기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EKS 클러스터 지원을 위한 사전 조건
<a name="prereq-runtime-monitoring-eks-support"></a>

이 섹션에는 Amazon EKS 리소스의 런타임 동작을 모니터링하기 위한 사전 요구 사항이 포함되어 있습니다. 이러한 사전 조건은 GuardDuty 에이전트가 예상대로 작동하는 데 매우 중요합니다. 이러한 사전 조건이 충족되면 [GuardDuty 런타임 모니터링 활성화](runtime-monitoring-configuration.md)을 참조하여 리소스 모니터링을 시작합니다.

## Amazon EKS 기능 지원
<a name="runtime-monitoring-eks-feature-support"></a>

Runtime Monitoring은 Amazon EC2 인스턴스 및 Amazon EKS 자율 모드에서 실행되는 Amazon EKS 클러스터를 **지원합니다**.

Runtime Monitoring은 Amazon EKS Hybrid Nodes가 있는 Amazon EKS 클러스터와 AWS Fargate에서 실행되는 클러스터를 **지원하지 않습니다**.

Amazon EKS 기능에 관한 자세한 내용은 **Amazon EKS 사용 설명서**의 [Amazon EKS란 무엇입니까?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)를 참조하세요.

## 아키텍처 요구 사항 검증
<a name="eksrunmon-supported-platform-concepts"></a>

사용하는 플랫폼이 GuardDuty 보안 에이전트가 EKS 클러스터로부터 런타임 이벤트를 수신하는 데 있어 GuardDuty를 지원하는 방식에 영향을 미칠 수 있습니다. 확인된 플랫폼 중 하나를 사용하고 있는지 검증해야 합니다. GuardDuty 에이전트를 수동으로 관리하는 경우, Kubernetes 버전이 현재 사용 중인 GuardDuty 에이전트 버전을 지원하는지 확인해야 합니다.

### 검증된 플랫폼
<a name="eksrunmon-verified-platform"></a>

OS 배포판, 커널 버전 및 CPU 아키텍처는 GuardDuty 보안 에이전트에서 제공하는 지원에 영향을 미칩니다. 커널 지원에는 `eBPF`, `Tracepoints` 및 `Kprobe`가 포함됩니다. CPU 아키텍처의 경우 Runtime Monitoring은 AMD64(`x64`) 및 ARM64(Graviton2 이상)[1](#runtime-monitoring-eks-graviton-2-support)를 지원합니다.

다음 표는 GuardDuty 보안 에이전트를 배포하고 EKS 런타임 모니터링을 구성하는 데 있어 검증된 구성을 보여줍니다.


| OS 배포**[2](#runtime-monitoring-eks-os-support)** | 커널 버전**[3](#runtime-monitoring-eks-kernel-version-required-flag)** | 지원되는 Kubernetes 버전 | 
| --- | --- | --- | 
|  Bottlerocket  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23 - v1.35 | 
|  Ubuntu  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Amazon Linux 2  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Amazon Linux 2023*[5](#runtime-eks-al2023-support-v1.6.0)*  | 5.4, 5.10, 5.15, 6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  RedHat 9.4  | 5.14[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 | 
|  Fedora 34  | 5.11, 5,17 | v1.21 - v1.35 | 
|  Fedora 40  | 6.8 | v1.28 - v1.35 | 
|  Fedora 41  | 6.12 | v1.28 - v1.35 | 
|  CentOS Stream 9  | 5.14 | v1.21 - v1.35 | 

1. <a name="runtime-monitoring-eks-graviton-2-support"></a>Amazon EKS 클러스터에 대한 런타임 모니터링은 A1 인스턴스 유형과 같은 1세대 Graviton 인스턴스를 지원하지 않습니다.

1. <a name="runtime-monitoring-eks-os-support"></a>다양한 운영 체제 지원 - GuardDuty는 상기 표에 기재된 운영 체제 배포판에 대한 Runtime Monitoring 지원을 검증했습니다. GuardDuty 보안 에이전트가 위 표에 나열되지 않은 운영 체제에서 실행될 수 있지만 GuardDuty 팀이 예상 보안 값을 보장할 수는 없습니다.

