本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EKS 叢集支援的先決條件
本節包含監控 Amazon EKS 資源執行時間行為的先決條件。這些先決條件對於 GuardDuty 代理程式如預期般運作至關重要。符合這些先決條件後,請參閱 [啟用 GuardDuty 執行期監控](runtime-monitoring-configuration.md)以開始監控您的 資源。
## 支援 Amazon EKS 功能
執行期監控**支援**在 Amazon EC2 執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS 叢集。
執行期監控**不支援**具有 Amazon EKS 混合節點的 Amazon EKS 叢集,以及在其上執行的叢集 AWS Fargate。
如需有關這些 Amazon EKS 功能的資訊,請參閱《[Amazon EKS 使用者指南》中的什麼是](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) **Amazon EKS**?。
## 驗證架構需求
您使用的平台可能會影響 GuardDuty 安全代理程式支援 GuardDuty 接收 EKS 叢集執行期事件的方式。您必須確認您使用的是經過驗證的平台之一。如果您在手動管理 GuardDuty 代理程式,請確保 Kubernetes 版本支援目前正在使用的 GuardDuty 代理程式版本。
### 已驗證的平台
作業系統發行版本、核心版本和 CPU 架構會影響 GuardDuty 安全代理程式提供的支援。核心支援包括 `eBPF`、 `Tracepoints`和 `Kprobe`。對於 CPU 架構,執行期監控支援 AMD64 (`x64`) 和 ARM64(Graviton2 及更高版本)[1](#runtime-monitoring-eks-graviton-2-support)。
以下表格顯示用於 GuardDuty 安全代理程式部署和 EKS 執行期監控設定的已驗證組態。
| 作業系統分佈**[2](#runtime-monitoring-eks-os-support)** | 核心版本**[3](#runtime-monitoring-eks-kernel-version-required-flag)** | 支援的 Kubernetes 版本 |
| --- | --- | --- |
| Bottlerocket | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.23 - v1.35 |
| Ubuntu | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2 | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Amazon Linux 2023*[5](#runtime-eks-al2023-support-v1.6.0)* | 5.4、5.10、5.15、6.1[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| RedHat 9.4 | 5.14[4](#v6.1-kernel-dns-findings-unsupported-eks) | v1.21 - v1.35 |
| Fedora 34 | 5.11、5、17 | v1.21 - v1.35 |
| Fedora 40 | 6.8 | v1.28 - v1.35 |
| Fedora 41 | 6.12 | v1.28 - v1.35 |
| CentOS Stream 9 | 5.14 | v1.21 - v1.35 |
1. Amazon EKS 叢集的執行期監控不支援第一代 Graviton 執行個體,例如 A1 執行個體類型。
1. 支援各種作業系統 - GuardDuty 已驗證對上表中所列作業系統分佈的執行期監控支援。雖然 GuardDuty 安全代理程式可能會在上表中未列出的作業系統上執行,但 GuardDuty 團隊無法保證預期的安全值。
1. 對於任何核心版本,您必須將 `CONFIG_DEBUG_INFO_BTF`旗標設定為 `y`(表示 *true*)。這是必要的,以便 GuardDuty 安全代理程式可以如預期般執行。
1. 目前,使用核心版本 時`6.1`,GuardDuty 無法產生與 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md) 相關的 [網域名稱系統 (DNS) 事件](runtime-monitoring-collected-events.md#eks-runtime-dns-events)。
1. 執行期監控支援 AL2023 搭配 GuardDuty 安全代理程式 v1.6.0 及更高版本。如需詳細資訊,請參閱[Amazon EKS 資源的 GuardDuty 安全代理程式版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
#### GuardDuty 安全代理程式支援的 Kubernetes 版本
以下表格顯示 GuardDuty 安全代理程式所支援 EKS 叢集的 Kubernetes 版本。
| Amazon EKS 附加元件 GuardDuty 安全代理程式版本 | Kubernetes 版本 |
| --- | --- |
| v1.12.1 (最新 - v1.12.1-eksbuild.2) | 1.28 - 1.35 |
| v1.11.0 (最新 - v1.11.0-eksbuild.4) | 1.28 - 1.34 |
| v1.10.0 (最新 - v1.10.0-eksbuild.2) | 1.21 - 1.33 |
| v1.9.0 (最新 - v1.9.0-eksbuild.2) v1.8.1 (最新 - v1.8.1-eksbuild.2) | 1.21 - 1.32 |
| v1.7.1 1.7.0 版 1.6.1 版 | 1.21 - 1.31 |
| v1.6.0 1.5.0 版 1.4.1 版 1.4.0 版 v1.3.1 | 1.21 - 1.29 |
| v1.3.0 v1.2.0 | 1.21 - 1.28 |
| v1.1.0 | 1.21 - 1.26 |
| v1.0.0 | 1.21 - 1.25 |
部分 GuardDuty 安全代理程式版本將終止標準支援。
如需代理程式發行版本的資訊,請參閱 [Amazon EKS 資源的 GuardDuty 安全代理程式版本](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)。
### CPU 和記憶體限制
以下表格顯示 GuardDuty (`aws-guardduty-agent`) 的 Amazon EKS 附加元件 CPU 和記憶體限制。
| 參數 | 下限 | 上限 |
| --- | --- | --- |
| CPU | 200 m | 1000 m |
| 記憶體 | 256 Mi | 1024 Mi |
當您使用 Amazon EKS 附加元件 1.5.0 版或更新版本時,GuardDuty 提供為您的 CPU 和記憶體值設定附加元件結構描述的功能。如需可設定範圍的資訊,請參閱 [可設定的參數和值](guardduty-configure-security-agent-eks-addon.md#gdu-eks-addon-configure-parameters-values)。
啟用 EKS 執行期監控並評估 EKS 叢集的涵蓋範圍狀態後,您可以設定和檢視 Container Insights 指標。如需詳細資訊,請參閱[設定 CPU 和記憶體監控](runtime-monitoring-setting-cpu-mem-monitoring.md)。
## 驗證您的組織服務控制政策
如果您已設定服務控制政策 (SCP) 來管理組織中的許可,請驗證許可界限並未限制 `guardduty:SendSecurityTelemetry`。GuardDuty 需要支援不同資源類型的執行期監控。
如果您是成員帳戶,請與相關聯的委派管理員連線。如需有關管理組織 SCPs 的資訊,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。