Pré-requisitos para o suporte ao cluster do Amazon EKS
Esta seção inclui os pré-requisitos para monitorar o comportamento de runtime de seus recursos do Amazon EKS. Depois que esses pré-requisitos forem atendidos, consulte Como habilitar o Monitoramento de runtime do GuardDuty.
Validação dos requisitos de arquitetura
A plataforma que você usa pode afetar a forma como o agente de segurança do GuardDuty oferece suporte ao GuardDuty no recebimento de eventos de runtime de seus clusters do EKS. Você precisa validar que está usando uma das plataformas verificadas. Se você estiver gerenciando o agente GuardDuty manualmente, certifique-se de que a versão do Kubernetes seja compatível com a versão do agente GuardDuty que está em uso no momento.
Plataformas verificadas
A distribuição do sistema operacional, a versão do kernel e a arquitetura da CPU afetam o suporte fornecido pelo agente de segurança do GuardDuty. A tabela a seguir mostra a configuração verificada para implantar o agente de segurança do GuardDuty e configurar o Monitoramento de runtime do EKS.
| Distribuição do sistema operacional1 | Versão do kernel | Suporte do kernel | Arquitetura da CPU | Versão compatível do Kubernetes | |
|---|---|---|---|---|---|
x64 (AMD64) |
Graviton (ARM64) (Graviton2 e superior) 2 |
||||
Ubuntu |
5.4, 5.10, 5.15, 6.1 3 |
eBPF Tracepoints, Kprobe |
Compatível |
Compatível |
v1.21 - v1.30 |
AL2 |
|||||
|
AL20234 |
|||||
Bottlerocket |
v1.23 - v1.30 |
||||
-
Suporte para vários sistemas operacionais - O GuardDuty verificou o suporte para o uso do Monitoramento de runtime nos sistemas operacionais listados na tabela anterior. Se você usar um sistema operacional diferente e conseguir instalar o agente de segurança com êxito, poderá obter todo o valor de segurança esperado que o GuardDuty verificou para fornecer com a distribuição listada do sistema operacional.
-
O monitoramento de runtime para clusters do Amazon EKS não é compatível com a instância Graviton de primeira geração, como os tipos de instância A1.
-
Atualmente, com a versão
6.1do Kernel, o GuardDuty não pode gerar Tipos de descoberta do Monitoramento de runtime do GuardDuty que estejam relacionados a Eventos do Sistema de Nomes de Domínio (DNS). -
O Monitoramento de runtime oferece suporte ao AL2023 com o lançamento do agente de segurança do GuardDuty v1.6.0 e superior. Para obter mais informações, consulte Agente de segurança do GuardDuty para clusters do Amazon EKS.
Versões do Kubernetes compatíveis com o agente de segurança do GuardDuty
A tabela a seguir mostra as versões do Kubernetes para seus clusters do EKS compatíveis com o agente de segurança do GuardDuty.
|
Versão do Kubernetes |
Versão complementar do agente de segurança do GuardDuty do Amazon EKS |
|---|---|
|
1.28 - 1.30 |
v1.4.1 e mais recente |
|
1.27 |
v1.3.0 e mais recente |
|
1.26 |
v1.2.0 e mais recente |
|
1.21 - 1.25 |
Todas as versões |
Algumas das versões do agente de segurança do GuardDuty chegarão ao fim do suporte padrão. Para obter informações sobre as versões de lançamento do agente, consulte Agente de segurança do GuardDuty para clusters do Amazon EKS.
Limites de CPU e memória
A tabela a seguir mostra os limites de CPU e memória do complemento do Amazon EKS para GuardDuty (aws-guardduty-agent).
| Parâmetro | Limite mínimo | Limite máximo |
|---|---|---|
CPU |
200 m |
1000 m |
Memória |
256 Mi |
1024 Mi |
Quando você usa a versão 1.5.0 ou superior do complemento Amazon EKS, o GuardDuty oferece a capacidade de configurar o esquema de complemento para seus valores de CPU e de memória. Para obter informações sobre o intervalo de configuração, consulte Parâmetros e valores configuráveis.
Depois de ativar o Monitoramento de runtime do EKS e avaliar o status de cobertura dos seus clusters do EKS, você pode configurar e visualizar as métricas de insights do contêiner. Para obter mais informações, consulte Configurar o monitoramento da CPU e da memória.