1. <a name="runtime-monitoring-eks-kernel-version-required-flag"></a>커널 버전의 경우 `CONFIG_DEBUG_INFO_BTF` 플래그를 `y`(*true* 의미)로 설정해야 합니다. 이는 GuardDuty 보안 에이전트가 예상대로 실행될 수 있도록 하기 위해 필요합니다.

1. <a name="v6.1-kernel-dns-findings-unsupported-eks"></a>현재 커널 버전 `6.1`에서는 [도메인 이름 시스템(DNS) 이벤트](runtime-monitoring-collected-events.md#eks-runtime-dns-events)와 관련된 GuardDuty[GuardDuty 런타임 모니터링 조사 결과 유형](findings-runtime-monitoring.md)를 생성할 수 없습니다.

1. <a name="runtime-eks-al2023-support-v1.6.0"></a>런타임 모니터링은 GuardDuty 보안 에이전트 v1.6.0 이상의 릴리스와 함께 AL2023을 지원합니다. 자세한 내용은 [Amazon EKS 리소스용 GuardDuty 보안 에이전트 버전](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history) 단원을 참조하십시오.

#### GuardDuty 보안 에이전트가 지원하는 Kubernetes 버전
<a name="gdu-agent-supported-k8-version"></a>

다음 표는 GuardDuty 보안 에이전트에서 지원하는 EKS 클러스터의 Kubernetes 버전을 보여줍니다.


| Amazon EKS 추가 기능 GuardDuty 보안 에이전트 버전 | Kubernetes 버전 | 
| --- | --- | 
|  v1.12.1(최신 - v1.12.1-eksbuild.2)  |  1.28\$11.35  | 
|  v1.11.0(최신 - v1.11.0-eksbuild.4)  |  1.28\$11.34  | 
|  v1.10.0(최신 - v1.10.0-eksbuild.2)  |  1.21\$11.33  | 
|  v1.9.0(최신 - v1.9.0-eksbuild.2) v1.8.1(최신 - v1.8.1-eksbuild.2)  |  1.21\$11.32  | 
|  v1.7.1 v1.7.0 v1.6.1  |  1.21\$11.31  | 
|  v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1  |  1.21\$11.29  | 
|  v1.3.0 v1.2.0  |  1.21\$11.28  | 
|  v1.1.0  |  1.21\$11.26  | 
|  v1.0.0  |  1.21 - 1.25  | 

일부 GuardDuty 보안 에이전트 버전은 표준 지원이 종료됩니다.

에이전트 릴리스 버전에 대한 자세한 내용은 [Amazon EKS 리소스용 GuardDuty 보안 에이전트 버전](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)를 참조하세요.

### CPU 및 메모리 제한
<a name="eks-runtime-agent-limits"></a>

다음 표는 GuardDuty용 Amazon EKS 추가 기능(`aws-guardduty-agent`)의 CPU 및 메모리 제한을 보여줍니다.


| 파라미터 | 최소 제한 | 최대 제한 | 
| --- | --- | --- | 
| CPU | 200m | 1,000m | 
| Memory | 256Mi | 1024Mi | 

Amazon EKS 추가 기능 버전 1.5.0 이상을 사용하는 경우 GuardDuty는 CPU 및 메모리 값에 대한 애드온 기능 스키마를 구성하는 기능을 제공합니다. 구성 범위에 대한 자세한 설명은 [구성 가능한 파라미터 및 값](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values)을 참조하세요.

EKS 런타임 모니터링을 활성화하고 EKS 클러스터의 적용 범위 상태를 평가한 후 컨테이너 인사이트 지표를 설정하고 볼 수 있습니다. 자세한 내용은 [CPU 및 메모리 모니터링 설정](runtime-monitoring-setting-cpu-mem-monitoring.md) 단원을 참조하십시오.

## 조직 서비스 제어 정책 검증
<a name="validate-organization-scp-eks"></a>

조직의 권한을 관리하기 위해 서비스 제어 정책(SCP)을 설정한 경우 권한 경계가 `guardduty:SendSecurityTelemetry`를 제한하지 않는지 확인합니다. GuardDuty가 다양한 리소스 유형에서 런타임 모니터링을 지원하는 데 필요합니다.

멤버 계정인 경우 연결된 위임된 관리자와 연결합니다. 조직의 SCP 관리에 대한 자세한 내용은 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.