本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以為 Amazon EKS 設定 GuardDuty 安全代理程式的特定參數。此支援適用於 GuardDuty 安全代理程式 1.5.0 版及更新版本。如需最新附加元件版本的資訊,請參閱Amazon EKS 叢集的 GuardDuty 安全代理程式。
- 為什麼我應該更新安全代理程式組態結構描述
-
GuardDuty 安全代理程式的組態結構描述在 Amazon EKS 叢集內的所有容器之間都相同。當預設值與相關聯的工作負載和執行個體大小不相符時,請考慮設定 CPU 設定、記憶體設定、
PriorityClass和dnsPolicy設定。無論您如何管理 Amazon EKS 叢集的 GuardDuty 代理程式,您都可以設定或更新這些參數的現有組態。
具有已設定參數的自動代理程式組態行為
當 GuardDuty 代表您管理安全代理程式 (EKS 附加元件) 時,它會視需要更新附加元件。GuardDuty 會將可設定參數的值設定為預設值。不過,您仍然可以將參數更新為所需的值。如果這會導致衝突,則 resolveConflicts 的預設選項為 None。
可設定的參數和值
如需設定附加元件參數之步驟的相關資訊,請參閱:
下表提供可用於手動部署 Amazon EKS 附加元件或更新現有附加元件設定的範圍和值。
- CPU 設定
-
參數
預設值
可設定的範圍
請求
200 m
介於 200 公尺到 10000 公尺之間,兩者皆包含
限制
1000 m
- 記憶體設定
-
參數
預設值
可設定的範圍
請求
256Mi
介於 256Mi 到 20000Mi 之間,兩者皆包含
限制
1024Mi
PriorityClass設定-
當 GuardDuty 為您建立 Amazon EKS 附加元件時,指派的
PriorityClass為aws-guardduty-agent.priorityclass。這表示不會根據代理程式 Pod 的優先順序採取任何動作。您可以選擇下列其中一個PriorityClass選項來設定此附加元件參數:可設定
PriorityClasspreemptionPolicy值preemptionPolicy描述Pod 值
aws-guardduty-agent.priorityclassNever無動作
1000000
aws-guardduty-agent.priorityclass-highPreemptLowerPriority指派此值會先佔執行的 Pod,其優先順序值低於代理程式 Pod 值。
100000000
system-cluster-critical1PreemptLowerPriority2000000000
system-node-critical1PreemptLowerPriority2000001000
1 Kubernetes 提供這兩個
PriorityClass選項 –system-cluster-critical和system-node-critical。如需詳細資訊,請參閱 Kubernetes 文件中的 PriorityClass。
dnsPolicy設定-
選擇下列其中一個 Kubernetes 支援的 DNS 政策選項。未指定組態時,
ClusterFirst會做為預設值使用。-
ClusterFirst -
ClusterFirstWithHostNet -
Default
如需有關這些政策的資訊,請參閱 Kubernetes 文件中的 Pod 的 DNS 政策
。 -
驗證組態結構描述更新
設定參數之後,請執行下列步驟,以確認組態結構描述已更新:
在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home#/clusters
。 -
在導覽窗格中,選擇叢集。
-
在叢集頁面上,選取要驗證更新的叢集名稱。
-
選擇 Resources (資源) 標籤。
-
在資源類型窗格中的工作負載下,選擇 DaemonSets。
-
選取 aws-guardduty-agent。
-
在 aws-guardduty-agent 頁面上,選擇原始檢視以檢視未格式化的 JSON 回應。確認可設定的參數顯示您提供的值。
驗證之後,請切換到 GuardDuty 主控台。選取對應的 , AWS 區域 並檢視 Amazon EKS 叢集的涵蓋範圍狀態。如需詳細資訊,請參閱Amazon EKS 叢集的執行期涵蓋範圍和疑難排解。
