Comportamento de configuração do agente automatizado com parâmetros configurados Parâmetros e valores configuráveis Verificação das atualizações do esquema de configuração

Configurar os parâmetros do agente de segurança GuardDuty (complemento) para o Amazon EKS

É possível configurar parâmetros específicos do seu agente de segurança do GuardDuty para o Amazon EKS. Esse suporte está disponível para a versão do agente de segurança do GuardDuty 1.5.0 e superior. Para obter informações sobre as versões mais recentes do complemento, consulte Versões do agente de segurança do GuardDuty para recursos do Amazon EKS.

Por que devo atualizar o esquema de configuração do agente de segurança: O esquema de configuração do agente de segurança do GuardDuty é o mesmo em todos os contêineres em seus clusters do Amazon EKS. Quando os valores padrão não estiverem alinhados com os workloads e o tamanho da instância associados, considere definir as configurações de CPU, de memória, PriorityClass e configurações de dnsPolicy. IIndependentemente de como esteja gerenciando o agente GuardDuty para seus clusters do Amazon EKS, é possível configurar ou atualizar a configuração existente desses parâmetros.

Comportamento de configuração do agente automatizado com parâmetros configurados

Quando o GuardDuty gerencia o agente de segurança (complemento EKS) em seu nome, ele atualiza o complemento conforme necessário. O GuardDuty definirá o valor dos parâmetros configuráveis para um valor padrão. No entanto, ainda é possível atualizar os parâmetros para o valor desejado. Se isso levar a um conflito, a opção padrão para resolveConflicts é None.

Parâmetros e valores configuráveis

Para obter informações sobre as etapas de configuração dos parâmetros do complemento, consulte:

As tabelas a seguir fornecem os intervalos e valores que se pode usar para implantar o complemento Amazon EKS manualmente ou atualizar as configurações existentes do complemento.

Configurações da CPU

Parâmetros	Valor padrão	Intervalo configurável
Solicitações	200 m	Entre 200m e 10000m, ambos inclusive
Limites	1000 m	Entre 200m e 10000m, ambos inclusive

Memory Settings

Parâmetros	Valor padrão	Intervalo configurável
Solicitações	256 milhões	Entre 256 Milhões e 20000 Milhões, ambos inclusive
Limites	1024 milhões	Entre 256 Milhões e 20000 Milhões, ambos inclusive

PriorityClass configurações

Quando o GuardDuty cria um complemento do Amazon EKS para você, o PriorityClassatribuído é aws-guardduty-agent.priorityclass. Isso significa que nenhuma ação será tomada com base na prioridade do pod do agente. É possível configurar esse parâmetro do complemento escolhendo uma das opções PriorityClass a seguir:

`PriorityClass` configurável	`preemptionPolicy`Valor do	Descrição `preemptionPolicy`	Valor pod
`aws-guardduty-agent.priorityclass`	`Never`	Nenhuma ação	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	A atribuição desse valor impedirá a execução de um pod com o valor de prioridade menor que o valor do pod do agente.	100000000
`system-cluster-critical`¹	`PreemptLowerPriority`		2000000000
`system-node-critical`¹	`PreemptLowerPriority`		2000001000

¹ Kubernetes fornece essas duas opções PriorityClass – system-cluster-critical e system-node-critical. Para obter mais informações, consulte PriorityClass na documentação Kubernetes.

dnsPolicy configurações

Escolha uma das seguintes opções de política DNS que o Kubernetes suporta. Quando nenhuma configuração é especificada, ClusterFirst é usado como o valor padrão.

ClusterFirst
ClusterFirstWithHostNet
Default

Para obter informações sobre essas políticas, consulte Política de DNS de Pod na Documentação do Kubernetes.

Verificação das atualizações do esquema de configuração

Depois de configurar os parâmetros, execute as etapas a seguir para verificar se o esquema de configuração foi atualizado:

Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.
No painel de navegação, escolha Clusters.
Na página Clusters, selecione o Nome do cluster para o qual você deseja verificar as atualizações.
Escolha a guia Recursos.
No painel Tipos de recurso, em Workloads, escolha DaemonSets.
Selecione aws-guardduty-agent.
Na página aws-guardduty-agent, escolha Visualização bruta para visualizar a resposta JSON não formatada. Verifique se os parâmetros configuráveis exibem o valor informado.

Depois de verificar, mude para o console do GuardDuty. Selecione o Região da AWS correspondente e visualize o status da cobertura dos seus clusters do Amazon EKS. Para obter mais informações, consulte Cobertura de runtime e solução de problemas para clusters do Amazon EKS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualização manual do agente de segurança para recursos do Amazon EKS

Validando a configuração do endpoint da VPC