

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS
<a name="eks-runtime-monitoring-coverage"></a>

Après avoir activé la surveillance du temps d'exécution et installé l'agent de GuardDuty sécurité (module complémentaire) pour EKS manuellement ou par le biais d'une configuration automatique de l'agent, vous pouvez commencer à évaluer la couverture de vos clusters EKS. 

**Topics**
+ [Consultation des statistiques de couverture](#reviewing-coverage-statistics-eks-runtime-monitoring)
+ [Modification de l'état de couverture avec EventBridge notifications](#eks-runtime-monitoring-coverage-status-change)
+ [Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot)

## Consultation des statistiques de couverture
<a name="reviewing-coverage-statistics-eks-runtime-monitoring"></a>

Les statistiques de couverture pour les clusters EKS associés à vos propres comptes ou à vos comptes membres sont le pourcentage de clusters EKS sains par rapport à tous les clusters EKS de la Région AWS sélectionnée. L'équation suivante représente cela comme suit :

*( clusters/All Clusters sains) \*100*

Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.

------
#### [ Console ]
+ Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
+ Dans le volet de navigation, choisissez **Runtime Monitoring**.
+ Choisissez l'onglet **Couverture d'exécution du cluster EKS**.
+ Dans l'onglet **Couverture d'exécution du cluster EKS**, vous pouvez consulter les statistiques de couverture agrégées selon l'état de couverture disponible dans le tableau **Liste des clusters**. 
  + Vous pouvez filtrer le tableau **Liste des clusters** selon les colonnes suivantes :
    + **Nom du cluster**
    + **ID de compte**
    + **Type de gestion des agents**
    + **État de couverture**
    + **Add-on Version**
+ Si l'un de vos clusters EKS a un **état de couverture** **Non sain**, la colonne **Problème** peut inclure des informations supplémentaires sur la raison de l'état **Défectueux**.

------
#### [ API/CLI ]
+ Exécutez l'[ListCoverage](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListCoverage.html)API avec votre propre identifiant de détecteur, votre région et votre point de terminaison de service valides. Vous pouvez filtrer et trier la liste des clusters à l'aide de cette API.
  + Vous pouvez modifier l'exemple de `filter-criteria` à l'aide de l'une des options suivantes pour `CriterionKey` :
    + `ACCOUNT_ID`
    + `CLUSTER_NAME`
    + `RESOURCE_TYPE`
    + `COVERAGE_STATUS`
    + `ADDON_VERSION`
    + `MANAGEMENT_TYPE`
  + Vous pouvez modifier l'exemple de `AttributeName` dans `sort-criteria` à l'aide des options suivantes :
    + `ACCOUNT_ID`
    + `CLUSTER_NAME`
    + `COVERAGE_STATUS`
    + `ISSUE`
    + `ADDON_VERSION`
    + `UPDATED_AT`
  + Vous pouvez modifier le {{max-results}} (jusqu'à 50).
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region {{us-east-1}} list-coverage --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --sort-criteria '{"AttributeName": "{{EKS_CLUSTER_NAME}}", "OrderBy": "{{DESC}}"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"111122223333"}}] }'  --max-results {{5}}
  ```
+ Exécutez l'[GetCoverageStatistics](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetCoverageStatistics.html)API pour récupérer les statistiques agrégées de couverture sur la base de`statisticsType`.
  + Vous pouvez modifier l'exemple de `statisticsType` sur l'une des options suivantes :
    + `COUNT_BY_COVERAGE_STATUS` : représente les statistiques de couverture pour les clusters EKS agrégées par état de couverture.
    + `COUNT_BY_RESOURCE_TYPE`— Statistiques de couverture agrégées en fonction du type de AWS ressource figurant dans la liste.
    + Vous pouvez modifier l'exemple de `filter-criteria` dans la commande. Vous pouvez utiliser les options suivantes pour `CriterionKey` :
      + `ACCOUNT_ID`
      + `CLUSTER_NAME`
      + `RESOURCE_TYPE`
      + `COVERAGE_STATUS`
      + `ADDON_VERSION`
      + `MANAGEMENT_TYPE`
  + `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty --region {{us-east-1}} get-coverage-statistics --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --statistics-type {{COUNT_BY_COVERAGE_STATUS}} --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{ACCOUNT_ID}}", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```

------

Si l'état de couverture de votre cluster EKS est **Défectueux**, veuillez consulter [Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS](#eks-runtime-monitoring-coverage-issues-troubleshoot).

## Modification de l'état de couverture avec EventBridge notifications
<a name="eks-runtime-monitoring-coverage-status-change"></a>

L'état de couverture d'un cluster EKS sur votre compte peut être indiqué comme étant **Défectueux**. **Pour détecter les cas où l'état de couverture devient **Défectueux**, nous vous recommandons de surveiller régulièrement l'état de couverture et de résoudre les problèmes, si l'état est Défectueux** Vous pouvez également créer une EventBridge règle Amazon pour vous avertir lorsque le statut de couverture passe de `Healthy` ou non `Unhealthy` à. Par défaut, il le GuardDuty publie dans le [EventBridge bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) pour votre compte.

### Exemple de schéma de notification
<a name="coverage-status-eventbridge-schema"></a>

Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section [Créer une règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule) dans le *guide de EventBridge l'utilisateur Amazon*. 

En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon EKS passe de `Healthy` à`Unhealthy`, le `detail-type` doit être{{GuardDuty Runtime Protection Unhealthy}}. Pour être averti lorsque le statut de couverture passe de `Unhealthy` à`Healthy`, remplacez la valeur de `detail-type` par{{GuardDuty Runtime Protection Healthy}}.

