Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Infrastruktursicherheit in Amazon EKS
Als verwalteter Service ist Amazon Elastic Kubernetes Service durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon EKS zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Oder Sie können den AWS Security Token Service (AWS STS) verwenden, um temporäre Sicherheitsanmeldeinformationen zum Signieren von Anfragen zu generieren.
Wenn Sie einen Amazon-EKS-Cluster erstellen, geben Sie die VPC-Subnetze an, die Ihr Cluster verwenden soll. Amazon EKS erfordert Subnetze in mindestens zwei Availability Zones. Wir empfehlen eine VPC mit öffentlichen und privaten Subnetzen, damit Kubernetes öffentliche Load Balancer in den öffentlichen Subnetzen einrichten kann, die den Traffic auf Pods ausgleichen, die auf Knoten laufen, die sich in privaten Subnetzen befinden.
Weitere Informationen zu Überlegungen bezüglich der VPC finden Sie unter Die Amazon EKS-Netzwerkanforderungen für VPC und Subnetze anzeigen.
Wenn Sie Ihre VPC- und Knotengruppen mit den AWS CloudFormation Vorlagen erstellen, die in der Anleitung Erste Schritte mit Amazon EKS bereitgestellt werden, werden Ihre Kontrollebene und Ihre Knotensicherheitsgruppen mit unseren empfohlenen Einstellungen konfiguriert.
Weitere Informationen zu Überlegungen bezüglich Sicherheitsgruppen finden Sie unter Amazon EKS-Sicherheitsgruppenanforderungen für Cluster anzeigen.
Wenn Sie einen neuen Cluster erstellen, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server, über den Sie mit Ihrem Cluster kommunizieren (mit Kubernetes-Verwaltungswerkzeugen wie kubectl). Standardmäßig ist dieser API-Serverendpunkt im Internet öffentlich, und der Zugriff auf den API-Server wird mithilfe einer Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetes Role Based Access Control
Sie können den privaten Zugriff auf den Kubernetes-API-Server aktivieren, sodass die gesamte Kommunikation zwischen Ihren Knoten und dem API-Server innerhalb Ihrer VPC bleibt. Sie können die IP-Adressen einschränken, die über das Internet auf Ihren API-Server zugreifen können, oder den Internetzugriff auf den API-Server vollständig deaktivieren.
Weitere Informationen zum Ändern des Zugriffs auf Cluster-Endpunke finden Sie unter Ändern des Cluster-Endpunktzugriffs.
Sie können Kubernetes-Netzwerkrichtlinien mit dem Amazon VPC CNI oder Tools von Drittanbietern wie Project Calico implementieren.
