Conditions préalables à la prise en charge des clusters Amazon EKS

Validation des exigences architecturales

La plate-forme que vous utilisez peut avoir un impact sur GuardDuty la manière dont l'agent de sécurité prend GuardDuty en charge la réception des événements d'exécution de vos clusters EKS. Vous devez confirmer que vous utilisez l'une des plateformes vérifiées. Si vous gérez l' GuardDuty agent manuellement, assurez-vous que la version de Kubernetes prend en charge la version de l' GuardDuty agent actuellement utilisée.

Plateformes vérifiées

La distribution du système d'exploitation, la version du noyau et l'architecture du processeur affectent le support fourni par l'agent GuardDuty de sécurité. Le tableau suivant présente la configuration vérifiée pour le déploiement de l'agent de GuardDuty sécurité et la configuration d'EKS Runtime Monitoring.

Distribution du système d'exploitation	Version de noyau	Support du noyau	Architecture du processeur		Version de Kubernetes prise en charge
			64 bits (AMD64)	Graviton (ARM64) (Graviton2 et versions ultérieures) 1
Ubuntu	5,4, 5,10, 5,15, 6,1 2	Points de trace eBPF, sonde K	Pris en charge	Pris en charge	V1.21 - V1.29
AL2
AL 2023 3
Bottlerocket					V1.23 - V1.29

1. La surveillance du temps d'exécution pour les clusters Amazon EKS ne prend pas en charge les instances Graviton de première génération telles que les types d'instances A1.

2. Actuellement, avec la version du noyau6.1, je ne GuardDuty peux pas générer Types de recherche liés à la surveillance du temps ceux qui sont liés àÉvénements DNS.

3. Runtime Monitoring prend en charge la norme AL2023 avec la sortie de l'agent de GuardDuty sécurité v1.6.0 et versions ultérieures. Pour plus d’informations, consultez GuardDuty agent de sécurité pour les clusters Amazon EKS.

Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty

Le tableau suivant indique les versions de Kubernetes pour vos clusters EKS prises en charge par GuardDuty l'agent de sécurité.

Version de Kubernetes	Version de l'agent GuardDuty de sécurité complémentaire Amazon EKS
	v1.6.1	v1.6.0	v1.5.0	v1.4.1	v1.4.0	v1.3.1	v1.3.0	v1.2.0	v1.1.0	v1.0.0
1,29	Pris en charge	Pris en charge	Pris en charge	Pris en charge	Pris en charge	Non pris en charge	Non pris en charge	Non pris en charge	Non pris en charge	Non pris en charge
1,28						Pris en charge	Pris en charge
1,27								Pris en charge
1,26									Pris en charge
1,25										Pris en charge
1,24
1,23
1,22
1,21

Certaines versions de l'agent GuardDuty de sécurité atteindront la fin du support standard. Pour plus d'informations sur les versions publiées de l'agent, consultezGuardDuty agent de sécurité pour les clusters Amazon EKS.

Limites de processeur et de mémoire

Le tableau suivant indique les limites de processeur et de mémoire pour le module complémentaire Amazon EKS pour GuardDuty (aws-guardduty-agent).

Paramètre	Limite minimum	Limite maximum
CPU	200 m	1 000 m
Mémoire	256 milles	1 024 milles

Lorsque vous utilisez le module complémentaire Amazon EKS version 1.5.0 ou supérieure, il GuardDuty permet de configurer le schéma du module complémentaire pour les valeurs de votre processeur et de votre mémoire. Pour plus d'informations sur la plage configurable, consultezParamètres et valeurs configurables.

Une fois que vous avez activé la surveillance d'exécution EKS et évalué l'état de couverture de vos clusters EKS, vous pouvez configurer et consulter les métriques d'aperçu des conteneurs. Pour plus d’informations, consultez Configuration de la surveillance du processeur et de la mémoire.

Étape suivante

L'étape suivante consiste à configurer la surveillance du temps d'exécution et à gérer l'agent de sécurité manuellement ou automatiquement GuardDuty.