```
{
  "version": "0",
  "id": "event ID",
  "detail-type": "GuardDuty Runtime Protection {{Unhealthy}}",
  "source": "aws.guardduty",
  "account": "Compte AWS ID",
  "time": "event timestamp (string)",
  "region": "Région AWS",
  "resources": [
       ],
  "detail": {
    "schemaVersion": "1.0",
    "resourceAccountId": "string",
    "currentStatus": "string",
    "previousStatus": "string",
    "resourceDetails": {
        "resourceType": "EKS",
        "eksClusterDetails": { 
            "clusterName": "string",
            "availableNodes": "string",
             "desiredNodes": "string",
             "addonVersion": "string"
         }
    },
    "issue": "string",
    "lastUpdatedAt": "timestamp"
  }
}
```

## Résolution des problèmes de couverture du temps d'exécution d'Amazon EKS
<a name="eks-runtime-monitoring-coverage-issues-troubleshoot"></a>

Si l'état de couverture de votre cluster EKS est le suivant`Unhealthy`, vous pouvez afficher l'erreur correspondante soit dans la colonne **Problème** de la GuardDuty console, soit en utilisant le type de [CoverageResource](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CoverageResource.html)données.

Lorsque vous utilisez des balises d'inclusion ou d'exclusion pour surveiller vos clusters EKS de manière sélective, la synchronisation des balises peut prendre un certain temps. Cela peut avoir un impact sur l'état de couverture du cluster EKS associé. Vous pouvez réessayer de supprimer et d'ajouter la balise correspondante (inclusion ou exclusion). Pour plus d'informations, veuillez consulter [Étiquetage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **Guide du de l'utilisateur Amazon EKS**.

La structure d'un problème de couverture est `Issue type:Extra information`. Généralement, les problèmes comportent des *informations supplémentaires* facultatives qui peuvent inclure une exception spécifique côté client ou une description du problème. Sur la base *d'informations supplémentaires*, les tableaux suivants fournissent les étapes recommandées pour résoudre les problèmes de couverture de vos clusters EKS.


- **La création de l'addon a échoué**
  - **Informations supplémentaires:** L'addon n'`aws-guardduty-agent`est pas compatible avec la version actuelle du cluster{{ClusterName}}. Le module complémentaire spécifié n'est pas pris en charge.
  - **Étapes de dépannage recommandées:** Assurez-vous que vous utilisez l'une de ces versions de Kubernetes prenant en charge le déploiement du module complémentaire EKS `aws-guardduty-agent`. Pour de plus amples informations, veuillez consulter [Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version). Pour plus d'informations sur la mise à jour de votre version de Kubernetes, veuillez consulter la section [Mise à jour d'une version Kubernetes de cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html).

- **La création de l'addon a échoué Échec de la mise à jour de l'addon État de l'addon malsain**
  - **Informations supplémentaires:** Problème de module complémentaire EKS : `AddonIssueCode`: `AddonIssueMessage`
  - **Étapes de dépannage recommandées:** Pour plus d'informations sur les étapes recommandées pour un code de problème spécifique à un module complémentaire, consultez[Troubleshooting steps for Addon creation/updatation error with Addon issue code](#gdu-eks-runtime-coverage-addon-issues).<br />Pour obtenir la liste des codes d'erreur liés aux modules complémentaires que vous pourriez rencontrer dans le cadre de ce problème, consultez [AddonIssue](https://docs.aws.amazon.com/eks/latest/APIReference/API_AddonIssue.html#API_AddonIssue_Contents).<br />

- ** Échec de la création du point de terminaison VPC **
  - **Informations supplémentaires:** La création de points de terminaison VPC n'est pas prise en charge pour les VPC partagés {{vpcId}} / **Étapes de dépannage recommandées:** Runtime Monitoring prend désormais en charge l'utilisation d'un VPC partagé au sein d'une organisation. Assurez-vous que vos comptes répondent à toutes les conditions requises. Pour de plus amples informations, veuillez consulter [Conditions préalables à l'utilisation d'un VPC partagé](runtime-monitoring-shared-vpc.md#shared-vpc-prerequisite-runtime-monitoring).
