Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Runtime-Abdeckung und Fehlerbehebung für Amazon EKS-Cluster
Nachdem Sie Runtime Monitoring aktiviert und den GuardDuty Security Agent (Add-on) für EKS entweder manuell oder über die automatische Agentenkonfiguration installiert haben, können Sie mit der Bewertung der Abdeckung Ihrer EKS-Cluster beginnen.
Überprüfen der Abdeckungsstatistiken
Die Abdeckungsstatistiken für die EKS-Cluster, die Ihren eigenen Konten oder Ihren Mitgliedskonten zugeordnet sind, geben den Prozentsatz der fehlerfreien EKS-Cluster an allen EKS-Clustern in der ausgewählten AWS-Region an. Die folgende Gleichung stellt dies wie folgt dar:
(Fehlerfreie clusters/All Cluster) *100
Wählen Sie eine der Zugriffsmethoden, um die Abdeckungsstatistiken für Ihre Konten einzusehen.
- Console
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
-
Wählen Sie im Navigationsbereich Runtime Monitoring aus.
-
Wählen Sie die Registerkarte Laufzeitabdeckung von EKS-Clustern.
-
Auf der Registerkarte Laufzeitabdeckung von EKS-Clustern können Sie die Abdeckungsstatistiken einsehen, die nach dem Abdeckungsstatus aggregiert sind, der in der Cluster-Listentabelle verfügbar ist.
-
Wenn einer Ihrer EKS-Cluster den Abdeckungsstatus Fehlerhaft hat, kann die Spalte Problem zusätzliche Informationen über den Grund für den Status Fehlerhaft enthalten.
- API/CLI
-
-
Führen Sie die ListCoverageAPI mit Ihrer eigenen gültigen Detektor-ID, Region und Ihrem Service-Endpunkt aus. Mit dieser API können Sie die Cluster-Liste filtern und sortieren.
-
Sie können das Beispiel filter-criteria
ändern mit einer der folgenden Optionen für CriterionKey
:
-
ACCOUNT_ID
-
CLUSTER_NAME
-
RESOURCE_TYPE
-
COVERAGE_STATUS
-
ADDON_VERSION
-
MANAGEMENT_TYPE
-
Sie können das Beispiel AttributeName
in sort-criteria
ändern mit einer der folgenden Optionen:
-
ACCOUNT_ID
-
CLUSTER_NAME
-
COVERAGE_STATUS
-
ISSUE
-
ADDON_VERSION
-
UPDATED_AT
-
Sie können die ändern max-results
(bis zu 50).
-
Informationen zu den Einstellungen detectorId
für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.
aws guardduty --region us-east-1
list-coverage --detector-id 12abc34d567e8fa901bc2d34e56789f0
--sort-criteria '{"AttributeName": "EKS_CLUSTER_NAME
", "OrderBy": "DESC
"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID
", "FilterCondition":{"EqualsValue":"111122223333"}}] }' --max-results 5
-
Führen Sie die GetCoverageStatisticsAPI aus, um aggregierte Statistiken zur Abdeckung abzurufen, die statisticsType
auf dem basieren.
-
Sie können das Beispiel statisticsType
zu einer der folgenden Optionen ändern:
-
COUNT_BY_COVERAGE_STATUS
– Stellt Abdeckungsstatistiken für EKS-Cluster dar, aggregiert nach Abdeckungs-Status.
-
COUNT_BY_RESOURCE_TYPE
— Statistiken zur Abdeckung, aggregiert auf der Grundlage des AWS Ressourcentyps in der Liste.
-
Sie können das Beispiel filter-criteria
im Befehl ändern. Sie können die folgenden Optionen für CriterionKey
verwenden:
-
ACCOUNT_ID
-
CLUSTER_NAME
-
RESOURCE_TYPE
-
COVERAGE_STATUS
-
ADDON_VERSION
-
MANAGEMENT_TYPE
-
Informationen zu den Einstellungen detectorId
für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.
aws guardduty --region us-east-1
get-coverage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0
--statistics-type COUNT_BY_COVERAGE_STATUS
--filter-criteria '{"FilterCriterion":[{"CriterionKey":"ACCOUNT_ID
", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
Wenn der Abdeckungsstatus Ihres EKS-Clusters Fehlerhaft ist, finden Sie weitere Informationen unter Behebung von Problemen mit der Amazon EKS-Runtime-Abdeckung.
