本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EKS叢集支援的先決條件
本節包含監控 Amazon EKS 資源執行時間行為的先決條件。這些先決條件對於 GuardDuty 代理程式如預期般運作至關重要。符合這些先決條件後,請參閱 啟用 GuardDuty 執行期監控 以開始監控您的 資源。
支援 Amazon EKS功能
執行期監控支援在 Amazon EC2執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS叢集。
執行期監控不支援具有 Amazon EKS混合節點的 Amazon EKS叢集,以及執行在其中的叢集 AWS Fargate。
如需這些 Amazon EKS功能的相關資訊,請參閱《Amazon 使用者指南》中的什麼是 AmazonEKSEKS?。
驗證架構需求
您使用的平台可能會影響 GuardDuty 安全代理程式在接收來自EKS叢集的執行期事件 GuardDuty 時支援的方式。您必須確認您使用的是經過驗證的平台之一。如果您手動管理 GuardDuty 代理程式,請確定 Kubernetes 版本支援目前正在使用的 GuardDuty 代理程式版本。
已驗證的平台
作業系統分佈、核心版本和CPU架構會影響 GuardDuty 安全代理程式提供的支援。下表顯示部署 GuardDuty 安全代理程式和設定EKS執行期監控的已驗證組態。
-
對各種作業系統的支援 - GuardDuty 已驗證在上表中列出的作業系統上使用執行期監控的支援。如果您使用不同的作業系統,而且能夠成功安裝安全代理程式,則可能會取得 GuardDuty 所有已驗證的預期安全值,以便提供列出的作業系統分佈。
-
對於任何核心版本,您必須將
CONFIG_DEBUG_INFO_BTF旗標設定為y(表示 true)。這是必要的,以便 GuardDuty 安全代理程式可以如預期般執行。 -
Amazon EKS叢集的執行期監控不支援第一代 Graviton 執行個體,例如 A1 執行個體類型。
-
目前,使用核心版本
6.1GuardDuty 時, 無法產生與 相關的 GuardDuty 執行期監控問題清單類型 網域名稱系統 (DNS) 事件。 -
執行期監控支援 AL2023 搭配 GuardDuty 安全代理程式 1.6.0 版及更新版本。如需詳細資訊,請參閱GuardDuty Amazon EKS叢集的安全代理程式。
GuardDuty 安全代理程式支援的 Kubernetes 版本
下表顯示 GuardDuty 安全代理程式支援的EKS叢集的 Kubernetes 版本。
| Amazon EKS附加元件 GuardDuty 安全代理程式版本 | Kubernetes 版本 |
|---|---|
|
v1.8.1 (最新 - v1.8.1-eks.build-2) 1.7.0 版 1.6.1 版 |
1.21 - 1.31 |
|
v1.7.1 1.7.0 版 1.6.1 版 |
1.21 - 1.31 |
|
v1.6.0 1.5.0 版 1.4.1 版 1.4.0 版 v1.3.1 |
1.21 - 1.29 |
|
v1.3.0 v1.2.0 |
1.21 - 1.28 |
|
v1.1.0 |
1.21 - 1.26 |
|
v1.0.0 |
1.21 - 1.25 |
某些 GuardDuty 安全代理程式版本將達到標準支援結束。如需代理程式發行版本的相關資訊,請參閱 GuardDuty Amazon EKS叢集的安全代理程式。
CPU 和記憶體限制
下表顯示 () Amazon EKS 附加元件 GuardDuty的 CPU和 記憶體限制aws-guardduty-agent。
| 參數 | 下限 | 上限 |
|---|---|---|
CPU |
200 m |
1000 m |
記憶體 |
256 Mi |
1024 Mi |
當您使用 Amazon EKS 附加元件 1.5.0 版或更新版本時, GuardDuty 提供為您的 CPU和記憶體值設定附加元件結構描述的功能。如需可設定範圍的資訊,請參閱 可設定的參數和值。
啟用EKS執行期監控並評估EKS叢集的涵蓋範圍狀態後,您可以設定和檢視容器洞見指標。如需詳細資訊,請參閱設定CPU和記憶體監控。
