本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动管理 Amazon EKS 集群的安全代理
本节介绍在启用运行时监控后如何管理您的 Amazon EKS 附加GuardDuty 代理(代理)。要使用运行时监控,您必须启用运行时监控并配置 Amazon EKS 附加组件aws-guardduty-agent
。仅执行这两个步骤中的一个步骤无助于 GuardDuty 检测潜在威胁或生成调查结果。
部署 GuardDuty 安全代理的先决条件
本节介绍手动为 EKS 集群部署 GuardDuty 安全代理的先决条件。在继续操作之前,请确保您已经为账户配置了运行时监控。如果您不配置运行时监控,则 GuardDuty 安全代理(EKS 附加组件)将无法运行。有关更多信息,请参阅 启用 GuardDuty 运行时监控。完成下列步骤后,请参阅 部署 GuardDuty 安全代理。
选择您的首选访问方法来创建 Amazon VPC 端点。
为 Amazon EKS 配置 GuardDuty 安全代理(附加组件)参数
您可以为 Amazon EKS 配置 GuardDuty 安全代理的特定参数。此支持适用于 GuardDuty 安全代理版本 1.5.0 及更高版本。有关最新插件版本的信息,请参阅GuardDuty 适用于 Amazon EKS 集群的安全代理。
- 我为什么要更新安全代理配置架构
在 Amazon EKS 集群中的所有容器中, GuardDuty 安全代理的配置架构都是相同的。当默认值与关联的工作负载和实例大小不一致时,可以考虑配置 CPU 设置
PriorityClass
、内存设置和dnsPolicy
设置。无论您如何管理 Amazon EKS 集群的 GuardDuty 代理,都可以配置或更新这些参数的现有配置。
使用已配置参数自动配置代理的行为
代表您 GuardDuty 管理安全代理(EKS 附加组件)时,它会根据需要更新插件。 GuardDuty 会将可配置参数的值设置为默认值。但是,您仍然可以将参数更新为所需的值。如果这导致冲突,则 ResolveCon flicts 的默认选项为。None
可配置的参数和值
有关配置插件参数的步骤的信息,请参阅:
下表提供了可用于手动部署 Amazon EKS 附加组件或更新现有插件设置的范围和值。
- CPU 设置
-
参数
默认值
可配置范围
请求
200m
介于 200 米到 10000 米之间,两者兼而有之
限制
1000m
- 内存设置
-
参数
默认值
可配置范围
请求
256Mi
介于 256 英里和 200000 英里之间,两者兼而有之
限制
1024 英里
PriorityClass
设置-
在 GuardDuty 为您创建 Amazon EKS 加载项时,分配的
PriorityClass
为aws-guardduty-agent.priorityclass
。这意味着不会根据代理窗格的优先级采取任何操作。您可以通过选择以下PriorityClass
选项之一来配置此插件参数:可配置
PriorityClass
preemptionPolicy
值preemptionPolicy
描述Pod 值
aws-guardduty-agent.priorityclass
Never
无需操作
1000000
aws-guardduty-agent.priorityclass-high
PreemptLowerPriority
分配此值将抢占优先级值低于代理 pod 值的 Pod 运行。
100000000
system-cluster-critical
1PreemptLowerPriority
2000000000
system-node-critical
1PreemptLowerPriority
2000001000
1 Kubernetes 提供了这两个
PriorityClass
选项——和。system-cluster-critical
system-node-critical
有关更多信息,请参阅 Kubernetes 文档PriorityClass中的。
dnsPolicy
设置选择以下 Kubernetes 支持的 DNS 策略选项之一。如果未指定任何配置,
ClusterFirst
则用作默认值。-
ClusterFirst
-
ClusterFirstWithHostNet
-
Default
有关这些策略的信息,请参阅 Kubernet es 文档中的 Pod 的 DNS 政策
。 -
部署 GuardDuty 安全代理
本节介绍如何首次为特定 EKS 集群部署 GuardDuty 安全代理。在继续本节之前,请确保您已经为账户设置了先决条件并启用了运行时监控。如果您不启用运行时监控,则 GuardDuty安全代理(EKS 附加组件)将无法运行。
选择您的首选访问方法以首次部署 GuardDuty 安全代理。
验证配置架构更新
配置完参数后,请执行以下步骤以验证配置架构是否已更新:
从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home#/clusters
。 -
在导航窗格中,选择集群。
-
在集群页面上,选择要验证更新的集群名称。
-
选择资源选项卡。
-
从 “资源类型” 窗格的 “工作负载” 下选择DaemonSets。
-
选择aws-guardduty-agent。
-
在该aws-guardduty-agent页面上,选择原始视图以查看未格式化的 JSON 响应。验证可配置参数是否显示您提供的值。
验证后,切换到 GuardDuty 控制台。选择相应的, AWS 区域 然后查看您的 Amazon EKS 集群的覆盖状态。有关更多信息,请参阅 Amazon EKS 集群的覆盖范围。