Comportamento di configurazione automatizzato degli agenti con parametri configurati Parametri e valori configurabili Verifica degli aggiornamenti dello schema di configurazione

Configurazione GuardDuty dei parametri dell'agente di sicurezza (componente aggiuntivo) per Amazon EKS

Puoi configurare parametri specifici del tuo agente di GuardDuty sicurezza per Amazon EKS. Questo supporto è disponibile per la versione 1.5.0 e successive del GuardDuty Security Agent. Per informazioni sulle ultime versioni dei componenti aggiuntivi, consulta. GuardDuty agente di sicurezza per cluster Amazon EKS

Perché devo aggiornare lo schema di configurazione del Security Agent: Lo schema di configurazione per l'agente GuardDuty di sicurezza è lo stesso per tutti i contenitori all'interno dei cluster Amazon EKS. Quando i valori predefiniti non sono in linea con i carichi di lavoro associati e le dimensioni dell'istanza, prendi in considerazione la configurazione delle impostazioni della CPU, delle impostazioni della memoria e delle impostazioni. PriorityClass dnsPolicy Indipendentemente da come gestisci l' GuardDuty agente per i tuoi cluster Amazon EKS, puoi configurare o aggiornare la configurazione esistente di questi parametri.

Comportamento di configurazione automatizzato degli agenti con parametri configurati

Quando GuardDuty gestisce il security agent (componente aggiuntivo EKS) per conto dell'utente, aggiorna il componente aggiuntivo, se necessario. GuardDuty imposterà il valore dei parametri configurabili su un valore predefinito. Tuttavia, è ancora possibile aggiornare i parametri al valore desiderato. Se ciò causa un conflitto, l'opzione predefinita per ResolveConflicts è. None

Parametri e valori configurabili

Per informazioni sui passaggi per configurare i parametri del componente aggiuntivo, consulta:

Le tabelle seguenti forniscono gli intervalli e i valori che puoi utilizzare per distribuire manualmente il componente aggiuntivo Amazon EKS o aggiornare le impostazioni del componente aggiuntivo esistenti.

Impostazioni della CPU

Parametri	Valore predefinito	Intervallo configurabile
Richieste	200 m	Tra 200 m e 10000 m, entrambi inclusi
Limiti	1000 m	Tra 200 m e 10000 m, entrambi inclusi

Impostazioni della memoria

Parametri	Valore predefinito	Intervallo configurabile
Richieste	256 Mi	Tra 256 Mi e 20000 Mi, entrambi inclusi
Limiti	1024 Mi	Tra 256 Mi e 20000 Mi, entrambi inclusi

Impostazioni di PriorityClass

Quando GuardDuty crea un componente aggiuntivo Amazon EKS per te, l'assegnato PriorityClass èaws-guardduty-agent.priorityclass. Ciò significa che non verrà intrapresa alcuna azione in base alla priorità del pod dell'agente. È possibile configurare questo parametro aggiuntivo scegliendo una delle seguenti PriorityClass opzioni:

Configurabile `PriorityClass`	`preemptionPolicy` value	`preemptionPolicy`descrizione	valore del pod
`aws-guardduty-agent.priorityclass`	`Never`	Nessuna operazione	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	L'assegnazione di questo valore impedirà l'esecuzione di un pod con il valore di priorità inferiore al valore del pod dell'agente.	100000000
`system-cluster-critical`¹	`PreemptLowerPriority`		2000000000
`system-node-critical`¹	`PreemptLowerPriority`		2000001000

¹ Kubernetes offre queste due opzioni: e. PriorityClass system-cluster-critical system-node-critical Per ulteriori informazioni, consulta la documentazione di PriorityClassKubernetes.

Impostazioni di dnsPolicy

Scegli una delle seguenti opzioni di policy DNS supportate da Kubernetes. Quando non viene specificata alcuna configurazione, ClusterFirst viene utilizzato come valore predefinito.

ClusterFirst
ClusterFirstWithHostNet
Default

Per informazioni su queste politiche, consulta la politica DNS di Pod nella documentazione di Kubernetes.

Verifica degli aggiornamenti dello schema di configurazione

Dopo aver configurato i parametri, effettuate le seguenti operazioni per verificare che lo schema di configurazione sia stato aggiornato:

Apri la console Amazon EKS a https://console.aws.amazon.com/eks/home#/clusters.
Nel pannello di navigazione scegliere Clusters (Cluster).
Nella pagina Cluster, seleziona il nome del cluster per il quale desideri verificare gli aggiornamenti.
Scegliere la scheda Resources (Risorse).
Dal riquadro Tipi di risorse, in Carichi di lavoro, scegli. DaemonSets
Seleziona aws-guardduty-agent.
Nella aws-guardduty-agentpagina, scegli Visualizzazione raw per visualizzare la risposta JSON non formattata. Verifica che i parametri configurabili visualizzino il valore che hai fornito.

Dopo la verifica, passa alla GuardDuty console. Seleziona il corrispondente Regione AWS e visualizza lo stato della copertura per i tuoi cluster Amazon EKS. Per ulteriori informazioni, consulta Copertura del runtime e risoluzione dei problemi per i cluster Amazon EKS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Prerequisito: creazione di un endpoint Amazon VPC

Installazione manuale dell'agente di GuardDuty sicurezza sulle risorse Amazon EKS