Änderung des Deckungsstatus mit EventBridge Benachrichtigungen
Der Abdeckungsstatus eines EKS-Clusters in Ihrem Konto wird möglicherweise als Fehlerhaft angezeigt. Um zu erkennen, wann der Abdeckungsstatus Fehlerhaft wird, empfehlen wir Ihnen, den Abdeckungsstatus regelmäßig zu überwachen und Fehler zu beheben, falls der Status Fehlerhaft ist. Alternativ können Sie eine EventBridge Amazon-Regel erstellen, die Sie benachrichtigt, wenn sich der Deckungsstatus von einem Unhealthy
auf Healthy
oder einem anderen Wert ändert. GuardDuty Veröffentlicht dies standardmäßig im EventBridge Bus für Ihr Konto.
Beispiel für ein Benachrichtigungsschema
In einer EventBridge Regel können Sie die vordefinierten Beispielereignisse und Ereignismuster verwenden, um eine Benachrichtigung über den Versicherungsstatus zu erhalten. Weitere Informationen zum Erstellen einer EventBridge Regel finden Sie unter Regel erstellen im EventBridge Amazon-Benutzerhandbuch.
Darüber hinaus können Sie mithilfe des folgenden Beispiel-Benachrichtigungsschemas ein benutzerdefiniertes Ereignismuster erstellen. Achten Sie darauf, die Werte für Ihr Konto zu ersetzen. Um benachrichtigt zu werden, wenn sich der Abdeckungsstatus Ihres Amazon EKS-Clusters von Healthy
zu ändertUnhealthy
, detail-type
sollte dies der Fall seinGuardDuty Runtime
Protection Unhealthy
. Um benachrichtigt zu werden, wenn sich der Deckungsstatus von Unhealthy
auf ändertHealthy
, ersetzen Sie den Wert von detail-type
durchGuardDuty Runtime Protection Healthy
.
{
"version": "0",
"id": "event ID",
"detail-type": "GuardDuty Runtime Protection Unhealthy
",
"source": "aws.guardduty",
"account": "AWS-Konto ID",
"time": "event timestamp (string)",
"region": "AWS-Region",
"resources": [
],
"detail": {
"schemaVersion": "1.0",
"resourceAccountId": "string",
"currentStatus": "string",
"previousStatus": "string",
"resourceDetails": {
"resourceType": "EKS",
"eksClusterDetails": {
"clusterName": "string",
"availableNodes": "string",
"desiredNodes": "string",
"addonVersion": "string"
}
},
"issue": "string",
"lastUpdatedAt": "timestamp"
}
}
Behebung von Problemen mit der Amazon EKS-Runtime-Abdeckung
Wenn der Deckungsstatus für Ihren EKS-Cluster lautetUnhealthy
, können Sie den entsprechenden Fehler entweder in der Spalte Problem in der GuardDuty Konsole oder mithilfe des CoverageResourceDatentyps anzeigen.
Wenn Sie mit Einschluss- oder Ausschluss-Tags arbeiten, um Ihre EKS-Cluster selektiv zu überwachen, kann es einige Zeit dauern, bis die Tags synchronisiert sind. Dies kann sich auf den Abdeckungsstatus des zugehörigen EKS-Clusters auswirken. Sie können erneut versuchen, das entsprechende Tag (Einschluss oder Ausschluss) zu entfernen und hinzuzufügen. Weitere Informationen finden Sie unter Markieren Ihrer Amazon-EKS-Ressourcen im Amazon-EKS-Entwicklerhandbuch.
Die Struktur eines Abdeckungsproblems ist Issue type:Extra information
. In der Regel verfügen die Probleme über optionale Zusatzinformationen, die eine spezifische Ausnahme oder eine Beschreibung des Problems enthalten können. Basierend auf zusätzlichen Informationen enthalten die folgenden Tabellen die empfohlenen Schritte zur Behebung von Deckungsproblemen für Ihre EKS-Cluster.
Art des Problems (Präfix) |
Zusatzinformation |
Empfohlene Schritte zur Fehlerbehebung |
Die Erstellung des Addons ist fehlgeschlagen |
Das Addon aws-guardduty-agent ist mit der aktuellen Clusterversion des Clusters nicht kompatibel. ClusterName Das angegebene Add-On wird nicht unterstützt. |
Stellen Sie sicher, dass Sie eine der Kubernetes-Versionen verwenden, die die Bereitstellung des aws-guardduty-agent -EKS-Add-Ons unterstützen. Weitere Informationen finden Sie unter Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty . Informationen zur Aktualisierung Ihrer Kubernetes-Version finden Sie unter Aktualisieren einer Amazon-EKS-Cluster-Kubernetes-Version.
