Voraussetzungen für die Unterstützung Amazon EKS Amazon-Clustern - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Unterstützung Amazon EKS Amazon-Clustern

Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer EKS Amazon-Ressourcen. Wenn diese Voraussetzungen erfüllt sind, finden Sie weitere Informationen unter GuardDuty Runtime Monitoring aktivieren.

Validierung der architektonischen Anforderungen

Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent GuardDuty den Empfang von Runtime-Ereignissen aus Ihren EKS Clustern unterstützt. Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden. Wenn Sie den GuardDuty Agenten manuell verwalten, stellen Sie sicher, dass die Kubernetes-Version die GuardDuty Agentenversion unterstützt, die derzeit verwendet wird.

Verifizierte Plattformen

Die Betriebssystemverteilung, die Kernelversion und die CPU Architektur wirken sich auf die vom GuardDuty Security Agent bereitgestellte Unterstützung aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von EKS Runtime Monitoring.

Betriebssystem-Verteilung1 Kernel-Version Kernel-Unterstützung CPUArchitektur Unterstützte Kubernetes-Version

x64 () AMD64

Graviton () ARM64

(Graviton2 und höher) 2

Ubuntu

5.4, 5.10, 5.15, 6.1 3

e BPF Tracepoints, Kprobe

Unterstützt

Unterstützt

v1.21 - v1.30

AL2

AL2203 4

Bottlerocket

v1.23 - v1.30

  1. Support für verschiedene Betriebssysteme — GuardDuty hat die Unterstützung für die Verwendung von Runtime Monitoring auf den in der obigen Tabelle aufgeführten Betriebssystemen überprüft. Wenn Sie ein anderes Betriebssystem verwenden und den Security Agent erfolgreich installieren können, erhalten Sie möglicherweise alle erwarteten Sicherheitswerte, die mit der aufgelisteten Betriebssystemdistribution verifiziert wurden. GuardDuty

  2. Runtime Monitoring for Amazon EKS Clusters unterstützt Graviton-Instances der ersten Generation wie A1-Instance-Typen nicht.

  3. Derzeit können mit der Kernel-Version keine 6.1 Generierungen GuardDuty vorgenommen werden, GuardDuty Laufzeitüberwachung: Typen finden die sich auf Folgendes beziehen. Ereignisse im Domain Name System () DNS

  4. Runtime Monitoring unterstützt AL2 023 mit der Veröffentlichung des GuardDuty Security Agents v1.6.0 und höher. Weitere Informationen finden Sie unter GuardDuty Sicherheitsagent für EKS Amazon-Cluster.

Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty

Die folgende Tabelle zeigt die Kubernetes-Versionen für Ihre EKS Cluster, die vom Security Agent unterstützt werden. GuardDuty

Kubernetes-Version

Version des Amazon EKS Add-Ons GuardDuty für den Sicherheitsagenten

1,28-1,30

v1.4.1 und neuer

1.27

v1.3.0 und neuer

1.26

v1.2.0 und neuer

1.21 - 1.25

Alle Versionen

Für einige Versionen des GuardDuty Security Agents wird der Standardsupport auslaufen. Informationen zu den Release-Versionen der Agenten finden Sie unterGuardDuty Sicherheitsagent für EKS Amazon-Cluster.

CPUund Speichergrenzen

Die folgende Tabelle zeigt die Speicherlimits CPU und die Speicherlimits für das EKS Amazon-Add-on für GuardDuty (aws-guardduty-agent).

Parameter Minimale Grenze Maximale Grenze

CPU

200m

1000m

Arbeitsspeicher

256 Mi

1024Mi

Wenn Sie die EKS Amazon-Zusatzversion 1.5.0 oder höher verwenden, GuardDuty bietet es die Möglichkeit, das Add-On-Schema für Ihre CPU und Speicherwerte zu konfigurieren. Informationen zum konfigurierbaren Bereich finden Sie unterKonfigurierbare Parameter und Werte.

Nachdem Sie EKS Runtime Monitoring aktiviert und den Abdeckungsstatus Ihrer EKS Cluster bewertet haben, können Sie die Container-Insight-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter Einrichtung CPU und Speicherüberwachung.