Konfigurieren Sie die Parameter des GuardDuty Security Agents (Add-On) für Amazon EKS

Fokusmodus

Konfigurieren Sie die Parameter des GuardDuty Security Agents (Add-On) für Amazon EKS - Amazon GuardDuty

Automatisiertes Verhalten der Agentenkonfiguration mit konfigurierten Parametern Konfigurierbare Parameter und Werte Aktualisierungen des Konfigurationsschemas werden überprüft

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können spezifische Parameter Ihres GuardDuty Security Agents für Amazon EKS konfigurieren. Diese Unterstützung ist für GuardDuty Security Agent Version 1.5.0 und höher verfügbar. Informationen zu den neuesten Add-On-Versionen finden Sie unterGuardDuty Security-Agent-Versionen für Amazon EKS-Cluster.

Warum sollte ich das Security Agent Konfigurationsschema aktualisieren: Das Konfigurationsschema für den GuardDuty Security Agent ist für alle Container in Ihren Amazon EKS-Clustern dasselbe. Wenn die Standardwerte nicht mit den zugehörigen Workloads und der Instance-Größe übereinstimmen, sollten Sie die Konfiguration der CPU-Einstellungen, Speichereinstellungen und dnsPolicy Einstellungen in Betracht ziehen. PriorityClass Unabhängig davon, wie Sie den GuardDuty Agenten für Ihre Amazon EKS-Cluster verwalten, können Sie die bestehende Konfiguration dieser Parameter konfigurieren oder aktualisieren.

Automatisiertes Verhalten der Agentenkonfiguration mit konfigurierten Parametern

Wenn er den Security Agent (EKS-Add-on) in Ihrem Namen GuardDuty verwaltet, aktualisiert er das Add-on bei Bedarf. GuardDuty setzt den Wert der konfigurierbaren Parameter auf einen Standardwert. Sie können die Parameter jedoch immer noch auf einen gewünschten Wert aktualisieren. Wenn dies zu einem Konflikt führt, ist die Standardoption für ResolveConflicts. None

Konfigurierbare Parameter und Werte

Informationen zu den Schritten zur Konfiguration der Zusatzparameter finden Sie unter:

Die folgenden Tabellen enthalten die Bereiche und Werte, die Sie verwenden können, um das Amazon EKS-Add-on manuell bereitzustellen oder die vorhandenen Add-On-Einstellungen zu aktualisieren.

CPU-Einstellungen

Parameter	Standardwert	Konfigurierbarer Bereich
Anforderungen	200m	Zwischen 200 m und 10000 m, beide inklusive
Einschränkungen	1000m	Zwischen 200 m und 10000 m, beide inklusive

Speicher-Einstellungen

Parameter	Standardwert	Konfigurierbarer Bereich
Anforderungen	256 Mi	Zwischen 256Mi und 20000Mi, beide inklusive
Einschränkungen	1024 Mi	Zwischen 256Mi und 20000Mi, beide inklusive

PriorityClass-Einstellungen

Wenn Sie GuardDuty ein Amazon EKS-Add-on für Sie erstellen, PriorityClass ist das zugewieseneaws-guardduty-agent.priorityclass. Das bedeutet, dass aufgrund der Priorität des Agenten-Pods keine Maßnahmen ergriffen werden. Sie können diesen Zusatzparameter konfigurieren, indem Sie eine der folgenden PriorityClass Optionen wählen:

Konfigurierbar `PriorityClass`	`preemptionPolicy` Wert	`preemptionPolicy`Beschreibung	Pod-Wert
`aws-guardduty-agent.priorityclass`	`Never`	Keine Aktion	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	Durch die Zuweisung dieses Werts wird verhindert, dass ein Pod ausgeführt wird, dessen Prioritätswert unter dem Pod-Wert des Agenten liegt.	100000000
`system-cluster-critical`¹	`PreemptLowerPriority`		2000000000
`system-node-critical`¹	`PreemptLowerPriority`		2000001000

¹ Kubernetes bietet diese beiden PriorityClass Optionen — und. system-cluster-critical system-node-critical Weitere Informationen finden Sie PriorityClassin der Kubernetes-Dokumentation.

dnsPolicy-Einstellungen

Wählen Sie eine der folgenden DNS-Richtlinienoptionen, die Kubernetes unterstützt. Wird als Standardwert verwendet, wenn keine Konfiguration angegeben ClusterFirst ist.

ClusterFirst
ClusterFirstWithHostNet
Default

Informationen zu diesen Richtlinien finden Sie in der Kubernetes-Dokumentation unter DNS-Richtlinie von Pod.

Aktualisierungen des Konfigurationsschemas werden überprüft

Nachdem Sie die Parameter konfiguriert haben, führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Konfigurationsschema aktualisiert wurde:

Öffnen Sie die Amazon EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.
Klicken Sie im Navigationsbereich auf Cluster.
Wählen Sie auf der Cluster-Seite den Cluster-Namen aus, für den Sie die Updates überprüfen möchten.
Wählen Sie die Registerkarte Resources (Ressourcen) aus.
Wählen Sie im Bereich Ressourcentypen unter Workloads die Option DaemonSets.
Wählen Sie aws-guardduty-agent.
Wählen Sie auf der aws-guardduty-agentSeite die Option Rohansicht aus, um die unformatierte JSON-Antwort anzuzeigen. Stellen Sie sicher, dass die konfigurierbaren Parameter den von Ihnen angegebenen Wert anzeigen.

Wechseln Sie nach der Überprüfung zur GuardDuty Konsole. Wählen Sie das entsprechende aus AWS-Region und sehen Sie sich den Deckungsstatus für Ihre Amazon EKS-Cluster an. Weitere Informationen finden Sie unter Runtime-Abdeckung und Fehlerbehebung für Amazon EKS-Cluster.