本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon EKS 集群支持的先决条件
本节包含监控 Amazon EKS 资源的运行时行为的先决条件。这些先决条件对于 GuardDuty 代理按预期运行至关重要。满足这些先决条件后,请参阅[启用 GuardDuty 运行时监控](runtime-monitoring-configuration.md),开始监控您的资源。
## 对 Amazon EKS 功能的支持
运行时监控**支持**在 Amazon EC2 实例上运行的 Amazon EKS 集群和 Amazon EKS 自动模式。
运行时监控**不支持**带有 Amazon EKS 混合节点功能的 Amazon EKS 集群以及在 AWS Fargate上运行的集群。
有关这些 Amazon EKS 功能的更多信息,请参阅《Amazon EKS 用户指南》****中的[什么是 Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html)
## 验证架构要求
您使用的平台可能会影响 GuardDuty 安全代理支持 GuardDuty 从 EKS 集群接收运行时事件的方式。您必须验证自己使用的是其中一个经过验证的平台。如果您要手动管理 GuardDuty 代理,请确保 Kubernetes 版本支持当前正在使用的 GuardDuty 代理版本。
### 经过验证的平台
操作系统分布、内核版本和 CPU 架构会影响 GuardDuty 安全代理提供的支持。内核支持包括 `eBPF`、`Tracepoints` 和 `Kprobe`。对于 CPU 架构,运行时监控支持 AMD64 (`x64`) 和 ARM64(Graviton2 及更高版本)。[1](#runtime-monitoring-eks-graviton-2-support)
下表显示了用于部署 GuardDuty 安全代理和配置 EKS 运行时监控的经过验证的配置。
| 操作系统分发 **[2](#runtime-monitoring-eks-os-support)** | 内核版本 **[3](#runtime-monitoring-eks-kernel-version-required-flag)** | 支持的 Kubernetes 版本 |
| --- | --- | --- |
| Bottlerocket | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23-v1.35 |
| Ubuntu | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21-v1.35 |
| Amazon Linux 2 | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21-v1.35 |
| 亚马逊 Linux 2023 *[5](#runtime-eks-al2023-support-v1.6.0)* | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21-v1.35 |
| RedHat 9.4 | 5.14 [4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21-v1.35 |
| Fedora 34 | 5.11、5,17 | v1.21-v1.35 |
| Fedora 40 | 6.8 | v1.28-v1.35 |
| Fedora 41 | 6.12 | v1.28-v1.35 |
| CentOS Stream 9 | 5.14 | v1.21-v1.35 |
1. Amazon EKS 集群运行时监控不支持第一代 Graviton 实例,例如 A1 实例类型。
1. 对各种操作系统的支持- GuardDuty 已验证运行时监控支持上表中列出的操作发行版。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行,但该 GuardDuty 团队无法保证预期的安全值。
1. 对于任何内核版本,都必须将 `CONFIG_DEBUG_INFO_BTF` 标志设置为 `y`(含义为 *true*)。这是必需的,这样 GuardDuty 安全代理才能按预期运行。
1. 目前,在内核版本`6.1`中, GuardDuty 无法生成[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)与之相关的内容[域名系统(DNS)事件](runtime-monitoring-collected-events.md#eks-runtime-dns-events)。
1. 运行时监控支持 AL2023 GuardDuty 安全代理 v1.6.0 及更高版本。有关更多信息,请参阅 [GuardDuty Amazon EKS 资源的安全代理版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
#### 安全代理支持的 Kubernetes 版本 GuardDuty
下表显示了安全代理支持的 EKS 集群的 Kubernetes 版本。 GuardDuty
| Amazon EKS 附加 GuardDuty 安全代理版本 | Kubernetes 版本 |
| --- | --- |
| v1.12.1(最新——v1.12.1-eksbuild.2) | 1.28-1.35 |
| v1.11.0(最新版——v1.11.0-eksbuild.4) | 1.28-1.34 |
| v1.10.0(最新 – v1.10.0-eksbuild.2) | 1.21-1.33 |
| v1.9.0(最新 – v1.9.0-eksbuild.2) v1.8.1(最新 – v1.8.1-eksbuild.2) | 1.21-1.32 |
| v1.7.1 v1.7.0 v1.6.1 | 1.21-1.31 |
| v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 | 1.21-1.29 |
| v1.3.0 v1.2.0 | 1.21-1.28 |
| v1.1.0 | 1.21-1.26 |
| v1.0.0 | 1.21 – 1.25 |
某些 GuardDuty 安全代理版本将终止标准支持。
有关代理发行版本的信息,请参阅[GuardDuty Amazon EKS 资源的安全代理版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
### CPU 和内存限制
下表显示了 GuardDuty (`aws-guardduty-agent`) 的 Amazon EKS 附加组件的 CPU 和内存限制。
| 参数 | 最小限制 | 最大限制 |
| --- | --- | --- |
| CPU | 200m | 1000m |
| 内存 | 256Mi | 1024Mi |
当您使用 Amazon EKS 插件版本 1.5.0 或更高版本时, GuardDuty 可以为您的 CPU 和内存值配置插件架构。有关可配置范围的更多信息,请参阅[可配置的参数和值](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values)。
启用 EKS 运行时监控并评测 EKS 集群的覆盖状态后,您可以设置和查看容器洞察指标。有关更多信息,请参阅 [设置 CPU 和内存监控](runtime-monitoring-setting-cpu-mem-monitoring.md)。
## 验证组织服务控制策略
如果您设置了服务控制策略(SCP)来管理组织中的权限,请验证权限边界未限制 `guardduty:SendSecurityTelemetry`。它是支持跨不同资源类型的运行时监控所必需的。 GuardDuty
如果您是成员账户,则连接到关联的委派管理员。有关为您的组织 SCPs 进行管理的信息,请参阅[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。