기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon EKS 클러스터의 보안 에이전트를 수동으로 관리
이 섹션에서는 런타임 모니터링을 활성화한 후 Amazon EKS 애드온 에이전트 (GuardDuty 에이전트) 를 관리하는 방법을 설명합니다. 런타임 모니터링을 사용하려면 런타임 모니터링을 활성화하고 Amazon EKS 애드온 () 을 구성해야 합니다. aws-guardduty-agent
이 두 단계 중 하나만 수행해도 잠재적 위협을 GuardDuty 탐지하거나 탐지 결과를 생성하는 데 도움이 되지 않습니다.
보안 에이전트를 GuardDuty 배포하기 위한 사전 요구 사항
이 섹션에서는 EKS 클러스터용 GuardDuty 보안 에이전트를 수동으로 배포하기 위한 사전 요구 사항을 설명합니다. 계속하기 전에 계정에 대한 런타임 모니터링을 이미 구성했는지 확인하십시오. 런타임 모니터링을 구성하지 않으면 GuardDuty 보안 에이전트 (EKS 애드온) 가 작동하지 않습니다. 자세한 정보는 GuardDuty 런타임 모니터링 활성화을 참조하세요. 이 단계들을 완료한 후 보안 에이전트 배포 GuardDuty 섹션을 참조하세요.
선호하는 액세스 방법을 선택하여 Amazon VPC 엔드포인트를 생성합니다.
Amazon EKS용 GuardDuty 보안 에이전트 (애드온) 파라미터를 구성합니다.
Amazon EKS용 GuardDuty 보안 에이전트의 특정 파라미터를 구성할 수 있습니다. 이 지원은 GuardDuty 보안 에이전트 버전 1.5.0 이상에서 사용할 수 있습니다. 최신 애드온 버전에 대한 자세한 내용은 을 참조하십시오. GuardDuty Amazon EKS 클러스터용 보안 에이전트
- 보안 에이전트 구성 스키마를 업데이트해야 하는 이유는 무엇입니까?
GuardDuty 보안 에이전트의 구성 스키마는 Amazon EKS 클러스터 내의 모든 컨테이너에서 동일합니다. 기본값이 관련 워크로드 및 인스턴스 크기와 일치하지 않는 경우 CPU 설정, 메모리 설정 및 설정을 구성하는 것을 고려해 보십시오.
PriorityClass
dnsPolicy
Amazon EKS 클러스터의 GuardDuty 에이전트를 관리하는 방법에 관계없이 이러한 파라미터의 기존 구성을 구성하거나 업데이트할 수 있습니다.
구성된 파라미터를 사용한 자동화된 에이전트 구성 동작
사용자를 대신하여 보안 에이전트 (EKS 애드온) 를 GuardDuty 관리하는 경우 필요에 따라 애드온을 업데이트합니다. GuardDuty 구성 가능한 매개 변수의 값을 기본값으로 설정합니다. 하지만 여전히 매개변수를 원하는 값으로 업데이트할 수 있습니다. 이로 인해 충돌이 발생하는 경우 충돌 해결의 기본 옵션은 입니다. None
구성 가능한 파라미터 및 값
애드온 파라미터를 구성하는 단계에 대한 자세한 내용은 다음을 참조하십시오.
다음 표는 Amazon EKS 추가 기능을 수동으로 배포하거나 기존 추가 기능 설정을 업데이트하는 데 사용할 수 있는 범위와 값을 제공합니다.
- CPU 설정
-
파라미터
기본값
구성 가능한 범위
요청
200m
200미터에서 1만 미터 사이 (둘 다 포함)
Limits
1,000m
- 메모리 설정
-
파라미터
기본값
구성 가능한 범위
요청
256Mi
256만~20000마일 사이, 둘 다 포함
Limits
1024Mi
PriorityClass
설정-
Amazon EKS 애드온을 GuardDuty 생성할 때
PriorityClass
할당되는 애드온은 다음과 같습니다.aws-guardduty-agent.priorityclass
즉, 에이전트 포드의 우선순위에 따라 어떤 조치도 취해지지 않습니다. 다음PriorityClass
옵션 중 하나를 선택하여 이 애드온 매개 변수를 구성할 수 있습니다.구성 가능
PriorityClass
preemptionPolicy
값preemptionPolicy
설명포드 값
aws-guardduty-agent.priorityclass
Never
액션 없음
1000000
aws-guardduty-agent.priorityclass-high
PreemptLowerPriority
이 값을 할당하면 에이전트 포드 값보다 낮은 우선순위 값으로 실행 중인 파드를 선점하게 됩니다.
100000000
system-cluster-critical
1PreemptLowerPriority
2000000000
system-node-critical
1PreemptLowerPriority
2000001000
1 쿠버네티스는 다음과 같은 두 가지 옵션을 제공합니다 — 및.
PriorityClass
system-cluster-critical
system-node-critical
자세한 내용은 쿠버네티스 PriorityClass설명서를 참조하십시오.
dnsPolicy
설정쿠버네티스가 지원하는 다음 DNS 정책 옵션 중 하나를 선택하십시오. 구성이 지정되지 않은 경우
ClusterFirst
이 기본값으로 사용됩니다.-
ClusterFirst
-
ClusterFirstWithHostNet
-
Default
이러한 정책에 대한 자세한 내용은 쿠버네티스 설명서에서 파드의 DNS 정책을
참조하십시오. -
보안 에이전트 배포 GuardDuty
이 섹션에서는 특정 EKS 클러스터에 처음으로 GuardDuty 보안 에이전트를 배포하는 방법을 설명합니다. 이 섹션을 진행하기 전에 사전 요구 사항을 이미 설정하고 계정에 대한 런타임 모니터링을 활성화했는지 확인하십시오. 런타임 모니터링을 활성화하지 않으면 GuardDuty 보안 에이전트 (EKS 애드온) 가 작동하지 않습니다.
원하는 액세스 방법을 선택하여 처음으로 GuardDuty 보안 에이전트를 배포하십시오.
구성 스키마 업데이트 확인
매개변수를 구성한 후 다음 단계를 수행하여 구성 스키마가 업데이트되었는지 확인하십시오.
https://console.aws.amazon.com/eks/home#/clusters
에서 Amazon EKS 콘솔을 엽니다. -
탐색 창에서 클러스터를 선택합니다.
-
클러스터 페이지에서 업데이트를 확인하려는 클러스터 이름을 선택합니다.
-
리소스 탭을 선택합니다.
-
리소스 유형 창의 워크로드에서 선택합니다 DaemonSets.
-
선택합니다 aws-guardduty-agent.
-
aws-guardduty-agent페이지에서 Raw view를 선택하여 형식이 지정되지 않은 JSON 응답을 확인합니다. 구성 가능한 매개변수에 제공된 값이 표시되는지 확인하십시오.
확인한 후 GuardDuty 콘솔로 전환하십시오. 해당하는 AWS 리전 항목을 선택하고 Amazon EKS 클러스터의 커버리지 상태를 확인하십시오. 자세한 정보는 Amazon EKS 클러스터 적용 범위을 참조하세요.