本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECS 叢集的涵蓋範圍
Amazon ECS 叢集的執行階段涵蓋範圍包括在 Amazon ECS 容器執行個 AWS Fargate (Fargate) 體上執行的任務。1
對於在 Fargate 上執行的 Amazon ECS 叢集,會在任務層級評估執行階段涵蓋範圍。ECS 叢集執行階段涵蓋範圍包括在您為 Fargate 啟用執行階段監視和自動化代理程式組態 (僅限 ECS) 之後開始執行的 Fargate 工作。默認情況下,Fargate 任務是不可變的。 GuardDuty 將無法安裝安全代理程式來監視已在執行中工作上的容器。要包含這樣的 Fargate 任務,您必須停止並重新啟動任務。確保檢查是否支持關聯的服務。
如需 Amazon ECS 容器的相關資訊,請參閱容量建立。
檢閱涵蓋範圍統計資料
與您自己的帳戶或您的會員帳戶相關聯之 Amazon ECS 資源的涵蓋範圍統計資料是所選 Amazon ECS 叢集中運作良好的 Amazon ECS 叢集的百分比。 AWS 區域這包括與 Fargate 和 Amazon EC2 執行個體相關聯的亞馬遜 ECS 叢集的涵蓋範圍。可以用下列方程式將此表示為:
(運作狀態良好的叢集/所有叢集) * 100
考量事項
-
ECS 叢集的涵蓋範圍統計資料包括與該 ECS 叢集相關聯的 Fargate 工作或 ECS 容器執行個體的涵蓋範圍狀態。Fargate 工作的涵蓋範圍狀態包括處於執行中狀態或最近已完成執行的工作。
-
在 ECS 叢集執行階段涵蓋範圍索引標籤中,容器執行個體涵蓋欄位會指出與 Amazon ECS 叢集相關聯之容器執行個體的涵蓋範圍狀態。
如果您的 Amazon ECS 叢集僅包含 Fargate 任務,則計數會顯示為 0/0。
-
如果您的 Amazon ECS 叢集與沒有安全代理程式的 Amazon EC2 執行個體相關聯,Amazon ECS 叢集也會呈現狀態不良的涵蓋狀態。
若要識別相關 Amazon EC2 執行個體的涵蓋範圍問題並進行疑難排解,請參閱 對涵蓋範圍問題進行疑難排解 Amazon EC2 執行個體相關資訊。
選擇其中一種存取方法來檢閱您帳戶的涵蓋範圍統計資料。
如需涵蓋範圍問題的詳細資訊,請參閱對涵蓋範圍問題進行疑難排解。
設定涵蓋範圍狀態變更通知
Amazon ECS 叢集的涵蓋範圍狀態可能會顯示為「狀況不良」。若要知道保險狀態變更的時間,我們建議您定期監控保險狀態,並進行疑難排解狀態是否變為「不健康」。或者,您可以建立 Amazon EventBridge 規則,以便在涵蓋範圍狀態從「不良狀態」變更為「狀況良好」或其他狀態時接收通知。默認情況下,將其 GuardDuty 發佈在EventBridge 公共汽車中為您的帳戶。
範例通知結構描述
在 EventBridge 規則中,您可以使用預先定義的範例事件和事件模式來接收涵蓋範圍狀態通知。如需有關建立 EventBridge 規則的詳細資訊,請參閱 Amazon EventBridge 使用者指南中的建立規則。
此外,您可以使用下列範例通知結構描述來建立自訂事件模式。請務必替換您帳戶的值。若要在 Amazon ECS 叢集的涵蓋範圍狀態從變更Healthy
為時收到通知Unhealthy
,detail-type
應為GuardDuty 執行階段保護狀態不
良。若要在涵蓋範圍狀態從變更為時收到通知Healthy
,Unhealthy
請detail-type
使用 [GuardDuty 執行階段保護正常
] 取代的值。
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "AWS 帳戶 ID", "time": "event timestamp (string)", "region": "AWS 區域", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "ECS", "ecsClusterDetails": { "clusterName":"", "fargateDetails":{ "issues":[], "managementType":"" }, "containerInstanceDetails":{ "coveredContainerInstances":int, "compatibleContainerInstances":int } } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
對涵蓋範圍問題進行疑難排解
如果 Amazon ECS 叢集的涵蓋範圍狀態為「狀況不良」,您可以在「問題」欄下檢視原因。
下表提供 Fargate (僅限 Amazon ECS) 問題的建議疑難排解步驟。如需 Amazon EC2 執行個體涵蓋範圍問題的相關資訊,請參閱 對涵蓋範圍問題進行疑難排解 Amazon EC2 執行個體相關資訊
問題類型 | 額外資訊 | 建議的疑難排解步驟 |
---|---|---|
代理程式未報告 |
代理程式未針對中的工作報告 |
驗證您的 VPC 端點組態是否正確。 如果您的組織有服務控制原則 (SCP),請確定它不會拒絕 |
|
在額外資訊中檢視 VPC 問題詳細資訊。 |
|
代理程式已退出 |
ExitCode: |
在額外資訊中檢視問題詳細資訊。 |
原 |
||
ExitCode: |
||
代理退出:原因: |
任務執行角色必須具有以下亞馬遜彈性容器登錄 (Amazon ECR) 許可:
如需詳細資訊,請參閱 提供 ECR 權限和子網路詳細資料。 新增 Amazon ECR 許可後,您必須重新啟動任務。 如果問題仍然存在,請參閱我的 AWS Step Functions 工作流程意外失敗。 |
|
未佈建的其他或代理程式 |
無法辨識的問題, 適用於工作 |
請使用下列問題找出問題的根本原因:
|