|
Die Erstellung des Addons ist fehlgeschlagen
Die Aktualisierung des Addons ist fehlgeschlagen
Der Status des Addons ist fehlerhaft |
Problem mit dem EKS-Add-On – AddonIssueCode : AddonIssueMessage |
Informationen zu empfohlenen Schritten für einen bestimmten Problemcode eines Add-ons finden Sie unter. Troubleshooting steps for Addon creation/updatation error with Addon issue code
Eine Liste der Addon-Problemcodes, die bei diesem Problem auftreten können, finden Sie unter AddonIssue.
|
VPC-Endpunkterstellung ist fehlgeschlagen
|
VPC-Endpunkterstellung wird für gemeinsam genutzte VPC nicht unterstützt vpcId
|
Runtime Monitoring unterstützt jetzt die Verwendung einer gemeinsam genutzten VPC innerhalb einer Organisation. Stellen Sie sicher, dass Ihre Konten alle Voraussetzungen erfüllen. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von Shared VPC.
|
Nur bei Verwendung einer gemeinsam genutzten VPC mit automatisierter Agentenkonfiguration
111122223333 Für die Besitzerkonto-ID für gemeinsam genutzte VPC vpcId ist weder Runtime Monitoring noch automatische Agentenkonfiguration oder beides aktiviert.
|
Das gemeinsame VPC-Besitzerkonto muss Runtime Monitoring und automatische Agentenkonfiguration für mindestens einen Ressourcentyp (Amazon EKS oder Amazon ECS (AWS Fargate)) aktivieren. Weitere Informationen finden Sie unter Spezifische Voraussetzungen für Runtime Monitoring GuardDuty . |
Um privates DNS zu aktivieren, müssen beide enableDnsSupport enableDnsHostnames VPC-Attribute auf true for gesetzt sein vpcId (Service: Ec2, Statuscode: 400, Anforderungs-ID:). a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 |
Sie müssen jedoch sicherstellen, dass die folgenden VPC-Attribute auf true festgelegt sind: enableDnsSupport und enableDnsHostnames . Weitere Informationen finden Sie unter DNS-Attribute in Ihrer VPC.
Wenn Sie die Amazon VPC Console unter verwenden, https://console.aws.amazon.com/vpc/um die Amazon VPC zu erstellen, stellen Sie sicher, dass Sie sowohl DNS-Hostnamen aktivieren als auch DNS-Auflösung aktivieren auswählen. Weitere Informationen finden Sie unter VPC-Konfigurationsoptionen. |
Fehler beim Löschen eines gemeinsamen VPC-Endpunkts |
Das Löschen eines gemeinsamen VPC-Endpunkts ist für Konto-ID111122223333 , gemeinsame VPC vpcId und Besitzerkonto-ID nicht zulässig. 555555555555 |
Mögliche Schritte:
-
Die Deaktivierung des Runtime Monitoring-Status des gemeinsam genutzten VPC-Teilnehmerkontos hat keine Auswirkungen auf die gemeinsame VPC-Endpunktrichtlinie und die Sicherheitsgruppe, die im Besitzerkonto vorhanden ist.
Um den gemeinsamen VPC-Endpunkt und die Sicherheitsgruppe zu löschen, müssen Sie Runtime Monitoring oder den Status der automatisierten Agentenkonfiguration im gemeinsam genutzten VPC-Besitzerkonto deaktivieren.
-
Das gemeinsame VPC-Teilnehmerkonto kann den gemeinsamen VPC-Endpunkt und die Sicherheitsgruppe, die im gemeinsamen VPC-Besitzerkonto gehostet werden, nicht löschen.
|
Lokale EKS-Cluster |
EKS-Add-Ons werden auf lokalen Outpost-Clustern nicht unterstützt. |
Nicht umsetzbar.
Weitere Informationen finden Sie unter Amazon EKS on AWS Outposts.
|
Die Aktivierungsberechtigung für die EKS-Laufzeit-Überwachung wurde nicht erteilt |
(kann zusätzliche Informationen anzeigen oder auch nicht) |
-
Wenn die zusätzlichen Informationen für dieses Problem verfügbar sind, beheben Sie die Ursache und folgen Sie dem nächsten Schritt.
