本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
手動管理 Amazon EKS 叢集的安全代理程式
本節說明啟用執行階段監控後,如何管理 Amazon EKS 附加元件GuardDuty 代理程式 (代理程式)。若要使用執行階段監控,您必須啟用執行階段監控並設定 Amazon EKS 附加元件aws-guardduty-agent
。僅執行這兩個步驟之一,將無法協助 GuardDuty 偵測潛在威脅或產生發現項目。
部署 GuardDuty 安全代理程式的必要
本節說明手動為EKS叢集部署 GuardDuty 安全性代理程式的必要條件。在繼續之前,請確保您已經為您的帳戶配置了運行時監控。如果您未設定執行階段監控, GuardDuty 安全性代理程式 (EKS附加元件) 將無法運作。如需詳細資訊,請參閱啟用 GuardDuty 執行期監視。完成下列步驟之後,請參閱部署 GuardDuty 安全代理。
選擇您偏好的存取方法來建立 Amazon VPC 端點。
設定 Amazon 的 GuardDuty 安全代理程式 (附加元件) 參數 EKS
您可以為 Amazon 設定 GuardDuty 安全代理程式的特定參數EKS。此支援適用於 GuardDuty 安全代理程式版本 1.5.0 及更新版本。如需最新附加元件版本的資訊,請參閱GuardDuty Amazon EKS 叢集的安全代理程式。
- 為什麼要更新安全代理程式設定結構描述
Amazon EKS 叢集中所有容器之間的 GuardDuty 安全代理程式組態結構描述相同。如果預設值與相關聯的工作負載和執行個體大小不一致,請考慮進行CPU設定、記憶體設定和
dnsPolicy
設定。PriorityClass
無論您如何管理 Amazon EKS 叢集的 GuardDuty 代理程式,都可以設定或更新這些參數的現有組態。
使用已設定參數的自動化代理程式
代表您 GuardDuty 管理安全性代理程式 (EKS附加元件) 時,會視需要更新附加元件。 GuardDuty 會將可配置參數的值設定為預設值。但是,您仍然可以將參數更新為所需的值。如果這會導致衝突,則預設選項resolveConflicts為None
。
可配置的參數和值
如需設定附加元件參數之步驟的相關資訊,請參閱:
下表提供可用於手動部署 Amazon EKS 附加元件或更新現有附加元件設定的範圍和值。
- CPU設定
-
參數
預設值
可配置範圍
請求
200 m
二百米至一萬米之間,均包括在內
限制
1000 m
- 記憶體設定
-
參數
預設值
可配置範圍
請求
五六英里
256 米至 200 英里之間,均包括在內
限制
一百二十米
PriorityClass
設定-
當為您 GuardDuty 創建一個 Amazon EKS 加載項時,分配的
PriorityClass
是aws-guardduty-agent.priorityclass
. 這表示不會根據代理程式網繭的優先順序採取任何動作。您可以選擇下列其中一個選PriorityClass
項來設定此附加元件參數:可配置
PriorityClass
preemptionPolicy
值preemptionPolicy
描述網繭值
aws-guardduty-agent.priorityclass
Never
無動作
1000000
aws-guardduty-agent.priorityclass-high
PreemptLowerPriority
指派此值將會預佔優先順序值低於代理程式網繭值的網繭。
100000000
system-cluster-critical
1PreemptLowerPriority
2000000000
system-node-critical
1PreemptLowerPriority
2000001000
1 庫伯尼特提供這兩個
PriorityClass
選項 — 和.system-cluster-critical
system-node-critical
如需詳細資訊,請參閱 Kubernetes 文件PriorityClass中的。
dnsPolicy
設定選擇 Kubernetes 支援的下列其中一個DNS原則選項。如果未指定任何組態,
ClusterFirst
則會用作預設值。-
ClusterFirst
-
ClusterFirstWithHostNet
-
Default
如需這些原則的相關資訊,請參閱 Kubernetes 文件中的網繭DNS原則
。 -
部署 GuardDuty 安全代理
本節說明如何首次為特定EKS叢集部署 GuardDuty 安全性代理程式。在繼續執行本節之前,請確定您已設定必要條件並為您的帳戶啟用「執行階段監視」。如果您未啟用執行階段監控, GuardDuty安全性代理程式 (EKS附加元件) 將無法運作。
選擇您偏好的存取方法,以首次部署 GuardDuty Security Agent。
驗證組態架構更新
設定完參數之後,請執行下列步驟來確認組態結構描述是否已更新:
在https://console.aws.amazon.com/eks/家裡 #
/集群打開 Amazon EKS 控制台。 -
在導覽窗格中,選擇叢集。
-
在 [叢集] 頁面上,選取您要驗證更新的叢集名稱。
-
選擇 Resources (資源) 標籤。
-
從 [資源類型] 窗格的 [工作負載] 下,選擇DaemonSets。
-
選取aws-guardduty-agent。
-
在aws-guardduty-agent頁面上,選擇 [原始檢視] 以檢視未格式化的JSON回應。確認可配置參數是否顯示您提供的值。
確認之後,請切換至主 GuardDuty 控台。選取對應的 AWS 區域 並檢視 Amazon EKS 叢集的涵蓋範圍狀態。如需詳細資訊,請參閱Amazon EKS 群集的覆蓋範。