  - **Informations supplémentaires:** **Uniquement lors de l'utilisation d'un VPC partagé avec configuration d'agent automatisée**<br />L'ID de compte propriétaire {{111122223333}} pour le VPC partagé {{vpcId}} n'est activé ni sur la surveillance du temps d'exécution, ni sur la configuration automatique des agents, ni sur les deux. / **Étapes de dépannage recommandées:** Le compte propriétaire du VPC partagé doit activer la surveillance du temps d'exécution et la configuration automatique des agents pour au moins un type de ressource (Amazon EKS ou Amazon ECS (AWS Fargate)). Pour de plus amples informations, veuillez consulter [Prérequis spécifiques à la surveillance du temps d' GuardDuty exécution](runtime-monitoring-shared-vpc.md#shared-vpc-runtime-monitoring-prereq-gd-setup).
  - **Informations supplémentaires:** L'activation du DNS privé nécessite à la fois que `enableDnsSupport` les attributs `enableDnsHostnames` VPC soient définis sur `true` for {{vpcId}} (Service : Ec2, Status Code:400, Request ID :). {{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}} / **Étapes de dépannage recommandées:** Assurez-vous que les attributs de VPC suivants sont définis sur `true` : `enableDnsSupport` et `enableDnsHostnames`. Pour plus d'informations, veuillez consulter la rubrique [Attributs DNS dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support).<br />**Si vous utilisez la console Amazon VPC [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)pour créer l'Amazon VPC, assurez-vous de sélectionner à la fois **Activer les noms d'hôte DNS et Activer la résolution DNS**.** Pour plus d'informations, veuillez consulter [Options de configuration de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-options).

- **La suppression du point de terminaison VPC partagé a échoué**
  - **Informations supplémentaires:** La suppression du point de terminaison VPC partagé n'est pas autorisée pour l'ID de compte{{111122223333}}, le VPC {{vpcId}} partagé et l'ID de compte propriétaire. {{555555555555}}
  - **Étapes de dépannage recommandées:** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)

- **Clusters EKS locaux**
  - **Informations supplémentaires:** Les modules complémentaires EKS ne sont pas prises en charge sur les clusters Outpost locaux.
  - **Étapes de dépannage recommandées:** Non exploitable.<br />Pour plus d'informations, consultez [Amazon EKS sur les AWS avant-postes](https://docs.aws.amazon.com/eks/latest/userguide/eks-outposts.html).

- **Autorisation d'activation de la surveillance d'exécution EKS non accordée**
  - **Informations supplémentaires:** (peut afficher ou non des informations supplémentaires)
  - **Étapes de dépannage recommandées:** [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)

- **la surveillance d'exécution EKS permet l'allocation de ressources en cours**
  - **Informations supplémentaires:** (peut afficher ou non des informations supplémentaires)
  - **Étapes de dépannage recommandées:** Non exploitable. <br />Une fois que vous avez activé la surveillance d'exécution EKS, l'état de couverture peut rester `Unhealthy` jusqu'à la fin de l'étape d'allocation des ressources. L'état de couverture est surveillé et mis à jour périodiquement.

- **Autres (tout autre problème)**
  - **Informations supplémentaires:** Erreur due à un échec d'autorisation
  - **Étapes de dépannage recommandées:** Activez la surveillance d'exécution EKS pour la désactiver, puis la réactiver. Assurez-vous que l' GuardDuty agent est également déployé, automatiquement GuardDuty ou manuellement.


**Étapes de résolution d'une creation/updation erreur d'addon avec le code de problème de l'addon**  

<table>
<thead>
  <tr><th>Erreur de création ou de mise à jour de l'addon</th><th>Étapes de résolution des problèmes</th></tr>
</thead>
<tbody>
  <tr><td>Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire est défectueux car il ne contient pas le nombre de répliques souhaité.</td><td> [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html) </td></tr>
  <tr><td>Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never`.</td><td rowspan="3">Pour résoudre ce problème, vous pouvez procéder de l'une des manières suivantes :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html) Le message s'affiche `o/x` car seule la première erreur détectée est GuardDuty signalée. Le nombre réel de pods actifs dans le GuardDuty daemonset peut être supérieur à 0. </td></tr>
  <tr><td>Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`x Too many pods. preemption: not eligible due to preemptionPolicy=Never`.</td></tr>
  <tr><td>Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never`.</td></tr>
