本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon EKS 配置 GuardDuty 安全代理（附加组件）参数
<a name="guardduty-configure-security-agent-eks-addon"></a>

您可以为 Amazon EKS 配置 GuardDuty 安全代理的特定参数。此支持适用于 GuardDuty 安全代理版本 1.5.0 及更高版本。有关最新附加组件版本的信息，请参阅[GuardDuty Amazon EKS 资源的安全代理版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。

**我为什么要更新安全代理配置架构**  
在 Amazon EKS 集群中的所有容器中， GuardDuty 安全代理的配置架构都是相同的。当默认值与相关工作负载和实例大小不一致时，可以考虑配置 CPU 设置、内存设置、`PriorityClass` 和 `dnsPolicy` 设置。无论您如何管理 Amazon EKS 集群的 GuardDuty 代理，都可以配置或更新这些参数的现有配置。

## 配置了参数的自动配置代理配置行为
<a name="preserve-config-param-eks-addon-auto-managed"></a>

代表您 GuardDuty 管理安全代理（EKS 附加组件）时，它会根据需要更新插件。 GuardDuty 会将可配置参数的值设置为默认值。但您仍然可以将参数更新为需要的值。如果这导致冲突，则默认的 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) 选项为 `None`。

## 可配置的参数和值
<a name="gdu-eks-addon-configure-parameters-values"></a>

有关配置附加组件参数的步骤的信息，请参阅：
+ [在 Amazon EKS 资源上手动安装 GuardDuty 安全代理](eksrunmon-deploy-security-agent.md)，或者
+ [手动更新 Amazon EKS 资源的安全代理](eksrunmon-update-security-agent.md)

以下表格列举了可用于手动部署 Amazon EKS 附加组件或更新现有附加组件设置的范围和值。

**CPU 设置**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**内存设置**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**`PriorityClass` 设置**  
在 GuardDuty 为您创建 Amazon EKS 加载项时，分配的`PriorityClass`为`aws-guardduty-agent.priorityclass`。这意味着不会根据代理容器组（pod）的优先级执行任何操作。您可以选择以下 `PriorityClass` 选项之一来配置此附加组件参数：      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes 提供了两个 `PriorityClass` 选项，分别为 `system-cluster-critical` 和 `system-node-critical`。有关更多信息，请参阅 *Kubernetes 文档[PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)*中的。

**`dnsPolicy` 设置**  
选择 Kubernetes 支持的以下 DNS 策略选项之一。如果未指定任何配置，则将使用默认值 `ClusterFirst`。  
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
有关这些策略的更多信息，请参阅《Kubernetes 文档》中的 [Pod's DNS Policy](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy)**。

## 验证配置架构更新
<a name="gdu-verify-eks-add-on-configuration-param"></a>

配置好参数后，请执行以下步骤来验证配置架构是否已更新：

1. 在 [https://console.aws.amazon.com/eks/home\$1/](https://console.aws.amazon.com/eks/home#/clusters) clusters 中打开 Amazon EKS 控制台。

1. 在导航窗格中，选择**集群**。

1. 在**集群**页面上，选择要验证更新的**集群名称**。

1. 选择**资源**选项卡。

1. 从 “**资源类型**” 窗格的 “**工作负载**” 下选择**DaemonSets**。

1. 选择 **aws-guardduty-agent**。

1. 在该**aws-guardduty-agent**页面上，选择 **Raw view 以查看**未格式化的 JSON 响应。验证可配置参数是否显示您提供的值。

验证后，切换到 GuardDuty 控制台。选择相应的， AWS 区域 然后查看您的 Amazon EKS 集群的覆盖状态。有关更多信息，请参阅 [Amazon EKS 集群的运行时覆盖率和故障排除](eks-runtime-monitoring-coverage.md)。