本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 Amazon EKS 资源上手动安装 GuardDuty 安全代理 本节介绍如何首次为特定 EKS 集群部署 GuardDuty 安全代理。在继续本节内容之前,确保您已满足了先决条件并为账户启用了运行时监控。如果您不启用运行时监控,则 GuardDuty安全代理(EKS 附加组件)将无法运行。 选择您的首选访问方法以首次部署 GuardDuty 安全代理。 ------ #### [ Console ] 1. 在 [https://console.aws.amazon.com/eks/home\$1/](https://console.aws.amazon.com/eks/home#/clusters) clusters 中打开 Amazon EKS 控制台。 1. 选择**集群名称**。 1. 选择**附加组件**选项卡。 1. 选择**获取更多附加组件**。 1. 在**选择插件**页面上,选择 **Amazon GuardDuty EKS 运行时监控**。 1. GuardDuty 建议选择最新的和默认的代理**版本**。 1. 在**配置选定插件设置**页面上,使用默认设置。如果您的 EKS 附加组件的**状态**为 “**需要激活**”,请选择 “**激活**” GuardDuty。此操作将打开 GuardDuty 控制台,为您的账户配置运行时监控。 1. 为账户配置运行时监控后,切换回 Amazon EKS 控制台。您的 EKS 插件的**状态**应变为**准备安装**。 1. **(可选)提供 EKS 附加组件配置架构** 对于附加**版本**,如果您选择 **v1.5.0 或更**高版本,则运行时监控支持配置代理的 GuardDuty 特定参数。有关参数范围的信息,请参阅[配置 EKS 附加组件参数](guardduty-configure-security-agent-eks-addon.md)。 1. 展开**可选配置设置**,以查看可配置参数及其预期值和格式。 1. 设置参数。值必须在 [配置 EKS 附加组件参数](guardduty-configure-security-agent-eks-addon.md) 中提供的范围内。 1. 选择**保存更改**,以根据高级配置创建附加组件。 1. 对于**冲突解决方法**,如果将参数的值更新为非默认值,则将使用您选择的选项来解决冲突。有关所列选项的更多信息,请参阅《Amazon EKS API 参考》中的 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)**。 1. 选择**下一步**。 1. 在**查看和创建**页面上,验证所有详细信息,然后选择**创建**。 1. 导航回集群详细信息,然后选择**资源**选项卡。 1. 您可以查看带有前缀的新窗格**aws-guardduty-agent**。 ------ #### [ API/CLI ] 您可以使用以下任一选项来配置 Amazon EKS 插件代理(`aws-guardduty-agent`): + [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)为你的账户跑步。 + **注意** 对于插件`version`,如果您选择 **v1.5.0 或更高**版本,则运行时监控支持配置代理的 GuardDuty 特定参数。有关更多信息,请参阅 [配置 EKS 附加组件参数](guardduty-configure-security-agent-eks-addon.md)。 对请求参数使用以下值: + 对于 `addonName`,输入 `aws-guardduty-agent`。 在使用附加版本`v1.5.0`或更高版本支持的可配置值时,可以使用以下 AWS CLI 示例。务必要将以红色突出显示的占位符值以及相关的 `Example.json` 替换为配置的值。 ``` aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json' ``` **Example.json** ``` { "priorityClassName": "aws-guardduty-agent.priorityclass-high", "dnsPolicy": "Default", "resources": { "requests": { "cpu": "237m", "memory": "512Mi" }, "limits": { "cpu": "2000m", "memory": "2048Mi" } } } ``` + 有关支持的 `addonVersion` 的信息,请参阅 [安全代理支持的 Kubernetes 版本 GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)。 + 或者,你可以使用 AWS CLI。有关更多信息,请参阅 [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html)。 ------ **VPC 端点的私有 DNS 名称** 默认情况下,安全代理会解析并连接到 VPC 端点的私有 DNS 名称。对于非 FIPS 端点,您的私有 DNS 将按以下格式显示: 非 FIPS 端点 – `guardduty-data.us-east-1.amazonaws.com` AWS 区域、*us-east-1*、将根据您所在的地区而变化。