As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Cobertura de runtime e solução de problemas para clusters do Amazon ECS
A cobertura de tempo de execução dos clusters do Amazon ECS inclui as tarefas em execução nas AWS Fargate instâncias de contêineres do Amazon ECS. 1
Para um cluster do Amazon ECS executado no Fargate, a cobertura do runtime é avaliada no nível da tarefa. A cobertura de runtime dos clusters ECS inclui as tarefas do Fargate que começaram a ser executadas depois que o Monitoramento de runtime e a configuração de agente automatizado foram habilitados para o Fargate (somente ECS). Por padrão, uma tarefa do Fargate é imutável. GuardDuty não será possível instalar o agente de segurança para monitorar contêineres em tarefas já em execução. Para incluir essa tarefa do Fargate, pare e inicie a tarefa novamente. Verifique se o serviço associado é compatível.
Para obter informações sobre o contêiner do Amazon ECS, consulte Criação de capacidade.
Conteúdo
Análise de estatísticas de cobertura
As estatísticas de cobertura dos recursos do Amazon ECS associados às suas próprias contas ou contas-membro são a porcentagem dos clusters do Amazon ECS íntegros em relação a todos os clusters do Amazon ECS nas Região da AWS selecionadas. Isso inclui a cobertura dos clusters do Amazon ECS associados às instâncias Fargate e Amazon EC2 . A seguinte equação representa isso como:
(Clusters íntegros/todos os clusters)*100
Considerações
-
As estatísticas de cobertura do cluster do ECS incluem o status de cobertura das tarefas do Fargate ou das instâncias de contêiner do ECS associadas a esse cluster do ECS. O status de cobertura das tarefas do Fargate inclui tarefas que estão em execução ou que foram concluídas recentemente.
-
Na guia Cobertura de runtime de clusters EC, o campo Instâncias de contêiner cobertas indica o status de cobertura das instâncias de contêiner associados ao seu cluster Amazon ECS.
Se o seu cluster do Amazon ECS contiver somente tarefas do Fargate, a contagem aparecerá como 0/0.
-
Se o seu cluster do Amazon ECS estiver associado a uma EC2 instância da Amazon que não tem um agente de segurança, o cluster do Amazon ECS também terá um status de cobertura insalubre.
Para identificar e solucionar o problema de cobertura da EC2 instância associada da Amazon, consulte Solução de problemas de cobertura EC2 de tempo de execução da Amazon EC2 Instâncias da Amazon.
Selecione um dos métodos de acesso para revisar as estatísticas de cobertura de suas contas.
Para obter mais informações sobre esses problemas de cobertura, consulte Solução de problemas de cobertura de runtime do Amazon ECS-Fargate.
Alteração do status da cobertura com EventBridge notificações
O status da cobertura do seu cluster Amazon ECS pode aparecer como Não íntegro. Para saber quando o status de cobertura é alterado, recomendamos monitorar o status de cobertura periodicamente e solucionar o problema, se o status se tornar Não íntegro. Como alternativa, você pode criar uma EventBridge regra da Amazon para receber uma notificação quando o status da cobertura mudar de Insalubre para Saudável ou não. Por padrão, GuardDuty publica isso no EventBridge barramento da sua conta.
Exemplo de esquema de notificação
Em uma EventBridge regra, você pode usar os exemplos de eventos e padrões de eventos predefinidos para receber a notificação do status da cobertura. Para obter mais informações sobre a criação de uma EventBridge regra, consulte Criar regra no Guia EventBridge do usuário da Amazon.
Além disso, você pode criar um padrão de evento personalizado usando o exemplo de esquema de notificação a seguir. Substitua os valores da sua conta. Para ser notificado quando o status da cobertura do seu cluster Amazon ECS mudar de Healthy
paraUnhealthy
, detail-type
deveria serGuardDuty Runtime
Protection Unhealthy
. Para ser notificado quando o status da cobertura mudar de Unhealthy
paraHealthy
, substitua o valor de detail-type
porGuardDuty Runtime Protection Healthy
.
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Conta da AWS ID", "time": "event timestamp (string)", "region": "Região da AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "ECS", "ecsClusterDetails": { "clusterName":"", "fargateDetails":{ "issues":[], "managementType":"" }, "containerInstanceDetails":{ "coveredContainerInstances":int, "compatibleContainerInstances":int } } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
Solução de problemas de cobertura de runtime do Amazon ECS-Fargate
Se o status da cobertura do seu cluster Amazon ECS for Não íntegro, você poderá ver o motivo na coluna Problema.