  <tr><td>Problème lié à l'extension EKS - `InsufficientNumberOfReplicas` : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente `CrashLoopBackOff: Completed`</td><td>Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section [Debug Running Pods](https://kubernetes.io/docs/tasks/debug/debug-application/debug-running-pod/) dans la documentation de *Kubernetes*.<br />Utilisez la liste de contrôle suivante pour résoudre ce problème lié au module complémentaire :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)</td></tr>
  <tr><td>Problème lié à l'extension EKS - `InsufficientNumberOfReplicas` : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente `CrashLoopBackOff: Error`</td><td>Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section [Debug Running Pods](https://kubernetes.io/docs/tasks/debug/debug-application/debug-running-pod/) dans la documentation de *Kubernetes*.<br />Après avoir identifié le problème, utilisez la liste de contrôle suivante pour le résoudre :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)</td></tr>
  <tr><td>Problème lié à l'addon EKS - `AdmissionRequestDenied` : le webhook d'admission `"validate.kyverno.svc-fail"` a refusé la demande : politique de violation `DaemonSet/amazon-guardduty/aws-guardduty-agent` des ressources : restrict-image-registries : :... `autogen-validate-registries`</td><td>[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html) </td></tr>
  <tr><td>Problème lié à l'extension EKS - `ConfigurationConflict` : Conflits détectés lors de la tentative de candidature. Ne continuera pas en raison du mode résolution des conflits. `Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image`</td><td>Lors de la création ou de la mise à jour de l'addon, fournissez l'indicateur de `OVERWRITE` résolution des conflits. Cela remplacera potentiellement toutes les modifications apportées directement aux ressources associées dans Kubernetes à l'aide de l'API Kubernetes.<br />Vous pouvez d'abord [supprimer un module complémentaire Amazon EKS d'un cluster](https://docs.aws.amazon.com/eks/latest/userguide/removing-an-add-on.html), puis le réinstaller.</td></tr>
  <tr><td>Problème lié à l'extension EKS - `AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope`</td><td rowspan="2">Vous devez ajouter `eks:addon-cluster-admin ClusterRoleBinding` manuellement l'autorisation manquante. Ajoutez ce qui suit `yaml` à `eks:addon-cluster-admin` :<pre>---<br />kind: ClusterRoleBinding<br />apiVersion: rbac.authorization.k8s.io/v1<br />metadata:<br />  name: eks:addon-cluster-admin<br />subjects:<br />- kind: User<br />  name: eks:addon-manager<br />  apiGroup: rbac.authorization.k8s.io<br />roleRef:<br />  kind: ClusterRole<br />  name: cluster-admin<br />  apiGroup: rbac.authorization.k8s.io<br />---</pre><br />Vous pouvez désormais l'appliquer `yaml` à votre cluster Amazon EKS à l'aide de la commande suivante :<pre>kubectl apply -f eks-addon-cluster-admin.yaml</pre></td></tr>
  <tr><td>AddonUpdationFailed: EKSAddonIssue - `AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"`</td></tr>
  <tr><td>Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label`</td><td>Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS.<br />Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme `owner` suit.</td></tr>
  <tr><td>Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label`</td><td>Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS.<br />Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme `owner` suit.</td></tr>
  <tr><td>Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [allowed-container-registries] container <aws-guardduty-agent> has an invalid image registry`</td><td>Ajoutez le registre d'images GuardDuty pour `allowed-container-registries` dans votre contrôleur d'admission. Pour plus d'informations, consultez le *référentiel ECR pour EKS v1.8.1-eks-build.2* dans. [Agent d'hébergement GuardDuty de référentiels Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md)</td></tr>
</tbody>
</table>
Erreur de création ou de mise à jour de l'addon	Étapes de résolution des problèmes
Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire est défectueux car il ne contient pas le nombre de répliques souhaité.	[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`x Insufficient cpu. preemption: not eligible due to preemptionPolicy=Never`.	Pour résoudre ce problème, vous pouvez procéder de l'une des manières suivantes :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html) Le message s'affiche `o/x` car seule la première erreur détectée est GuardDuty signalée. Le nombre réel de pods actifs dans le GuardDuty daemonset peut être supérieur à 0.
Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`x Too many pods. preemption: not eligible due to preemptionPolicy=Never`.
