As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Cobertura para EKS clusters da Amazon
Depois de ativar o Runtime Monitoring e instalar o agente de GuardDuty segurança (complemento) manualmente EKS ou por meio da configuração automática do agente, você pode começar a avaliar a cobertura dos seus EKS clusters.
Conteúdo
Análise de estatísticas de cobertura
As estatísticas de cobertura dos EKS clusters associados às suas próprias contas ou às suas contas membros são a porcentagem dos EKS clusters íntegros em relação a todos os EKS clusters selecionados. Região da AWS. A equação a seguir representa isso como:
(Clusters íntegros/todos os clusters)*100
Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.
Se o status da cobertura do seu EKS cluster for Não íntegro, consulteSolução de problemas de EKS cobertura.
Configuração de notificações de alteração do status de cobertura
O status da cobertura de um EKS cluster em sua conta pode aparecer como Não íntegro. Para detectar quando o status da cobertura se torna Não íntegro, recomendamos que você monitore o status de cobertura periodicamente e solucione o problema, se o status for Não íntegro. Como alternativa, você pode criar uma EventBridge regra da Amazon para notificá-lo quando o status da cobertura mudar de Unhealthy
para Healthy
ou não. Por padrão, GuardDuty publica isso no EventBridgebarramento da sua conta.
Exemplo de esquema de notificação
Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.
Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura do seu EKS cluster Amazon mudar de Healthy
paraUnhealthy
, o detail-type
deve ser GuardDuty Runtime Protection Unhealthy
. Para ser notificado quando o status da cobertura mudar de Unhealthy
paraHealthy
, substitua o valor de detail-type
por GuardDuty Runtime Protection Healthy
.
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection
Unhealthy
", "source": "aws.guardduty", "account": "Conta da AWS ID", "time": "event timestamp (string)", "region": "Região da AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "EKS", "eksClusterDetails": { "clusterName": "string", "availableNodes": "string", "desiredNodes": "string", "addonVersion": "string" } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
Solução de problemas de EKS cobertura
Se o status da cobertura do seu EKS cluster forUnhealthy
, você poderá visualizar o erro correspondente na coluna Problema no GuardDuty console ou usando o tipo de CoverageResourcedados.
Ao trabalhar com tags de inclusão ou exclusão para monitorar seus EKS clusters seletivamente, pode levar algum tempo para que as tags sejam sincronizadas. Isso pode afetar o status de cobertura do EKS cluster associado. É possível tentar remover e adicionar a tag correspondente (inclusão ou exclusão) novamente. Para obter mais informações, consulte Como marcar seus EKS recursos da Amazon no Guia do EKS usuário da Amazon.
A estrutura de um problema de cobertura é Issue type:Extra information
. Normalmente, os problemas terão Informações adicionais opcionais que poderão incluir uma exceção específica do lado do cliente ou uma descrição sobre o problema. Com base em informações adicionais, as tabelas a seguir fornecem as etapas recomendadas para solucionar os problemas de cobertura dos seus EKS clusters.
Tipo de problema (prefixo) |
Informações adicionais |
Etapas para solução de problemas |
---|---|---|
Falha na criação do complemento |
O complemento não |
Certifique-se de usar uma dessas versões do Kubernetes que oferecem suporte à implantação do complemento. |
Falha na criação do complemento Falha na atualização do complemento Status do complemento insalubre |
EKSProblema adicional -: |
Para obter informações sobre as etapas recomendadas para um código de problema específico do complemento, consulteTroubleshooting steps for Addon creation/updatation error with Addon issue code. Para obter uma lista dos códigos de problemas adicionais que você pode enfrentar nesse problema, consulte AddonIssue. |
VPCFalha na criação do endpoint |
VPCcriação de endpoint não suportada para compartilhamento VPC |
O Runtime Monitoring agora suporta o uso de um compartilhamento VPC dentro de uma organização. Certifique-se de que suas contas atendam a todos os pré-requisitos. Para obter mais informações, consulte Pré-requisitos para usar o compartilhado VPC. |
Somente ao usar a configuração compartilhada VPC com agente automatizado ID da conta do proprietário |
A conta compartilhada do VPC proprietário deve habilitar o Runtime Monitoring e a configuração automática do agente para pelo menos um tipo de recurso (Amazon EKS ou Amazon ECS (AWS Fargate)). Para obter mais informações, consultePré-requisitos específicos para o monitoramento de tempo de execução GuardDuty. | |
Habilitar o privado DNS requer ambos |
Certifique-se de que os VPC atributos a seguir estejam definidos como Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/ |
|
Falha na exclusão VPC do endpoint compartilhado |
A exclusão compartilhada VPC do endpoint não é permitida para o ID da conta |
Etapas potenciais:
|
EKSClusters locais |
EKScomplementos não são suportados em clusters de postos avançados locais. |
Não acionável. Para obter mais informações, consulte Amazon EKS em AWS postos avançados. |
EKSPermissão de ativação do Runtime Monitoring não concedida |
(pode ou não mostrar informações adicionais) |
|
EKSProvisionamento de recursos de habilitação do Runtime Monitoring em andamento |
(pode ou não mostrar informações adicionais) |
Não acionável. Depois de habilitar o EKS Runtime Monitoring, o status da cobertura pode permanecer |
Outros (qualquer outro problema) |
Erro devido à falha na autorização |
Alterne o EKS Runtime Monitoring para desativá-lo e depois ligá-lo novamente. Certifique-se de que o GuardDuty agente também seja implantado, de forma automática GuardDuty ou manual. |
Erro na criação ou atualização do complemento |
Etapas de solução de problemas |
---|---|
EKSProblema do complemento - |
|
EKSProblema adicional - |
|
EKSProblema do complemento - |
Ao criar ou atualizar o complemento, forneça o sinalizador de Você pode primeiro excluir o complemento e depois reinstalá-lo. |
EKSProblema do complemento - |
Você deve adicionar
Agora você pode aplicar isso
|
EKSProblema do complemento - |
Você deve desativar o controlador ou fazer com que ele aceite as solicitações do EKS cluster da Amazon. Antes de criar ou atualizar o complemento, você também pode criar um GuardDuty namespace e rotulá-lo como. |
EKSProblema do complemento - |
Você deve permitir explicitamente que o webhook do controlador de admissão acesse o registro da sua região, conforme especificado em. Repositório para EKS agente versão 1.6.0 ou superior |