A tabela a seguir fornece as etapas recomendadas para a solução de problemas do Fargate (somente Amazon ECS). Para obter informações sobre problemas de cobertura de EC2 instâncias da Amazon, consulte Solução de problemas de cobertura EC2 de tempo de execução da Amazon EC2 Instâncias da Amazon.
Tipo de problema | Informações adicionais | Etapas para solução de problemas |
---|---|---|
Agente não sendo relatado |
Agente não sendo relatado para tarefas em |
Valide se o endpoint da VPC para a tarefa do seu cluster Amazon ECS está configurado corretamente. Para obter mais informações, consulte Validando a configuração do endpoint da VPC. Se sua organização tiver uma política de controle de serviços (SCP), valide se o limite de permissões não está restringindo a permissão |
|
Veja os detalhes do problema da VPC nas informações extra. |
|
Atendente encerrado |
ExitCode: |
Veja os detalhes do problema nas informações extra. |
Motivo: |
||
ExitCode: |
||
Atendente encerrado: Motivo: |
A execução de tarefa deve ter as seguintes permissões Amazon Elastic Container Registry (Amazon ECR):
Para obter mais informações, consulte Providenciar permissões de ECR e detalhes de sub-rede. Depois de adicionar as permissões do Amazon ECR, reinicie a tarefa. Se o problema persistir, consulte Meu AWS Step Functions fluxo de trabalho está falhando inesperadamente. |
|
Falha na criação de endpoint da VPC |
A ativação do DNS privado requer ambos |
Verifique se os seguintes atributos da VPC estão definidos como Se você estiver usando o Amazon VPC Console em https://console.aws.amazon.com/vpc/ |
Atendente não provisionado |
Invocação não suportada por |
Essa tarefa foi invocada por um |
Arquitetura de CPU ' |
Essa tarefa está sendo executada em uma arquitetura de CPU não compatível. Para obter informações sobre as arquiteturas de CPU compatíveis, consulte Validação dos requisitos de arquitetura. |
|
|
A função de execução de tarefa do ECS está ausente. Para obter informações sobre o fornecimento da função de execução de tarefa e permissões necessárias, consulte Providenciar permissões de ECR e detalhes de sub-rede. |
|
Falta configuração de rede ' |
Problemas de configuração de rede podem aparecer devido à falta de configuração de VPC ou sub-redes ausentes ou vazias. Valide se sua configuração de rede está correta. Para obter mais informações, consulte Providenciar permissões de ECR e detalhes de sub-rede. Para obter mais informações, consulte Parâmetros da definição de tarefa do Amazon ECS no Guia do desenvolvedor do Amazon Elastic Container Service. |
|
As tarefas iniciadas quando os clusters tinham uma tag de exclusão são excluídas do Runtime Monitoring. ID (s) da tarefa afetada: ' |
Quando você altera a GuardDuty tag predefinida de Atualize a tag para |
|
Os serviços implantados quando os clusters tinham uma etiqueta de exclusão são excluídos do Runtime Monitoring. Nome (s) do serviço afetado: '' |
Quando os serviços são implantados com a tag de exclusão Atualize a tag para |
|
As tarefas iniciadas antes da ativação da Configuração Automatizada do Agente não são abordadas. ID (s) da tarefa afetada: '' |
Quando o cluster contém uma tarefa iniciada antes de ativar a configuração automatizada do agente para o Amazon ECS, não GuardDuty será possível protegê-la. Reinicie a tarefa para que ela seja monitorada por. GuardDuty |
|
Os serviços implantados antes da ativação da Configuração Automatizada do Agente não são cobertos. Nome (s) do serviço afetado: '' |
Quando os serviços são implantados antes de habilitar a configuração automatizada de agentes para o Amazon ECS, não GuardDuty receberão eventos de tempo de execução para clusters do ECS. |
|
O serviço ' |
Um serviço iniciado antes de ativar o Runtime Monitoring não é suportado. Você pode reiniciar o serviço ou atualizar o serviço com a |
|
As tarefas iniciadas antes da ativação do Runtime Monitoring exigem uma reinicialização. ID (s) da tarefa afetada: '' |
No Amazon ECS, as tarefas são imutáveis. Para avaliar o comportamento do tempo de execução ou uma AWS Fargate tarefa em execução, verifique se o Runtime Monitoring já está ativado e reinicie a tarefa GuardDuty para adicionar o sidecar do contêiner. |
|
Outros |
Problema não identificado, para tarefas em |
Use as seguintes questões para identificar a causa raiz do problema:
|