPE

        • COVERAGE_STATUS

        • ADDON_VERSION

        • MANAGEMENT_TYPE

    • Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

    aws guardduty --region us-east-1 get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --statistics-type COUNT_BY_COVERAGE_STATUS --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
anchoranchor

  • Accedi a AWS Management Console e apri la console all' GuardDuty indirizzo. https://console.aws.amazon.com/guardduty/

  • Nel riquadro di navigazione, scegli Runtime Monitoring.

  • Scegli la scheda Copertura runtime dei cluster EKS.

  • Nella scheda Copertura runtime del cluster EKS puoi visualizzare le statistiche di copertura aggregate per stato di copertura, disponibili nella tabella Elenco cluster.

    • Puoi filtrare la tabella Elenco cluster in base alle seguenti colonne:

      • Nome cluster

      • ID account

      • Tipo di gestione dell'agente

      • Stato copertura

      • Versione del componente aggiuntivo

  • Se uno dei tuoi cluster EKS ha lo Stato copertura impostato su Non integro, la colonna Problema può includere informazioni aggiuntive sul motivo dello stato Non integro.

Se lo stato di copertura del cluster EKS è Non integro, consulta Risoluzione dei problemi di copertura del runtime di Amazon EKS.

Modifica dello stato della copertura con EventBridge notifiche

Lo stato di copertura di un cluster EKS nel tuo account potrebbe essere visualizzato come Non integro. Per rilevare quando lo stato di copertura diventa Non integro, ti consigliamo di monitorarlo periodicamente e di risolvere i problemi se è Non integro. In alternativa, puoi creare una EventBridge regola Amazon per avvisarti quando lo stato della copertura cambia Unhealthy da Healthy o in altro modo. Per impostazione predefinita, GuardDuty lo pubblica nel EventBridge bus per il tuo account.

Schema di esempio delle notifiche

EventBridge Di norma, è possibile utilizzare gli eventi e i modelli di eventi di esempio predefiniti per ricevere notifiche sullo stato della copertura. Per ulteriori informazioni sulla creazione di una EventBridge regola, consulta Create rule nella Amazon EventBridge User Guide.

Inoltre, puoi creare un pattern di eventi personalizzato utilizzando lo schema di esempio delle notifiche seguente. Assicurati di sostituire i valori per il tuo account. Per ricevere una notifica quando lo stato di copertura del tuo cluster Amazon EKS cambia da Healthy aUnhealthy, detail-type dovresti farloGuardDuty Runtime Protection Unhealthy. Per ricevere una notifica quando lo stato della copertura cambia da Unhealthy aHealthy, sostituisci il valore di detail-type conGuardDuty Runtime Protection Healthy.

{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection Unhealthy",
  "source": "aws.guardduty",
  "account": "Account AWS ID",
  "time": "event timestamp (string)",
  "region": "Regione AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}

Risoluzione dei problemi di copertura del runtime di Amazon EKS

Se lo stato di copertura per il tuo cluster EKS èUnhealthy, puoi visualizzare l'errore corrispondente nella colonna Problema della GuardDuty console o utilizzando il tipo di CoverageResourcedati.

Quando utilizzi tag di inclusione o di esclusione per monitorare in modo selettivo i cluster EKS, la sincronizzazione dei tag potrebbe richiedere del tempo. Ciò potrebbe influire sullo stato di copertura del cluster EKS associato. Puoi provare a rimuovere e aggiungere nuovamente il tag corrispondente (di inclusione o di esclusione). Per ulteriori informazioni, consulta Assegnazione di tag alle risorse Amazon EKS nella Guida per l'utente di Amazon EKS.

La struttura di un problema di copertura è Issue type:Extra information. In genere, in caso di problemi vengono fornite Informazioni supplementari facoltative che possono includere specifiche eccezioni o descrizioni del problema sul lato client. Sulla base di informazioni aggiuntive, le tabelle seguenti forniscono i passaggi consigliati per risolvere i problemi di copertura per i cluster EKS.

Tipo di problema (prefisso)

Informazioni supplementari

Fasi consigliate per la risoluzione dei problemi

Creazione del componente aggiuntivo non riuscita

L'addon non aws-guardduty-agent è compatibile con la versione corrente del cluster. ClusterName Il componente aggiuntivo specificato non è supportato.