Problème lié à l'addon EKS - `InsufficientNumberOfReplicas` : Le module complémentaire n'est pas sain car un ou plusieurs pods ne sont pas planifiés. Des `0/x` nœuds sont disponibles :`1 Insufficient memory. preemption: not eligible due to preemptionPolicy=Never`.
Problème lié à l'extension EKS - `InsufficientNumberOfReplicas` : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente `CrashLoopBackOff: Completed`	Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section [Debug Running Pods](https://kubernetes.io/docs/tasks/debug/debug-application/debug-running-pod/) dans la documentation de Kubernetes. Utilisez la liste de contrôle suivante pour résoudre ce problème lié au module complémentaire :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
Problème lié à l'extension EKS - `InsufficientNumberOfReplicas` : L'extension n'est pas saine car un ou plusieurs pods contiennent des conteneurs en attente `CrashLoopBackOff: Error`	Vous pouvez consulter les journaux associés au module et identifier le problème. Pour plus d'informations sur la procédure à suivre, consultez la section [Debug Running Pods](https://kubernetes.io/docs/tasks/debug/debug-application/debug-running-pod/) dans la documentation de Kubernetes. Après avoir identifié le problème, utilisez la liste de contrôle suivante pour le résoudre :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
Problème lié à l'addon EKS - `AdmissionRequestDenied` : le webhook d'admission `"validate.kyverno.svc-fail"` a refusé la demande : politique de violation `DaemonSet/amazon-guardduty/aws-guardduty-agent` des ressources : restrict-image-registries : :... `autogen-validate-registries`	[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/eks-runtime-monitoring-coverage.html)
Problème lié à l'extension EKS - `ConfigurationConflict` : Conflits détectés lors de la tentative de candidature. Ne continuera pas en raison du mode résolution des conflits. `Conflicts: DaemonSet.apps aws-guardduty-agent - .spec.template.spec.containers[name="aws-guardduty-agent"].image`	Lors de la création ou de la mise à jour de l'addon, fournissez l'indicateur de `OVERWRITE` résolution des conflits. Cela remplacera potentiellement toutes les modifications apportées directement aux ressources associées dans Kubernetes à l'aide de l'API Kubernetes. Vous pouvez d'abord [supprimer un module complémentaire Amazon EKS d'un cluster](https://docs.aws.amazon.com/eks/latest/userguide/removing-an-add-on.html), puis le réinstaller.
Problème lié à l'extension EKS - `AccessDenied: priorityclasses.scheduling.k8s.io "aws-guardduty-agent.priorityclass" is forbidden: User "eks:addon-manager" cannot patch resource "priorityclasses" in API group "scheduling.k8s.io" at the cluster scope`	Vous devez ajouter `eks:addon-cluster-admin ClusterRoleBinding` manuellement l'autorisation manquante. Ajoutez ce qui suit `yaml` à `eks:addon-cluster-admin` : --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: eks:addon-cluster-admin subjects: - kind: User name: eks:addon-manager apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io --- Vous pouvez désormais l'appliquer `yaml` à votre cluster Amazon EKS à l'aide de la commande suivante : kubectl apply -f eks-addon-cluster-admin.yaml
AddonUpdationFailed: EKSAddonIssue - `AccessDenied: namespaces\"amazon-guardduty\"isforbidden:User\"eks:addon-manager\"cannotpatchresource\"namespaces\"inAPIgroup\"\"inthenamespace\"amazon-guardduty\"`
Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label`	Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS. Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme `owner` suit.
Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [all-namespace-must-have-label-owner] All namespaces must have an `owner` label`	Vous devez soit désactiver le contrôleur, soit lui demander d'accepter les demandes du cluster Amazon EKS. Avant de créer ou de mettre à jour le module complémentaire, vous pouvez également créer un espace de GuardDuty noms et l'étiqueter comme `owner` suit.
Problème lié à l'extension EKS - `AccessDenied: admission webhook "validation.gatekeeper.sh" denied the request: [allowed-container-registries] container has an invalid image registry`	Ajoutez le registre d'images GuardDuty pour `allowed-container-registries` dans votre contrôleur d'admission. Pour plus d'informations, consultez le référentiel ECR pour EKS v1.8.1-eks-build.2 dans. [Agent d'hébergement GuardDuty de référentiels Amazon ECR](runtime-monitoring-ecr-repository-gdu-agent.md)