-
Schalten Sie die EKS-Laufzeit-Überwachung aus und dann wieder ein. Stellen Sie sicher, dass der GuardDuty Agent ebenfalls bereitgestellt wird, sei es automatisch GuardDuty oder manuell.
|
Die Bereitstellung der Ressourcen zur Aktivierung der EKS-Laufzeit-Überwachung wird ausgeführt |
(kann zusätzliche Informationen anzeigen oder auch nicht) |
Nicht umsetzbar.
Nachdem Sie die EKS-Laufzeit-Überwachung aktiviert haben, kann der Abdeckungsstatus Unhealthy bleiben, bis der Schritt der Ressourcenbereitstellung abgeschlossen ist. Der Abdeckungsstatus wird regelmäßig überwacht und aktualisiert. |
Andere (jedes andere Problem) |
Fehler aufgrund eines Autorisierungsfehlers |
Schalten Sie die EKS-Laufzeit-Überwachung aus und dann wieder ein. Stellen Sie sicher, dass der GuardDuty Agent ebenfalls bereitgestellt wird, entweder automatisch GuardDuty oder manuell. |
Schritte zur Fehlerbehebung bei einem creation/updation Addon-Fehler mit dem Addon-Problemcode
Fehler bei der Erstellung oder Aktualisierung des Addons |
Fehlerbehebungsschritte |
Problem mit dem EKS-Addon -InsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, da es nicht über die gewünschte Anzahl von Replikaten verfügt.
|
-
Mithilfe der Problemmeldung können Sie die Ursache identifizieren und beheben. Sie können damit beginnen, Ihren Cluster zu beschreiben. Verwenden Sie dies beispielsweise, kubectl describe pods um die Hauptursache für den Pod-Ausfall zu ermitteln.
Nachdem Sie die Ursache behoben haben, wiederholen Sie den Schritt (Erstellung oder Aktualisierung des Add-ons).
-
Wenn das Problem weiterhin besteht, überprüfen Sie, ob der VPC-Endpunkt für Ihren Amazon EKS-Cluster korrekt konfiguriert ist. Weitere Informationen finden Sie unter Validierung der VPC-Endpunktkonfiguration.
|
Problem mit dem EKS-Addon -InsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, weil ein oder mehrere Pods nicht geplant sind. 0/x Knoten sind verfügbar:. x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never
|
Um dieses Problem zu beheben, können Sie eine der folgenden Aktionen ausführen:
Die Meldung wird angezeigto/x , weil GuardDuty nur der erste gefundene Fehler gemeldet wird. Die tatsächliche Anzahl der laufenden Pods im GuardDuty Daemonset ist möglicherweise größer als 0.
|
Problem mit dem EKS-Addon -InsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, weil ein oder mehrere Pods nicht geplant sind. 0/x Knoten sind verfügbar:. x Too many pods. preemption: not eligible due to preemptionPolicy=Never
|
Problem mit dem EKS-Addon -InsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, weil ein oder mehrere Pods nicht geplant sind. 0/x Knoten sind verfügbar:. 1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never
|
Problem mit dem EKS-Addon -InsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, da auf einem oder mehreren Pods Container warten CrashLoopBackOff: Completed
|
Sie können die mit dem Pod verknüpften Protokolle einsehen und das Problem identifizieren. Informationen dazu finden Sie unter Debug Running Pods in der Kubernetes-Dokumentation.
Verwenden Sie die folgende Checkliste, um dieses Add-on-Problem zu beheben:
-
Stellen Sie sicher, dass Runtime Monitoring aktiviert ist.
-
Stellen Sie sicherVoraussetzungen für die Unterstützung von Amazon EKS-Clustern, dass die Anforderungen erfüllt sind, z. B. verifizierte Betriebssystemverteilungen und unterstützte Kubernetes-Versionen.
-
Wenn Sie den Security Agent manuell verwalten, stellen Sie sicher, dass Sie einen VPC-Endpunkt für alle erstellt haben. VPCs Wenn Sie die GuardDuty automatische Konfiguration aktivieren, sollten Sie dennoch überprüfen, ob der VPC-Endpunkt erstellt wird. Zum Beispiel, wenn Sie eine gemeinsam genutzte VPC in automatisierter Konfiguration verwenden.
Informationen zur Überprüfung finden Sie unterValidierung der VPC-Endpunktkonfiguration.
