手动更新 Amazon EKS 资源的安全代理 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动更新 Amazon EKS 资源的安全代理

当你手动管理 GuardDuty 安全代理时,你有责任为你的账户更新安全代理。要获得有关新代理版本的通知,您可以订阅 RSS Feed 到GuardDuty 安全代理发布版本

您可以将安全代理更新到最新版本,以受益于新增的支持和改进。如果您当前的代理版本已接近标准支持的终止,则要继续使用运行时监控(或EKS运行时监控),则必须更新到下一个可用或最新的代理版本。

先决条件

在更新安全代理版本之前,请确保您当前计划使用的代理版本与您的 Kubernetes 版本兼容。有关更多信息,请参阅 安全代理支持的 Kubernetes 版本 GuardDuty

Console

  1. https://console.aws.amazon.com/eks/home#/ clusters 中打开 Amazon EKS 控制台。

  2. 选择集群名称

  3. 选择附加组件

  4. 在 “插件” 下,选择 “GuardDuty运行时监控”。

  5. 选择编辑以更新代理详细信息。

  6. 在 “配置 GuardDuty 运行时监控” 页面上,更新详细信息。

  7. (可选)更新附加组件配置参数

    如果您的EKS附加组件版本1.5.0 或更高版本,您也可以更新插件配置设置。

    1. 展开可选配置设置以查看配置架构。

    2. 根据配置EKS插件参数中提供的范围更新参数值。

    3. 选择保存更改以开始更新。

    4. 对于冲突解决方法,如果将参数的值更新为非默认值,则将使用您选择的选项来解决冲突。有关所列选项的更多信息,请参阅 Amazon EKS API 参考resolveConflicts中的。

API/CLI

要更新您的 Amazon EKS 集群 GuardDuty 的安全代理,请参阅更新插件

注意

对于插件version,如果您选择 1.5.0 或更高版本,则运行时监控支持配置 GuardDuty 代理的特定参数。有关参数范围的信息,请参阅配置EKS插件参数

在使用附加版本 1.5.0 及更高版本支持的可配置值时,可以使用以下 AWS CLI 示例。确保替换以红色突出显示的占位符值以及Example.json与配置值关联的占位符值。 GuardDuty 建议使用 v1.8.1-eks-build.2,这是最新的默认代理版本。

aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.8.1-eks-build.2 --configuration-values 'file://example.json'
例 Example.json
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

如果您的 Amazon EKS 插件版本为 1.5.0 或更高版本,并且您已经配置了插件架构,则可以验证集群的值显示是否正确。有关更多信息,请参阅 验证配置架构更新