Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat untuk dukungan cluster Amazon EKS
Bagian ini mencakup prasyarat untuk memantau perilaku runtime sumber daya Amazon EKS Anda. Prasyarat ini sangat penting bagi GuardDuty agen untuk berfungsi seperti yang diharapkan. Setelah prasyarat ini terpenuhi, lihat Mengaktifkan GuardDuty Runtime Monitoring untuk mulai memantau sumber daya Anda.
Dukungan untuk fitur Amazon EKS
Runtime Monitoring mendukung klaster Amazon EKS yang berjalan di EC2 instans Amazon dan Mode Otomatis Amazon EKS.
Runtime Monitoring tidak mendukung klaster Amazon EKS dengan Amazon EKS Hybrid Nodes, dan yang berjalan. AWS Fargate
Untuk informasi tentang fitur Amazon EKS ini, lihat Apa itu Amazon EKS? di Panduan Pengguna Amazon EKS.
Memvalidasi persyaratan arsitektur
Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari kluster EKS Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi. Jika Anda mengelola GuardDuty agen secara manual, pastikan bahwa versi Kubernetes mendukung versi GuardDuty agen yang sedang digunakan.
Platform terverifikasi
Distribusi OS, versi kernel, dan arsitektur CPU memengaruhi dukungan yang diberikan oleh agen GuardDuty keamanan. Dukungan kernel termasukeBPF, Tracepoints danKprobe. Untuk arsitektur CPU, Runtime Monitoring mendukung AMD64 (x64) dan ARM64 (Graviton2 dan di atasnya). 1
Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi EKS Runtime Monitoring.
| Distribusi OS 2 | Versi kernel 3 | Versi Kubernetes yang didukung |
|---|---|---|
|
Bottlerocket |
5.4, 5.10, 5.15, 6.1 4 |
v1.23 - v1.32 |
|
Ubuntu |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
Amazon Linux 2 |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
Amazon Linux 2023 5 |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
RedHat 9.4 |
5.14 4 |
v1.21 - v1.32 |
|
Fedora 34.0 |
5.11, 5,. |
v1.21 - v1.32 |
|
CentOS Aliran 9 |
5.14 |
v1.21 - v1.32 |
-
Runtime Monitoring untuk klaster Amazon EKS tidak mendukung instans Graviton generasi pertama seperti tipe instans A1.
-
Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.
-
Untuk versi kernel apa pun, Anda harus menyetel
CONFIG_DEBUG_INFO_BTFflag key(artinya true). Ini diperlukan agar agen GuardDuty keamanan dapat berjalan seperti yang diharapkan. -
Saat ini, dengan versi Kernel
6.1, tidak GuardDuty dapat menghasilkan GuardDuty Jenis penemuan Runtime Monitoring yang terkait Acara Sistem Nama Domain (DNS) dengan. -
Runtime Monitoring mendukung AL2 023 dengan rilis agen GuardDuty keamanan v1.6.0 ke atas. Untuk informasi selengkapnya, lihat GuardDuty versi agen keamanan untuk sumber daya Amazon EKS.
Versi Kubernetes didukung oleh agen keamanan GuardDuty
Tabel berikut menunjukkan versi Kubernetes untuk kluster EKS Anda yang didukung oleh agen keamanan. GuardDuty
| Amazon EKS versi agen GuardDuty keamanan add-on | Versi Kubernetes |
|---|---|
|
v1.10.0 (terbaru - v1.10.0-eksbuild.2) v1.9.0 (terbaru - v1.9.0-eksbuild.2) v1.8.1 (terbaru - v1.8.1-eksbuild.2) |
1,21 - 1,32 |
|
v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
v1.7.1 v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 |
1,21 - 1,29 |
|
v1.3.0 v1.2.0 |
1,21 - 1,28 |
|
v1.1.0 |
1,21 - 1,26 |
|
v1.0.0 |
1,21 - 1,25 |
Beberapa versi agen GuardDuty keamanan akan mencapai akhir dukungan standar.
Untuk informasi tentang versi rilis agen, lihatGuardDuty versi agen keamanan untuk sumber daya Amazon EKS.
Batas CPU dan memori
Tabel berikut menunjukkan batas CPU dan memori untuk add-on Amazon EKS for GuardDuty (aws-guardduty-agent).
| Parameter | Batas minimum | Batas maksimum |
|---|---|---|
CPU |
200m |
1000m |
Memori |
256 Mi |
1024 Mi |
Saat Anda menggunakan add-on Amazon EKS versi 1.5.0 atau yang lebih baru, GuardDuty menyediakan kemampuan untuk mengonfigurasi skema add-on untuk nilai CPU dan memori Anda. Untuk informasi tentang rentang yang dapat dikonfigurasi, lihatParameter dan nilai yang dapat dikonfigurasi.
Setelah mengaktifkan EKS Runtime Monitoring dan menilai status cakupan klaster EKS Anda, Anda dapat mengatur dan melihat metrik wawasan container. Untuk informasi selengkapnya, lihat Menyiapkan CPU dan pemantauan memori.
Memvalidasi kebijakan kontrol layanan organisasi Anda
Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, validasi bahwa batas izin tidak membatasi. guardduty:SendSecurityTelemetry Hal ini diperlukan GuardDuty untuk mendukung Runtime Monitoring di berbagai jenis sumber daya.
Jika Anda adalah akun anggota, sambungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat Kebijakan kontrol layanan (SCPs).