-
Vergewissern Sie sich, dass der GuardDuty Security Agent das private DNS des GuardDuty VPC-Endpunkts auflösen kann. Informationen zu den Endpunkten finden Sie unter Private DNS-Namen für Endgeräte in. Verwaltung von GuardDuty Security Agents
Dazu können Sie entweder das nslookup Tool unter Windows oder Mac oder das dig Tool unter Linux verwenden. Wenn Sie nslookup verwenden, können Sie den folgenden Befehl verwenden, nachdem Sie die Region durch Ihre Region us-west-2 ersetzt haben:
nslookup guardduty-data.us-west-2 .amazonaws.com
-
Stellen Sie sicher, dass sich Ihre GuardDuty VPC-Endpunktrichtlinie oder die Dienststeuerungsrichtlinie nicht auf die Aktion auswirktguardduty:SendSecurityTelemetry .
|
Problem mit dem EKS-AddonInsufficientNumberOfReplicas : Das Add-on ist fehlerhaft, weil in einem oder mehreren Pods Container warten CrashLoopBackOff: Error
|
Sie können die mit dem Pod verknüpften Protokolle einsehen und das Problem identifizieren. Informationen dazu finden Sie unter Debug Running Pods in der Kubernetes-Dokumentation.
Nachdem Sie das Problem identifiziert haben, verwenden Sie die folgende Checkliste, um es zu beheben:
|
EKS Addon Issue —AdmissionRequestDenied : Der Zugangswebhook "validate.kyverno.svc-fail" hat die Anfrage verweigert: Richtlinie DaemonSet/amazon-guardduty/aws-guardduty-agent wegen Ressourcenverletzung:::... restrict-image-registries autogen-validate-registries |
-
Der Amazon EKS-Cluster oder der Sicherheitsadministrator müssen die Sicherheitsrichtlinie überprüfen, die das Addon-Update blockiert.
-
Sie müssen entweder den Controller (webhook ) deaktivieren oder den Controller die Anfragen von Amazon EKS annehmen lassen.
|
Problem mit dem EKS-Addon ConfigurationConflict — Beim Versuch, sich zu bewerben, wurden Konflikte festgestellt. Wird aufgrund des Konfliktlösungsmodus nicht fortgesetzt. Conflicts: DaemonSet.apps
aws-guardduty-agent -
.spec.template.spec.containers[name="aws-guardduty-agent"].image |
Wenn Sie das Addon erstellen oder aktualisieren, geben Sie das OVERWRITE Konfliktlösungskennzeichen an. Dadurch werden möglicherweise alle Änderungen überschrieben, die mithilfe der Kubernetes-API direkt an den zugehörigen Ressourcen in Kubernetes vorgenommen wurden.
Sie können zuerst ein Amazon EKS-Add-on aus einem Cluster entfernen und dann erneut installieren.
|
Problem mit dem EKS-Addon - AccessDenied: priorityclasses.scheduling.k8s.io
"aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch
resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster
scope |
Sie müssen die fehlende Berechtigung eks:addon-cluster-admin
ClusterRoleBinding manuell hinzufügen. Fügen Sie Folgendes yaml hinzueks:addon-cluster-admin :
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: eks:addon-cluster-admin
subjects:
- kind: User
name: eks:addon-manager
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
---
Sie können dies jetzt mit yaml dem folgenden Befehl auf Ihren Amazon EKS-Cluster anwenden:
kubectl apply -f eks-addon-cluster-admin.yaml
|
AddonUpdationFailed: EKSAddon Problem - AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"
|
Problem mit dem EKS-Addon - AccessDenied: admission webhook
"validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All
namespaces must have an `owner` label |
Sie müssen entweder den Controller deaktivieren oder den Controller die Anfragen vom Amazon EKS-Cluster annehmen lassen.
Bevor Sie das Add-on erstellen oder aktualisieren, können Sie auch einen GuardDuty Namespace erstellen und ihn als owner kennzeichnen.
|
Problem mit dem EKS-Addon - AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request:
[all-namespace-must-have-label-owner] All namespaces must have an `owner` label |
Sie müssen entweder den Controller deaktivieren oder den Controller die Anfragen vom Amazon EKS-Cluster annehmen lassen.
Bevor Sie das Add-on erstellen oder aktualisieren, können Sie auch einen GuardDuty Namespace erstellen und ihn als owner kennzeichnen. |
Problem mit dem EKS-Addon - AccessDenied: admission webhook
"validation.gatekeeper.sh" denied the request: [allowed-container-registries] container
<aws-guardduty-agent> has an invalid image registry |
Fügen Sie die Image-Registrierung für GuardDuty allowed-container-registries in Ihrem Admission Controller hinzu. Weitere Informationen finden Sie im ECR-Repository für EKS v1.8.1-eks-build.2 in. GuardDutyHosting-Agent für Amazon ECR Repositorys
|