本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Amazon GuardDuty 的安全代理程式 (附加元件) 參數 EKS
您可以為 Amazon 設定 GuardDuty 安全代理程式的特定參數EKS。此支援適用於 GuardDuty 安全代理程式 1.5.0 版及更新版本。如需最新附加元件版本的詳細資訊,請參閱 GuardDuty Amazon EKS叢集的安全代理程式。
- 為什麼我應該更新安全代理程式組態結構描述
-
GuardDuty 安全代理程式的組態結構描述在 Amazon EKS叢集中的所有容器之間都相同。當預設值不符合相關聯的工作負載和執行個體大小時,請考慮設定CPU設定、記憶體設定、
PriorityClass和dnsPolicy設定。無論您如何管理 Amazon EKS叢集的 GuardDuty 代理程式,都可以設定或更新這些參數的現有組態。
具有已設定參數的自動代理程式組態行為
當 代表您 GuardDuty 管理安全代理程式 (EKS 附加元件) 時,它會視需要更新附加元件。 GuardDuty 會將可設定參數的值設定為預設值。不過,您仍然可以將參數更新為所需的值。如果這會導致衝突,則 的預設選項resolveConflicts為 None。
可設定的參數和值
如需設定附加元件參數之步驟的相關資訊,請參閱:
下表提供可用於手動部署 Amazon EKS附加元件或更新現有附加元件設定的範圍和值。
- CPU 設定
-
參數
預設值
可設定的範圍
請求
200 m
介於 200 公尺到 10000 公尺之間,兩者皆包含
限制
1000 m
- 記憶體設定
-
參數
預設值
可設定的範圍
請求
256Mi
介於 256Mi 到 20000Mi 之間,兩者皆包含
限制
1024Mi
PriorityClass設定-
當 為您 GuardDuty 建立 Amazon EKS 附加元件時,指派的
PriorityClass為aws-guardduty-agent.priorityclass。這表示不會根據代理程式 Pod 的優先順序採取任何動作。您可以選擇下列其中一個PriorityClass選項來設定此附加元件參數:可設定
PriorityClasspreemptionPolicy值preemptionPolicy描述Pod 值
aws-guardduty-agent.priorityclassNever無動作
1000000
aws-guardduty-agent.priorityclass-highPreemptLowerPriority指派此值會先佔執行的 Pod,其優先順序值低於代理程式 Pod 值。
100000000
system-cluster-critical1PreemptLowerPriority2000000000
system-node-critical1PreemptLowerPriority2000001000
1 Kubernetes 提供這兩個
PriorityClass選項 –system-cluster-critical和system-node-critical。如需詳細資訊,請參閱 Kubernetes 文件PriorityClass中的 。
dnsPolicy設定-
選擇下列其中一個 Kubernetes 支援DNS的政策選項。未指定組態時,
ClusterFirst會做為預設值使用。-
ClusterFirst -
ClusterFirstWithHostNet -
Default
如需這些政策的相關資訊,請參閱 Kubernetes 文件中的 Pod DNS政策
。 -
驗證組態結構描述更新
設定參數之後,請執行下列步驟,確認組態結構描述已更新:
開啟位於 https://console.aws.amazon.com/eks/home#/clusters
的 Amazon EKS主控台。 -
在導覽窗格中,選擇叢集。
-
在叢集頁面上,選取您要驗證更新的叢集名稱。
-
選擇 Resources (資源) 標籤。
-
在資源類型窗格中的工作負載下,選擇 DaemonSets。
-
選取 aws-guardduty-agent。
-
在頁面上aws-guardduty-agent,選擇原始檢視以檢視未格式化的JSON回應。確認可設定的參數顯示您提供的值。
驗證之後,請切換到 GuardDuty 主控台。選取對應的 AWS 區域 ,並檢視 Amazon EKS叢集的涵蓋範圍狀態。如需詳細資訊,請參閱Amazon EKS叢集的執行期涵蓋範圍和疑難排解。
