在 Amazon EKS 資源上手動安裝 GuardDuty 安全代理程式 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon EKS 資源上手動安裝 GuardDuty 安全代理程式

本節說明如何第一次針對特定EKS叢集部署 GuardDuty 安全代理程式。在繼續本節之前,請確定您已設定帳戶的先決條件並啟用執行期監控。如果您未啟用執行期監控,安全代理程式 GuardDuty(EKS 附加元件) 將無法運作。

選擇您偏好的存取方法,以第一次部署 GuardDuty 安全代理程式。

Console

  1. 開啟位於 https://console.aws.amazon.com/eks/home#/clusters 的 Amazon EKS主控台。

  2. 選擇您的叢集名稱

  3. 選擇附加元件索引標籤。

  4. 選擇取得更多附加元件

  5. 選取附加元件頁面上,選擇 Amazon GuardDuty Runtime Monitoring

  6. 設定選取的附加元件設定頁面上,使用預設設定。如果您的EKS附加元件的狀態需要啟用 ,請選擇啟用 GuardDuty。此動作將開啟 GuardDuty 主控台,為您的帳戶設定執行期監控。

  7. 為您的帳戶設定執行期監控後,請切換回 Amazon EKS主控台。EKS 附加元件的狀態應該已變更為準備安裝

  8. (選用) 提供EKS附加元件組態結構描述

    對於附加元件版本 ,如果您選擇 v1.5.0 及更高版本,執行期監控支援設定 GuardDuty 代理程式的特定參數。如需參數範圍的相關資訊,請參閱 設定附加EKS元件參數

    1. 展開選用組態設定以檢視可設定的參數及其預期值和格式。

    2. 設定 參數。這些值必須在 中提供的範圍內設定附加EKS元件參數

    3. 選擇儲存變更,根據進階組態建立附加元件。

    4. 對於衝突解析方法 ,當您將參數的值更新為非預設值時,您選擇的選項將用於解決衝突。如需所列選項的詳細資訊,請參閱 Amazon 參考 resolveConflicts 中的 。 EKS API

  9. 選擇 Next (下一步)

  10. 檢閱和建立頁面上,確認所有詳細資訊,然後選擇建立

  11. 導覽回叢集詳細資訊,然後選擇資源索引標籤。

  12. 您可以使用字首 來檢視新的 Podaws-guardduty-agent

API/CLI

您可以使用下列任一選項來設定 Amazon EKS 附加元件代理程式 (aws-guardduty-agent):

  • CreateAddon 為您的帳戶執行 。

  • 注意

    對於附加元件 version,如果您選擇 v1.5.0 及更高版本,執行期監控支援設定 GuardDuty 代理程式的特定參數。如需詳細資訊,請參閱設定附加EKS元件參數

    使用下列值作為請求參數︰

    • 針對 addonName,請輸入 aws-guardduty-agent

      使用附加元件 v1.5.0 及更高版本支援的可設定值時,您可以使用下列 AWS CLI 範例。請務必取代以紅色反白顯示的預留位置值,以及Example.json與設定值相關聯的 。

      aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.5.0-eksbuild.1 --configuration-values 'file://example.json'
      範例 Example.json
      {
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}

    • 如需有關支援的 addonVersion 的資訊,請參閱 GuardDuty 安全代理程式支援的 Kubernetes 版本

  • 或者,您可以使用 AWS CLI。如需詳細資訊,請參閱 create-addon

VPC端點的私有DNS名稱

依預設,安全代理程式會解析端點的私有名稱,並連線到該VPC端點的私有DNS名稱。下列清單提供端點的私有DNS名稱:

  • 非FIPS端點 – guardduty-data.us-east-1.amazonaws.com

  • FIPS 端點 – guardduty-data-fips.us-east-1.amazonaws.com

AWS 區域、us-east-1, 會根據您的區域而變更。