Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para la compatibilidad con clústeres de Amazon EKS
Esta sección incluye los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de Amazon EKS. Estos requisitos previos son cruciales para que el GuardDuty agente funcione según lo esperado. Una vez que se cumplan estos requisitos previos, empiece Habilitación GuardDuty de la supervisión del tiempo a monitorizar sus recursos.
Support para las funciones de Amazon EKS
Runtime Monitoring es compatible con los clústeres de Amazon EKS que se ejecutan en EC2 instancias de Amazon y en Amazon EKS Auto Mode.
Runtime Monitoring no admite los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en ellos AWS Fargate.
Para obtener información sobre estas funciones de Amazon EKS, consulte ¿Qué es Amazon EKS? en la Guía del usuario de Amazon EKS.
Validación de los requisitos de arquitectura
La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de EKS. Debe validar que esté utilizando una de las plataformas verificadas. Si administra el GuardDuty agente manualmente, asegúrese de que la versión de Kubernetes sea compatible con la versión del GuardDuty agente que está en uso actualmente.
Plataformas verificadas
La distribución del sistema operativo, la versión del núcleo y la arquitectura de la CPU afectan al soporte que proporciona el agente de seguridad. GuardDuty El soporte del núcleo incluyeeBPF, Tracepoints yKprobe. Para las arquitecturas de CPU, Runtime Monitoring admite AMD64 (x64) y ARM64 (Graviton2 y versiones posteriores). 1
La siguiente tabla muestra la configuración verificada para implementar el agente de GuardDuty seguridad y configurar EKS Runtime Monitoring.
| Distribución del sistema operativo 2 | Versión de kernel 3 | Versión de Kubernetes compatible |
|---|---|---|
|
Bottlerocket |
5.4, 5.10, 5.15, 6.14 |
v1.23 - v1.32 |
|
Ubuntu |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.32 |
|
Amazon Linux 2 |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.32 |
|
Amazon Linux 2023 5 |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.32 |
|
RedHat 9.4 |
5.14 4 |
v1.21 - v1.32 |
|
Fedora 34.0 |
5.11, 5,. |
v1.21 - v1.32 |
|
CentOS Stream 9 |
5.14 |
v1.21 - v1.32 |
-
La Supervisión en tiempo de ejecución para clústeres de Amazon EKS no es compatible con la primera generación de instancias de Graviton, como los tipos de instancia A1.
-
Soporte para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede ejecutarse en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.
-
Para cualquier versión del núcleo, debe establecer el
CONFIG_DEBUG_INFO_BTFindicador eny(que significa verdadero). Esto es necesario para que el agente GuardDuty de seguridad pueda funcionar según lo esperado. -
Actualmente, con la versión Kernel
6.1, no GuardDuty Tipos de búsqueda de Runtime Monitoring se GuardDuty puede generar nada relacionado conEventos del sistema de nombres de dominio (DNS). -
La monitorización del tiempo de ejecución es compatible con la versión AL2 0.23 con la versión 1.6.0 y versiones posteriores del agente de GuardDuty seguridad. Para obtener más información, consulte GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS.
Versiones de Kubernetes compatibles con el agente de seguridad GuardDuty
En la siguiente tabla se muestran las versiones de Kubernetes para los clústeres de EKS compatibles con el agente de seguridad. GuardDuty
| Versión del agente de GuardDuty seguridad complementario Amazon EKS | Versión de Kubernetes |
|---|---|
|
v1.10.0 (última versión: v1.10.0-eksbuild.2) v1.9.0 (más reciente: v1.9.0-eksbuild.2) v1.8.1 (más reciente: v1.8.1-eksbuild.2) |
1.21 - 1.32 |
|
v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
v1.7.1 v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
Versión 1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 |
1,21 - 1,29 |
|
v1.3.0 v1.2.0 |
1,21 - 1,28 |
|
v1.1.0 |
1,21 - 1,26 |
|
v1.0.0 |
1.21 - 1.25 |
Algunas de las versiones del agente GuardDuty de seguridad llegarán al final del soporte estándar.
Para obtener información sobre las versiones de lanzamiento del agente, consulte GuardDuty versiones de agentes de seguridad para los recursos de Amazon EKS.
Límites de CPU y memoria
En la siguiente tabla se muestran los límites de CPU y memoria del complemento Amazon EKS para GuardDuty (aws-guardduty-agent).
| Parámetro | Límite mínimo | Límite máximo |
|---|---|---|
CPU |
200m |
1000m |
Memoria |
256 Mi |
1024 Mi |
Cuando utiliza la versión 1.5.0 o superior del complemento Amazon EKS, GuardDuty ofrece la posibilidad de configurar el esquema del complemento para los valores de CPU y memoria. Para obtener información sobre el rango configurable, consulte Parámetros y valores que se pueden configurar.
Después de habilitar la supervisión en tiempo de ejecución de EKS y evaluar el estado de la cobertura de sus clústeres de EKS, podrá configurar y ver las métricas de información de los contenedores. Para obtener más información, consulte Configuración de la supervisión de la CPU y la memoria.
Validar la política de control de servicios de la organización
Si ha configurado una política de control de servicio (SCP) para administrar los permisos en la organización, valide que el límite de permisos no restrinja guardduty:SendSecurityTelemetry. Es necesario GuardDuty para admitir la monitorización del tiempo de ejecución en diferentes tipos de recursos.
Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte Políticas de control de servicios (SCPs).