Assicurati di utilizzare una delle versioni di Kubernetes che supportano l'implementazione del componente aggiuntivo EKS aws-guardduty-agent. Per ulteriori informazioni, consulta Versioni di Kubernetes supportate dal Security Agent GuardDuty . Per informazioni sull'aggiornamento della versione di Kubernetes, consulta Aggiornamento di una versione Kubernetes del cluster Amazon EKS.

Creazione del componente aggiuntivo non riuscita

Aggiornamento del componente aggiuntivo non riuscito

Stato del componente aggiuntivo non integro

Problema relativo al componente aggiuntivo EKS - AddonIssueCode: AddonIssueMessage

Per informazioni sui passaggi consigliati per un codice di problema specifico del componente aggiuntivo, consulta. Troubleshooting steps for Addon creation/updatation error with Addon issue code

Per un elenco dei codici di problema relativi ai componenti aggiuntivi che potresti riscontrare in questo problema, consulta. AddonIssue

Creazione degli endpoint VPC non riuscita

La creazione di endpoint VPC non è supportata per VPC condiviso vpcId

Il Runtime Monitoring ora supporta l'uso di un VPC condiviso all'interno di un'organizzazione. Assicurati che i tuoi account soddisfino tutti i prerequisiti. Per ulteriori informazioni, consulta Prerequisiti per l'utilizzo di un VPC condiviso.

Solo quando si utilizza un VPC condiviso con configurazione automatizzata degli agenti

L'ID dell'account proprietario 111122223333 per il VPC condiviso vpcId non ha né il monitoraggio del runtime né la configurazione automatica degli agenti abilitati o entrambi.

 L'account proprietario del VPC condiviso deve abilitare il monitoraggio del runtime e la configurazione automatica degli agenti per almeno un tipo di risorsa (Amazon EKS o Amazon ECS ())AWS Fargate. Per ulteriori informazioni, consulta Prerequisiti specifici per il monitoraggio del runtime GuardDuty .

L'abilitazione del DNS privato richiede entrambi enableDnsSupport gli attributi enableDnsHostnames VPC impostati true su vpcId for (Service: Ec2, Status Code:400, Request ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Assicurati che i seguenti attributi VPC siano impostati su trueenableDnsSupport e enableDnsHostnames. Per ulteriori informazioni, consulta Attributi DNS nel VPC.

Se utilizzi la console Amazon VPC su https://console.aws.amazon.com/vpc/per creare Amazon VPC, assicurati di selezionare sia Abilita nomi host DNS che Abilita risoluzione DNS. Per ulteriori informazioni, consulta Opzioni di configurazione del VPC.

Eliminazione degli endpoint VPC condivisi non riuscita

L'eliminazione dell'endpoint VPC condiviso non è consentita per ID account, VPC 111122223333 vpcId condiviso, ID account proprietario. 555555555555
Potenziali passaggi:

  • La disabilitazione dello stato di monitoraggio del runtime dell'account partecipante VPC condiviso non influisce sulla policy degli endpoint VPC condivisi e sul gruppo di sicurezza esistente nell'account del proprietario.

    Per eliminare l'endpoint VPC condiviso e il gruppo di sicurezza, devi disabilitare il monitoraggio del runtime o lo stato di configurazione automatica dell'agente nell'account proprietario del VPC condiviso.

  • L'account partecipante VPC condiviso non può eliminare l'endpoint VPC condiviso e il gruppo di sicurezza ospitati nell'account proprietario del VPC condiviso.

Cluster EKS locali

I componenti aggiuntivi EKS non sono supportati sui cluster outpost locali.

Non utilizzabile.

Per ulteriori informazioni, consulta Amazon EKS on AWS outposts.

Autorizzazione per l'abilitazione del monitoraggio del runtime EKS non concessa

(può mostrare o meno informazioni aggiuntive)

  1. Se sono disponibili informazioni supplementari per questo problema, correggine la causa principale e segui la fase successiva.

  2. Disattiva il monitoraggio del runtime EKS, quindi riattivalo. Assicurati che anche l' GuardDutyagente venga distribuito, automaticamente GuardDuty o manualmente.

