本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EKS 叢集支援的先決條件
驗證架構需求
您使用的平台可能會影響 GuardDuty Security Agent 從 EKS 叢集接收執行階段事件時支援 GuardDuty 的方式。您必須確認您使用的是經過驗證的平台之一。如果您要手動管理 GuardDuty 代理程式,請確定 Kubernetes 版本支援目前使用中的 GuardDuty 代理程式版本。
已驗證的平台
作業系統發行版本、核心版本和 CPU 架構會影響 GuardDuty 安全性代理程式提供的支援。下表顯示部署 GuardDuty 安全代理程式和設定 EKS 執行階段監視的已驗證組態。
-
Amazon EKS 叢集的執行階段監控不支援第一代 Graviton 執行個體,例如 A1 執行個體類型。
-
「執行階段監視」支援 AL2023,並發行 GuardDuty 安全性代理程式 v1.6.0 及更新版本。如需詳細資訊,請參閱 GuardDuty Amazon EKS 叢集的安全代理程式。
安全性代理程式支援的 Kubernetes 版本 GuardDuty
下表顯示安全性代理程式支援之 EKS 叢集的 Kubernetes 版本。 GuardDuty
| Kubernetes 版本 | Amazon EKS 附加 GuardDuty 安全代理版本 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
v1.6.1 |
v1.6.0 |
V1.5.0 |
v1.4.1 |
V1.4.0 |
v1.3.1 |
v1.3.0 |
v1.2.0 |
v1.1.0 |
v1.0.0 |
|
1.29 |
支援 |
支援 |
支援 |
支援 |
支援 |
不支援 |
不支援 |
不支援 |
不支援 |
不支援 |
1.28 |
支援 |
支援 |
||||||||
1.27 |
支援 |
|||||||||
1.26 |
支援 |
|||||||||
1.25 |
支援 |
|||||||||
1.24 |
||||||||||
1.23 |
||||||||||
1.22 |
||||||||||
1.21 |
||||||||||
部分 GuardDuty 安全代理程式版本將會結束標準支援。如需代理程式發行版本的相關資訊,請參閱GuardDuty Amazon EKS 叢集的安全代理程式。
CPU 和記憶體限制
下表顯示 GuardDuty (aws-guardduty-agent) 的 Amazon EKS 附加元件的 CPU 和記憶體限制。
| 參數 | 下限 | 上限 |
|---|---|---|
CPU |
200 m |
1000 m |
記憶體 |
256 Mi |
1024 Mi |
當您使用 Amazon EKS 附加元件 1.5.0 版或更新版本時, GuardDuty 提供針對 CPU 和記憶體值設定附加元件架構的功能。如需有關可配置範圍的資訊,請參閱可配置的參數和值。
啟用 EKS 執行期監控並評估 EKS 叢集的涵蓋範圍狀態後,您可以設定和檢視 Container Insights 指標。如需詳細資訊,請參閱 設定 CPU 和記憶體監控。
下一步驟
下一步是配置運行時監視,並通過手動或自動管理安全代理程序 GuardDuty。
