透過啟用特權容器來配置 Bottlerocket 容器實例以支援 Container Security 部署。
開始之前
-
透過 AWS Systems Manager Session Manager 或 SSH 存取您的 Bottlerocket 容器實例。
-
管理權限以修改實例設定。
-
一個使用 Bottlerocket AMI 的活躍 Amazon ECS 叢集。
 |
重要使用 Bottlerocket AMI 的 Amazon ECS 叢集預設不支援 Container Security。Bottlerocket 預設禁用特權容器,這會阻止
Container Security Scout daemonset 部署到容器實例。
|
Scout daemonset 需要
com.amazonaws.ecs.capability.privileged-container 屬性才能運行。Bottlerocket 預設將 settings.ecs.allow-privileged-containers 設為 false,這會阻止此部署。 |
注意在 Bottlerocket 實例上啟用特權容器允許容器以提升的權限運行。在繼續之前,請確保此配置符合您組織的安全要求。
|
步驟
- 使用 AWS Systems Manager Session Manager 或 SSH 連接到您的 Bottlerocket 容器實例。
- 進入管理容器。
- 透過執行以下指令啟用特權容器:
apiclient set --json '{ "settings": { "ecs": { "allow-privileged-containers": true } } }' - 重新啟動實例以確保所有設定已套用。
- 通過在 Amazon ECS 控制台中檢查容器實例屬性來驗證屬性是否已添加。尋找
com.amazonaws.ecs.capability.privileged-container屬性。
一旦偵測到
com.amazonaws.ecs.capability.privileged-container 屬性,Container Security Scout daemonset 會自動部署到實例。 |
注意您必須在 ECS 叢集中的每個 Bottlerocket 容器實例上執行此配置。為了自動化此過程,考慮使用 EC2 使用者資料或 AWS Systems Manager
自動化文件。
|
後續步驟
如需有關 Bottlerocket ECS 設定的詳細資訊,請參閱 Bottlerocket 文件。