Provisioning delle risorse per l'abilitazione del monitoraggio del runtime EKS in corso

(può mostrare o meno informazioni aggiuntive)

Non utilizzabile.

Dopo aver abilitato il monitoraggio del runtime EKS, lo stato di copertura potrebbe rimanere Unhealthy fino al completamento della fase di provisioning delle risorse. Lo stato di copertura viene monitorato e aggiornato periodicamente.

Altri (qualsiasi altro problema)

Errore dovuto a un errore di autorizzazione

Disattiva il monitoraggio del runtime EKS, quindi riattivalo. Assicurati che anche l' GuardDuty agente venga distribuito, automaticamente GuardDuty o manualmente.
Procedura di risoluzione dei problemi relativi all'errore di creazione/aggiornamento di un componente aggiuntivo con il codice di problema di Addon

Errore di creazione o aggiornamento del componente aggiuntivo

Fasi per la risoluzione dei problemi

Problema relativo all'addon EKSInsufficientNumberOfReplicas: il componente aggiuntivo non è integro perché non ha il numero di repliche desiderato.

  • Utilizzando il messaggio di problema, è possibile identificare e correggere la causa principale. Puoi iniziare descrivendo il tuo cluster. Ad esempio, kubectl describe podsda utilizzare per identificare la causa principale dell'errore del pod.

    Dopo aver corretto la causa principale, riprova il passaggio (creazione o aggiornamento del componente aggiuntivo).

  • Se il problema persiste, verifica che l'endpoint VPC per il tuo cluster Amazon EKS sia configurato correttamente. Per ulteriori informazioni, consulta Convalida della configurazione degli endpoint VPC.

Problema relativo al componente aggiuntivo EKSInsufficientNumberOfReplicas: Il componente aggiuntivo non è integro perché uno o più pod non sono pianificati. Sono disponibili nodi:. 0/x x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never

Per risolvere il problema, è possibile procedere in uno dei seguenti modi:

Nota

Il messaggio viene visualizzato o/x perché GuardDuty riporta solo il primo errore rilevato. Il numero effettivo di pod in esecuzione nel GuardDuty daemonset potrebbe essere maggiore di 0.

Problema relativo al componente aggiuntivo EKS -InsufficientNumberOfReplicas: Il componente aggiuntivo non è integro perché uno o più pod non sono pianificati. Sono disponibili nodi:. 0/x x Too many pods. preemption: not eligible due to preemptionPolicy=Never

EKS Addon Issue -InsufficientNumberOfReplicas: Il componente aggiuntivo non è integro perché uno o più pod non sono pianificati. Sono disponibili nodi:. 0/x 1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never

EKS Addon Issue -InsufficientNumberOfReplicas: Il componente aggiuntivo non è salutare perché uno o più pod hanno contenitori in attesa CrashLoopBackOff: Completed

Puoi visualizzare i log associati al pod e identificare il problema. Per informazioni su come eseguire questa operazione, consulta Debug Running Pods nella documentazione di Kubernetes.

Utilizza la seguente lista di controllo per risolvere questo problema relativo al componente aggiuntivo:

  • Verifica che il Runtime Monitoring sia abilitato.

  • Verifica che le distribuzioni del sistema operativoPrerequisiti per il supporto dei cluster Amazon EKS, ad esempio le distribuzioni del sistema operativo verificate e le versioni Kubernetes supportate, siano soddisfatte.

  • Quando gestisci manualmente il security agent, conferma di aver creato un endpoint VPC per tutti. VPCs Quando abiliti la configurazione GuardDuty automatizzata, dovresti comunque verificare che l'endpoint VPC venga creato. Ad esempio, quando si utilizza un VPC condiviso in configurazione automatizzata.

