您可以將容器安全性與 AWS Fargate 一起部署到您的 Amazon EKS 叢集中。您需要新增一個已啟動Runtime Security的叢集,並讓 Helm 圖表將 "
fargate-injector" 部署到 Amazon EKS 叢集中。trendmicro-security 以 sidecar 形式運行,並像調試器一樣附加到應用程式以監控可疑事件。因此,當 trendmicro-security 停止時,業務應用程式可能會在 Fargate 環境中受到影響。在使用 EKS Fargate 部署容器安全時,您應注意以下事項:
-
容器必須有網路連接。
-
每個 Fargate 節點使用 8MB 共享記憶體,每個 Fargate 節點的上限為 64MB
-
Container Security 使用 ptrace 來檢查容器。如果您也在使用 ptrace,監控可能無法正常運作。
-
受監控的 SUID 和 SGID 程式無效。
-
以下操作需要額外的 CPU 資源:
-
CPU:每個容器額外增加 1
-
記憶體:每個容器增加 32MiB
-
注入的sidecar需要1個vCPU和1024MiB記憶體
-
-
運行時規則集的緩解僅支持“記錄”和“終止”。
注意
「隔離」需要安裝 Calico CNI,但 Fargate 與 EKS 目前不支援 Calico。欲了解詳細資訊,請參閱 安裝 Calico 網路政策引擎附加元件