本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon EKS 的 GuardDuty 安全代理程式 （附加元件） 參數
<a name="guardduty-configure-security-agent-eks-addon"></a>

您可以為 Amazon EKS 設定 GuardDuty 安全代理程式的特定參數。此支援適用於 GuardDuty 安全代理程式 1.5.0 版及更新版本。如需最新附加元件版本的資訊，請參閱 [Amazon EKS 資源的 GuardDuty 安全代理程式版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。

**為什麼我應該更新安全代理程式組態結構描述**  
GuardDuty 安全代理程式的組態結構描述在 Amazon EKS 叢集中的所有容器之間都相同。當預設值不符合相關聯的工作負載和執行個體大小時，請考慮設定 CPU 設定、記憶體設定`PriorityClass`、 和 `dnsPolicy`設定。無論您如何管理 Amazon EKS 叢集的 GuardDuty 代理程式，都可以設定或更新這些參數的現有組態。

## 具有已設定參數的自動化代理程式組態行為
<a name="preserve-config-param-eks-addon-auto-managed"></a>

當 GuardDuty 代表您管理安全代理程式 (EKS 附加元件） 時，它會視需要更新附加元件。GuardDuty 會將可設定參數的值設定為預設值。不過，您仍然可以將參數更新為所需的值。如果這會導致衝突，則 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) 的預設選項為 `None`。

## 可設定的參數和值
<a name="gdu-eks-addon-configure-parameters-values"></a>

如需設定附加元件參數之步驟的相關資訊，請參閱：
+ [在 Amazon EKS 資源上手動安裝 GuardDuty 安全代理程式](eksrunmon-deploy-security-agent.md) 或
+ [手動更新 Amazon EKS 資源的安全代理程式](eksrunmon-update-security-agent.md)

下表提供可用於手動部署 Amazon EKS 附加元件或更新現有附加元件設定的範圍和值。

**CPU 設定**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**記憶體設定**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**`PriorityClass` 設定**  
當 GuardDuty 為您建立 Amazon EKS 附加元件時，指派的 `PriorityClass`為 `aws-guardduty-agent.priorityclass`。這表示不會根據代理程式 Pod 的優先順序採取任何動作。您可以選擇下列其中一個`PriorityClass`選項來設定此附加元件參數：      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes 提供這兩個`PriorityClass`選項： `system-cluster-critical`和 `system-node-critical`。如需詳細資訊，請參閱 *Kubernetes 文件*中的 [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)。

**`dnsPolicy` 設定**  
選擇下列其中一個 Kubernetes 支援的 DNS 政策選項。未指定組態時， `ClusterFirst` 會用作預設值。  
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
如需有關這些政策的資訊，請參閱 *Kubernetes 文件*中的 [Pod 的 DNS 政策](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy)。

## 驗證組態結構描述更新
<a name="gdu-verify-eks-add-on-configuration-param"></a>

設定參數之後，請執行下列步驟以確認組態結構描述已更新：

1. 在以下網址開啟 Amazon EKS 主控台：[https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters)。

1. 在導覽窗格中，選擇**叢集**。

1. 在**叢集**頁面上，選取您要驗證更新的**叢集名稱**。

1. 選擇 **Resources** (資源) 標籤。

1. 在**資源類型**窗格的**工作負載**下，選擇 **DaemonSets**。

1. 選取 **aws-guardduty-agent**。

1. 在 **aws-guardduty-agent** 頁面上，選擇**原始檢視**以檢視未格式化的 JSON 回應。確認可設定的參數顯示您提供的值。

驗證之後，請切換到 GuardDuty 主控台。選取對應的 ， AWS 區域 並檢視 Amazon EKS 叢集的涵蓋範圍狀態。如需詳細資訊，請參閱[Amazon EKS 叢集的執行期涵蓋範圍和疑難排解](eks-runtime-monitoring-coverage.md)。