Amazon EKS クラスターサポートの前提条件 - Amazon GuardDuty
Amazon EKS 機能のサポートアーキテクチャ要件の検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EKS クラスターサポートの前提条件

このセクションでは、Amazon EKS リソースのランタイム動作をモニタリングするための前提条件について説明します。これらの前提条件は、GuardDuty エージェントが期待どおりに機能するために不可欠です。これらの前提条件が満たされたら、GuardDuty Runtime Monitoring の有効化「」を参照してリソースのモニタリングを開始します。

Amazon EKS 機能のサポート

Runtime Monitoring は、Amazon EC2 インスタンスおよび Amazon EKS 自動モードで実行されている Amazon EKS クラスターをサポートします

Runtime Monitoring は、Amazon EKS Hybrid Nodes を含む Amazon EKS クラスター、および で実行されているクラスターをサポートしていません AWS Fargate。

これらの Amazon EKS 機能の詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS とは」を参照してください。

アーキテクチャ要件の検証

使用するプラットフォームは、EKS クラスターからランタイムイベントを受信する際に GuardDuty セキュリティエージェントが GuardDuty をサポートする方法に影響を与える可能性があります。検証済みのプラットフォームのいずれかを使用していることを検証する必要があります。GuardDuty エージェントを手動で管理している場合は、現在使用している GuardDuty エージェントのバージョンが、Kubernetes のバージョンでサポートされていることを確認します。

検証済みプラットフォーム

OS ディストリビューション、カーネルバージョン、CPU アーキテクチャは、GuardDuty セキュリティエージェントが提供するサポートに影響します。次の表は、GuardDuty セキュリティエージェントをデプロイし、EKS Runtime Monitoring を設定するための検証済み設定を示しています。

OS ディストリビューション1 カーネルバージョン2 カーネルサポート CPU アーキテクチャ サポートされている Kubernetes バージョン

x64 (AMD64)

Graviton (ARM64)

(Graviton2 以降)3

Bottlerocket

eBPF Tracepoints、Kprobe

サポート

サポート

5.4、5.10、5.15、6.14

v1.23 - v1.31

Ubuntu

v1.21 - v1.31

AL2

AL20235

RedHat 9.4

5.14

Fedora 34.0

5.11、5.17

CentOS Stream 9

5.14

  1. さまざまなオペレーティングシステムのサポート - GuardDuty は、前の表に記載されたオペレーティングシステムでの Runtime Monitoring の使用に対するサポートを検証しました。別のオペレーティングシステムを使用し、セキュリティエージェントを正常にインストールできる場合、GuardDuty が記載されている OS ディストリビューションで提供されることが検証されているすべての期待されるセキュリティ値を取得できる可能性があります。

  2. カーネルバージョンでは、 CONFIG_DEBUG_INFO_BTFフラグを y (true を意味します) に設定する必要があります。これは、GuardDuty セキュリティエージェントが期待どおりに実行できるようにするために必要です。

  3. Amazon EKS クラスターの Runtime Monitoring は、A1 インスタンスタイプなどの第 1 世代 Graviton インスタンスをサポートしていません。

  4. 現在、カーネルバージョン 6.1 では、GuardDuty はドメインネームシステム (DNS) イベントに関連するGuardDuty Runtime Monitoring の検出結果タイプを生成できません。

  5. Runtime Monitoring は、GuardDuty セキュリティエージェント v1.6.0 以降のリリースで AL2023 をサポートします。詳細については、「Amazon EKS クラスター用の GuardDuty セキュリティエージェント」を参照してください。

GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン

次の表は、GuardDuty セキュリティエージェントでサポートされている EKS クラスターの Kubernetes のバージョンを示しています。

Amazon EKS アドオン GuardDuty セキュリティエージェントバージョン Kubernetes バージョン

v1.8.1 (最新 - v1.8.1-eks.build-2)

1.21~1.32

v1.7.0

v1.6.1

1.21~1.31

v1.7.1

v1.7.0

v1.6.1

1.21~1.31

v1.6.0

v1.5.0

v1.4.1

v1.4.0

v1.3.1

1.21~1.29

v1.3.0

v1.2.0

1.21~1.28

v1.1.0

1.21~1.26

v1.0.0

1.21 - 1.25

一部の GuardDuty セキュリティエージェントバージョンでは、標準サポートが終了します。エージェントリリースバージョンの詳細については、「Amazon EKS クラスター用の GuardDuty セキュリティエージェント」を参照してください。

CPU とメモリの制限

次の表は、GuardDuty 向け Amazon EKS アドオンの CPU とメモリの制限を示しています (aws-guardduty-agent)。

パラメータ 最小限度 最大限度

CPU

200m

1000m

「メモリ」

256 Mi

1024 Mi

Amazon EKS アドオンバージョン 1.5.0 以降を使用する場合、GuardDuty は CPU とメモリ値にアドオンスキーマを設定する機能を提供します。設定可能な範囲については、「設定可能なパラメータと値」を参照してください。

EKS Runtime Monitoring を有効にして、EKS クラスターのカバレッジステータスを評価すると、コンテナインサイトメトリクスを設定および表示できます。詳細については、「CPU とメモリモニタリングの設定」を参照してください。