Comportamiento de configuración automatizada del agente con parámetros configurados Parámetros y valores que se pueden configurar Verificar las actualizaciones del esquema de configuración

Configurar los parámetros del agente de seguridad de GuardDuty (complemento) para Amazon EKS

Puede configurar parámetros específicos del agente de seguridad de GuardDuty para Amazon EKS. Esta compatibilidad se encuentra disponible para la versión 1.5.0 y posteriores del agente de seguridad de GuardDuty. Para obtener información sobre las versiones más recientes del complemento, consulte Versiones del agente de seguridad GuardDuty para los recursos de Amazon EKS.

Por qué debo actualizar el esquema de configuración del agente de seguridad: El esquema de configuración para el agente de seguridad de GuardDuty es el mismo en todos los contenedores dentro de los clústeres de Amazon EKS. Cuando los valores predeterminados no se ajusten a las cargas de trabajo asociadas ni al tamaño de la instancia, considere la posibilidad de configurar los ajustes de la CPU, memoria, PriorityClass y dnsPolicy. Independientemente de cómo administre el agente de GuardDuty para los clústeres de Amazon EKS, puede ajustar o actualizar la configuración existente de estos parámetros.

Comportamiento de configuración automatizada del agente con parámetros configurados

Cuando GuardDuty administra el agente de seguridad (complemento de EKS) en su nombre, actualiza el complemento, según sea necesario. GuardDuty establecerá el valor de los parámetros que se pueden configurar en un valor predeterminado. Sin embargo, es posible actualizar los parámetros al valor deseado. Si esto provoca un conflicto, la opción predeterminada para resolveConflicts es None.

Parámetros y valores que se pueden configurar

Para obtener información sobre los pasos a seguir para configurar los parámetros del complemento, consulte:

En las siguientes tablas se indican los rangos y valores que puede utilizar para implementar el complemento de Amazon EKS manualmente o actualizar la configuración existente del complemento.

Configuración de la CPU

Parámetros	Valor predeterminado	Rango configurable
Solicitudes	200m	Entre 200m y 10000m, incluidos ambos
Límites	1000m	Entre 200m y 10000m, incluidos ambos

Configuración de memoria

Parámetros	Valor predeterminado	Rango configurable
Solicitudes	256Mi	Entre 256Mi y 20000Mi, ambos incluidos
Límites	1024Mi	Entre 256Mi y 20000Mi, ambos incluidos

PriorityClass Configuración de

Cuando GuardDuty crea un complemento de Amazon EKS en su nombre, el PriorityClass asignado es aws-guardduty-agent.priorityclass. Esto significa que no se tomará ninguna medida en función de la prioridad del pod del agente. Para configurar este parámetro del complemento, elija una de las siguientes opciones de PriorityClass:

`PriorityClass` configurable	`preemptionPolicy`Valor de	Descripción de `preemptionPolicy`	Valor del pod
`aws-guardduty-agent.priorityclass`	`Never`	Sin acciones	1000000
`aws-guardduty-agent.priorityclass-high`	`PreemptLowerPriority`	Asignar este valor dará prioridad a un pod en ejecución con un valor de prioridad inferior al valor del pod del agente.	100000000
`system-cluster-critical`¹	`PreemptLowerPriority`		2000000000
`system-node-critical`¹	`PreemptLowerPriority`		2000001000

¹ Kubernetes proporciona estas dos opciones de PriorityClass: system-cluster-critical y system-node-critical. Para obtener más información, consulte PriorityClass en la documentación de Kubernetes.

dnsPolicy Configuración de

Elija una de las siguientes opciones de política de DNS compatibles con Kubernetes. Cuando no se especifica ninguna configuración, ClusterFirst se utiliza como valor predeterminado.

ClusterFirst
ClusterFirstWithHostNet
Default

Para obtener información sobre estas políticas, consulte Política de DNS del pod en la documentación de Kubernetes.

Verificar las actualizaciones del esquema de configuración

Una vez configurados los parámetros, siga los siguientes pasos para comprobar que el esquema de configuración se ha actualizado:

Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.
En el panel de navegación, seleccione Clusters (Clústeres).
En la página Clústeres, seleccione el Nombre del clúster cuyas actualizaciones desea verificar.
Elija la pestaña Recursos.
En el panel Tipos de recursos, en Cargas de trabajo, elija DaemonSets.
Seleccione aws-guardduty-agent.
En la página aws-guardduty-agent, elija Vista sin procesar para ver la respuesta JSON sin formato. Compruebe que los parámetros que se pueden configurar muestran el valor proporcionado.

Después de verificar, cambie a la consola de GuardDuty. Seleccione la Región de AWS correspondiente y vea el estado de cobertura para los clústeres de Amazon EKS. Para obtener más información, consulte Cobertura en tiempo de ejecución y resolución de problemas para clústeres de Amazon EKS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualizar manualmente el agente de seguridad para los recursos de Amazon EKS

Validar la configuración del punto de conexión de VPC