As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para o suporte ao cluster do Amazon EKS
Esta seção inclui os pré-requisitos para monitorar o comportamento de runtime de seus recursos do Amazon EKS. Esses pré-requisitos são cruciais para que o GuardDuty agente funcione conforme o esperado. Depois que esses pré-requisitos forem atendidos, comece Habilitando o GuardDuty monitoramento de tempo a monitorar seus recursos.
Support para recursos do Amazon EKS
O Runtime Monitoring é compatível com clusters do Amazon EKS executados em EC2 instâncias da Amazon e no Amazon EKS Auto Mode.
O Runtime Monitoring não é compatível com clusters do Amazon EKS com Amazon EKS Hybrid Nodes e aqueles em execução AWS Fargate.
Para obter informações sobre esses recursos do Amazon EKS, consulte O que é o Amazon EKS? no Guia do usuário do Amazon EKS.
Validação dos requisitos de arquitetura
A plataforma que você usa pode afetar o suporte do GuardDuty Security Agent GuardDuty no recebimento de eventos de tempo de execução de seus clusters EKS. Você precisa validar que está usando uma das plataformas verificadas. Se você estiver gerenciando o GuardDuty agente manualmente, certifique-se de que a versão do Kubernetes seja compatível com a versão do GuardDuty agente que está em uso no momento.
Plataformas verificadas
A distribuição do sistema operacional, a versão do kernel e a arquitetura da CPU afetam o suporte fornecido pelo agente GuardDuty de segurança. O suporte do kernel inclui eBPF Tracepoints e. Kprobe Para arquiteturas de CPU, o Runtime Monitoring suporta AMD64 (x64) e ARM64 (Graviton2 e superior). 1
A tabela a seguir mostra a configuração verificada para implantar o agente de GuardDuty segurança e configurar o EKS Runtime Monitoring.
| Distribuição do sistema operacional 2 | Versão do kernel 3 | Versão compatível do Kubernetes |
|---|---|---|
|
Bottlerocket |
5.4, 5.10, 5.15, 6.1 4 |
v1.23 - v1.32 |
|
Ubuntu |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
Amazon Linux 2 |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
Amazon Linux 2023 5 |
5.4, 5.10, 5.15, 6.1 4 |
v1.21 - v1.32 |
|
RedHat 9.4 |
5.14 4 |
v1.21 - v1.32 |
|
Fedora 34.0 |
5.11, 5,. |
v1.21 - v1.32 |
|
CentOS Stream 9 |
5.14 |
v1.21 - v1.32 |
-
O monitoramento de runtime para clusters do Amazon EKS não é compatível com a instância Graviton de primeira geração, como os tipos de instância A1.
-
Suporte para vários sistemas operacionais - GuardDuty verificou o suporte do Runtime Monitoring para a distribuição operacional listada na tabela anterior. Embora o agente GuardDuty de segurança possa ser executado em sistemas operacionais não listados na tabela anterior, a GuardDuty equipe não pode garantir o valor de segurança esperado.
-
Para qualquer versão do kernel, você deve definir o
CONFIG_DEBUG_INFO_BTFsinalizador comoy(significando verdadeiro). Isso é necessário para que o agente GuardDuty de segurança possa ser executado conforme o esperado. -
Atualmente, com a versão Kernel
6.1, não é GuardDuty possível gerar GuardDuty Tipos de descoberta de monitoramento de tempo de execução que estejam relacionados a. Eventos do Sistema de Nomes de Domínio (DNS) -
O Runtime Monitoring suporta AL2 023 com o lançamento do agente de GuardDuty segurança v1.6.0 e superior. Para obter mais informações, consulte GuardDuty versões do agente de segurança para recursos do Amazon EKS.
Versões do Kubernetes suportadas pelo agente de segurança GuardDuty
A tabela a seguir mostra as versões do Kubernetes para seus clusters EKS que são compatíveis com o agente de GuardDuty segurança.
| Versão complementar do agente de GuardDuty segurança Amazon EKS | Versão do Kubernetes |
|---|---|
|
v1.10.0 (mais recente - v1.10.0-eksbuild.2) v1.9.0 (mais recente - v1.9.0-eksbuild.2) v1.8.1 (mais recente - v1.8.1-eksbuild.2) |
1,21 - 1,32 |
|
v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
v1.7.1 v1.7.0 v1.6.1 |
1,21 - 1,31 |
|
v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 |
1,21 - 1,29 |
|
v1.3.0 v1.2.0 |
1,21 - 1,28 |
|
v1.1.0 |
1,21 - 1,26 |
|
v1.0.0 |
1.21 - 1.25 |
Algumas das versões do agente de GuardDuty segurança chegarão ao fim do suporte padrão.
Para obter informações sobre as versões de lançamento do agente, consulte GuardDuty versões do agente de segurança para recursos do Amazon EKS.
Limites de CPU e memória
A tabela a seguir mostra os limites de CPU e memória do complemento Amazon EKS para GuardDuty (aws-guardduty-agent).
| Parameter | Limite mínimo | Limite máximo |
|---|---|---|
CPU |
200 m |
1000 m |
Memória |
256 Mi |
1024 Mi |
Quando você usa a versão 1.5.0 ou superior do complemento Amazon EKS, GuardDuty fornece a capacidade de configurar o esquema complementar para seus valores de CPU e memória. Para obter informações sobre o intervalo de configuração, consulte Parâmetros e valores configuráveis.
Depois de ativar o Monitoramento de runtime do EKS e avaliar o status de cobertura dos seus clusters do EKS, você pode configurar e visualizar as métricas de insights do contêiner. Para obter mais informações, consulte Configurar o monitoramento da CPU e da memória.
Validando sua política de controle de serviço da organização
Se você configurou uma política de controle de serviços (SCP) para gerenciar permissões em sua organização, verifique se o limite de permissões não é restritivo guardduty:SendSecurityTelemetry. É necessário para oferecer suporte GuardDuty ao Runtime Monitoring em diferentes tipos de recursos.
Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).