    Per convalidarlo, consulta. Convalida della configurazione degli endpoint VPC

  • Verifica che il GuardDuty security agent sia in grado di risolvere il DNS privato dell'endpoint GuardDuty VPC. Per conoscere gli endpoint, consulta Nomi DNS privati per gli endpoint in. Gestione degli agenti GuardDuty di sicurezza

    A tale scopo, puoi utilizzare nslookup uno strumento su Windows o Mac o uno dig strumento su Linux. Quando usi nslookup, puoi usare il seguente comando dopo aver sostituito la regione us-west-2 con la tua regione:

    nslookup guardduty-data.us-west-2.amazonaws.com

  • Verifica che la policy degli endpoint GuardDuty VPC o la policy di controllo del servizio non influiscano sulle azioni. guardduty:SendSecurityTelemetry

Problema relativo al componente aggiuntivo EKSInsufficientNumberOfReplicas: il componente aggiuntivo non è salutare perché in uno o più pod sono presenti contenitori in attesa CrashLoopBackOff: Error

Puoi visualizzare i log associati al pod e identificare il problema. Per informazioni su come eseguire questa operazione, consulta Debug Running Pods nella documentazione di Kubernetes.

Dopo aver identificato il problema, utilizza la seguente lista di controllo per risolverlo:

  • Verifica che il Runtime Monitoring sia abilitato.

  • Verifica che le distribuzioni del sistema operativoPrerequisiti per il supporto dei cluster Amazon EKS, ad esempio le distribuzioni del sistema operativo verificate e le versioni Kubernetes supportate, siano soddisfatte.

  • Il GuardDuty security agent è in grado di risolvere il DNS privato dell'endpoint GuardDuty VPC. Per conoscere gli endpoint, vedi Nomi DNS privati per gli endpoint in. Gestione degli agenti GuardDuty di sicurezza

EKS Addon IssueAdmissionRequestDenied: webhook di ammissione "validate.kyverno.svc-fail" ha negato la richiesta: policy DaemonSet/amazon-guardduty/aws-guardduty-agent per la violazione delle risorse:::... restrict-image-registries autogen-validate-registries

  1. Il cluster Amazon EKS o l'amministratore della sicurezza devono rivedere la politica di sicurezza che blocca l'aggiornamento dell'Addon.

  2. È necessario disabilitare il controller (webhook) o fare in modo che il controller accetti le richieste da Amazon EKS.

EKS Addon Issue -ConfigurationConflict: Conflitti rilevati durante il tentativo di candidatura. Non continuerà a causa della modalità di risoluzione dei conflitti. Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image

Quando crei o aggiorni l'Addon, fornisci il flag di OVERWRITE risoluzione del conflitto. Ciò potrebbe sovrascrivere qualsiasi modifica apportata direttamente alle risorse correlate in Kubernetes utilizzando l'API Kubernetes.

Puoi prima rimuovere un componente aggiuntivo Amazon EKS da un cluster e poi reinstallarlo.

Problema relativo al componente aggiuntivo EKS - AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope

È necessario aggiungere l'autorizzazione mancante al eks:addon-cluster-admin ClusterRoleBinding manuale. Aggiungi quanto segue yaml aeks:addon-cluster-admin:

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: eks:addon-cluster-admin
subjects:
- kind: User
  name: eks:addon-manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---

Ora puoi applicarlo yaml al tuo cluster Amazon EKS utilizzando il seguente comando:

kubectl apply -f eks-addon-cluster-admin.yaml

AddonUpdationFailed: EKSAddon Problema - AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"

Problema aggiuntivo EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

È necessario disabilitare il controller o fare in modo che il controller accetti le richieste dal cluster Amazon EKS.

Prima di creare o aggiornare il componente aggiuntivo, puoi anche creare uno spazio dei GuardDuty nomi ed etichettarlo come. owner

Problema relativo al componente aggiuntivo EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label

È necessario disabilitare il controller o fare in modo che il controller accetti le richieste dal cluster Amazon EKS.

Prima di creare o aggiornare il componente aggiuntivo, puoi anche creare uno spazio dei GuardDuty nomi ed etichettarlo come. owner

Problema relativo al componente aggiuntivo EKS - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [allowed-container-registries] container <aws-guardduty-agent> has an invalid image registry

Aggiungi il registro delle immagini per GuardDuty al tuo controller allowed-container-registries di ammissione. Per ulteriori informazioni, consultate il repository ECR per EKS v1.8.1-eks-build.2 in. Agente di hosting del repository Amazon ECR GuardDuty

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.