本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本節包含監控 Amazon EKS 資源執行時間行為的先決條件。這些先決條件對於 GuardDuty 代理程式如預期般運作至關重要。符合這些先決條件後,請參閱 啟用 GuardDuty 執行期監控以開始監控您的 資源。
支援 Amazon EKS 功能
執行期監控支援在 Amazon EC2 執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS 叢集。
執行期監控不支援具有 Amazon EKS 混合節點的 Amazon EKS 叢集,以及在其中執行的叢集 AWS Fargate。
如需有關這些 Amazon EKS 功能的資訊,請參閱《Amazon EKS 使用者指南》中的什麼是 Amazon EKS?。
驗證架構需求
您使用的平台可能會影響 GuardDuty 安全代理程式支援 GuardDuty 接收 EKS 叢集執行期事件的方式。您必須確認您使用的是經過驗證的平台之一。如果您在手動管理 GuardDuty 代理程式,請確保 Kubernetes 版本支援目前正在使用的 GuardDuty 代理程式版本。
已驗證的平台
作業系統發行版本、核心版本和 CPU 架構會影響 GuardDuty 安全代理程式提供的支援。以下表格顯示用於 GuardDuty 安全代理程式部署和 EKS 執行期監控設定的已驗證組態。
| 作業系統分佈1 | 核心支援 | 核心版本2 | CPU 架構 - x64 (AMD64) | CPU 架構 - Graviton (ARM64) (Graviton2 及更高版本)3 |
支援的 Kubernetes 版本 |
|---|---|---|---|---|---|
|
Bottlerocket |
eBPF 追蹤點,Kprobe |
5.4、5.10、5.15、6.14 |
支援 |
支援 |
v1.23 - v1.32 |
|
Ubuntu |
5.4、5.10、5.15、6.14 |
v1.21 - v1.32 |
|||
|
AL2 |
5.4、5.10、5.15、6.14 |
v1.21 - v1.32 |
|||
|
AL20235 |
5.4、5.10、5.15、6.14 |
v1.21 - v1.32 |
|||
|
RedHat 9.4 |
5.144 |
v1.21 - v1.32 |
|||
|
Fedora 34.0 |
5.11、5。 |
v1.21 - v1.32 |
|||
|
CentOS Stream 9 |
5.14 |
v1.21 - v1.32 |
-
各種作業系統的支援 - GuardDuty 已驗證在上表所列的作業系統上使用執行期監控的支援。如果您使用不同的作業系統且能夠成功安裝安全代理程式,您可能會取得 GuardDuty 已通過驗證的所有預期安全值,以便提供列出的作業系統分佈。
-
對於任何核心版本,您必須將
CONFIG_DEBUG_INFO_BTF旗標設定為y(表示 true)。這是必要的,以便 GuardDuty 安全代理程式可以如預期般執行。 -
Amazon EKS 叢集的執行期監控不支援第一代 Graviton 執行個體,例如 A1 執行個體類型。
-
目前,使用核心版本 時
6.1,GuardDuty 無法產生與 GuardDuty 執行期監控調查結果類型 相關的 網域名稱系統 (DNS) 事件。 -
執行期監控支援 AL2023 搭配 GuardDuty 安全代理程式 1.6.0 版及更新版本。如需詳細資訊,請參閱Amazon EKS 叢集的 GuardDuty 安全代理程式版本。
GuardDuty 安全代理程式支援的 Kubernetes 版本
以下表格顯示 GuardDuty 安全代理程式所支援 EKS 叢集的 Kubernetes 版本。
| Amazon EKS 附加元件 GuardDuty 安全代理程式版本 | Kubernetes 版本 |
|---|---|
|
v1.10.0 (最新 - v1.10.0-eksbuild.2) v1.9.0 (最新 - v1.9.0-eksbuild.2) v1.8.1 (最新 - v1.8.1-eksbuild.2) |
1.21 - 1.32 |
|
1.7.0 版 1.6.1 版 |
1.21 - 1.31 |
|
v1.7.1 1.7.0 版 1.6.1 版 |
1.21 - 1.31 |
|
v1.6.0 1.5.0 版 1.4.1 版 1.4.0 版 v1.3.1 |
1.21 - 1.29 |
|
v1.3.0 v1.2.0 |
1.21 - 1.28 |
|
v1.1.0 |
1.21 - 1.26 |
|
v1.0.0 |
1.21 - 1.25 |
某些 GuardDuty 安全代理程式版本將終止標準支援。
如需代理程式發行版本的相關資訊,請參閱 Amazon EKS 叢集的 GuardDuty 安全代理程式版本。
CPU 和記憶體限制
以下表格顯示 GuardDuty (aws-guardduty-agent) 的 Amazon EKS 附加元件 CPU 和記憶體限制。
| 參數 | 下限 | 上限 |
|---|---|---|
CPU |
200 m |
1000 m |
記憶體 |
256 Mi |
1024 Mi |
當您使用 Amazon EKS 附加元件 1.5.0 版或更新版本時,GuardDuty 提供為您的 CPU 和記憶體值設定附加元件結構描述的功能。如需可設定範圍的相關資訊,請參閱 可設定的參數和值。
啟用 EKS 執行期監控並評估 EKS 叢集的涵蓋範圍狀態後,您可以設定和檢視 Container Insights 指標。如需詳細資訊,請參閱設定 CPU 和記憶體監控。
驗證您的組織服務控制政策
如果您已設定服務控制政策 (SCP) 來管理組織中的許可,請驗證許可界限未限制 guardduty:SendSecurityTelemetry。GuardDuty 需要支援不同資源類型的執行期監控。
如果您是成員帳戶,請與相關聯的委派管理員連線。如需有關管理組織 SCPs 的資訊,請參閱服務控制政策 SCPs)。
