Ansichten:
Sie können Container Security zusammen mit AWS Fargate in Ihrem Amazon EKS-Cluster bereitstellen. Sie müssen einen Cluster mit Runtime Security aktiviert hinzufügen und das Helm-Chart "fargate-injector" in den Amazon EKS-Cluster bereitstellen lassen.
trendmicro-security läuft als Sidecar und wird wie ein Debugger an die Anwendung angehängt, um verdächtige Ereignisse zu überwachen. Infolgedessen könnte die Geschäftsanwendung in der Fargate-Umgebung betroffen sein, wenn trendmicro-security stoppt.
Beim Bereitstellen von Container Security mit EKS Fargate sollten Sie Folgendes beachten:
  • Der Container muss über Internetzugang verfügen.
  • Jeder Fargate-Knoten verwendet 8 MB gemeinsamen Speicher, und jeder Fargate-Knoten hat ein Limit von 64 MB
  • Container Security verwendet ptrace, um die Container zu inspizieren. Wenn Sie ebenfalls ptrace verwenden, funktioniert die Überwachung möglicherweise nicht.
  • Überwachte Programme mit SUID und SGID haben keine Wirkung.
  • Zusätzliche CPU-Ressourcen sind erforderlich für Folgendes:
    • CPU: Ein zusätzliches 1 für jeden Container
    • Speicher: +32MiB für jeden Container
    • Der injizierte Sidecar benötigt 1 vCPU und 1024 MiB Speicher
  • Die Minderung von Laufzeit-Regelsätzen unterstützt nur "Protokollieren" und "Beenden".
    Hinweis
    Hinweis
    "Isolate" erfordert die Installation von Calico CNI, aber Fargate mit EKS unterstützt derzeit Calico nicht. Für weitere Informationen siehe Installation des Calico-Netzwerkrichtlinien-Engine-Add-ons