本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon 配置 GuardDuty 安全代理(附加组件)参数 EKS
您可以为 Amazon 配置 GuardDuty 安全代理的特定参数EKS。此支持适用于 GuardDuty 安全代理版本 1.5.0 及更高版本。有关最新插件版本的信息,请参阅GuardDuty 适用于 Amazon EKS 集群的安全代理。
- 我为什么要更新安全代理配置架构
-
GuardDuty 安全代理的配置架构在您的 Amazon 集EKS群内的所有容器中都是相同的。当默认值与关联的工作负载和实例大小不一致时,可以考虑配置CPU设置
PriorityClass、内存设置和dnsPolicy设置。无论您如何管理 Amazon EKS 集群的 GuardDuty 代理,都可以配置或更新这些参数的现有配置。
使用已配置参数自动配置代理的行为
代表您 GuardDuty 管理安全代理(EKS附加组件)时,它会根据需要更新插件。 GuardDuty 会将可配置参数的值设置为默认值。但是,您仍然可以将参数更新为所需的值。如果这导致冲突,则默认选项resolveConflicts为None。
可配置的参数和值
有关配置插件参数的步骤的信息,请参阅:
下表提供了可用于手动部署 Amazon EKS 附加组件或更新现有插件设置的范围和值。
- CPU设置
-
参数
默认值
可配置范围
请求
200m
介于 200 米到 10000 米之间,两者兼而有之
限制
1000m
- 内存设置
-
参数
默认值
可配置范围
请求
256Mi
介于 256 英里和 200000 英里之间,两者兼而有之
限制
1024 Mi
PriorityClass设置-
GuardDuty 为您创建 Amazon EKS 加载项时,分配的
PriorityClass为aws-guardduty-agent.priorityclass。这意味着不会根据代理窗格的优先级采取任何操作。您可以通过选择以下PriorityClass选项之一来配置此插件参数:可配置
PriorityClasspreemptionPolicy值preemptionPolicy描述Pod 值
aws-guardduty-agent.priorityclassNever无需操作
1000000
aws-guardduty-agent.priorityclass-highPreemptLowerPriority分配此值将抢占优先级值低于代理 pod 值的 Pod 运行。
100000000
system-cluster-critical1PreemptLowerPriority2000000000
system-node-critical1PreemptLowerPriority2000001000
1 Kubernetes 提供了这两个
PriorityClass选项——和。system-cluster-criticalsystem-node-critical有关更多信息,请参阅 Kubernetes 文档PriorityClass中的。
dnsPolicy设置-
选择 Kubernetes 支持的以下DNS策略选项之一。如果未指定任何配置,
ClusterFirst则用作默认值。-
ClusterFirst -
ClusterFirstWithHostNet -
Default
有关这些策略的信息,请参阅 Kubernetes DNS 文档中的 Pod 政策
。 -
