EKSAmazon-Sicherheitsgruppenanforderungen für Cluster anzeigen - Amazon EKS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKSAmazon-Sicherheitsgruppenanforderungen für Cluster anzeigen

In diesem Thema werden die Sicherheitsgruppenanforderungen eines EKS Amazon-Clusters beschrieben.

Standardmäßige Cluster-Sicherheitsgruppe

Wenn Sie einen Cluster erstellen, EKS erstellt Amazon eine Sicherheitsgruppe mit dem Nameneks-cluster-sg-my-cluster-uniqueID . Diese Sicherheitsgruppe hat die folgenden Standardregeln:

Regeltyp Protocol (Protokoll) Ports Quelle Ziel

Eingehend

Alle

Alle

Selbst

Ausgehend

Alle

Alle

0.0.0.0/0 (IPv4) oder: :/0 () IPv6

Wichtig

Wenn Ihr Cluster die ausgehende Regel nicht benötigt, können Sie sie entfernen. Wenn Sie es entfernen, müssen Sie immer noch über die Mindestregeln verfügen, die unter Einschränkung des Cluster-Datenverkehrs aufgeführt sind. Wenn Sie die Regel für eingehenden Datenverkehr entfernen, EKS erstellt Amazon sie bei jeder Aktualisierung des Clusters neu.

Amazon EKS fügt der Sicherheitsgruppe die folgenden Tags hinzu. Wenn Sie die Tags entfernen, EKS fügt Amazon sie bei jeder Aktualisierung Ihres Clusters wieder der Sicherheitsgruppe hinzu.

Schlüssel Wert

kubernetes.io/cluster/my-cluster

owned

aws:eks:cluster-name

my-cluster

Name

eks-cluster-sg-my-cluster-uniqueid

Amazon ordnet diese Sicherheitsgruppe EKS automatisch den folgenden Ressourcen zu, die es ebenfalls erstellt:

  • 2 bis 4 Elastic-Network-Schnittstellen (für den Rest dieses Dokuments als Netzwerkschnittstelle bezeichnet), die beim Anlegen des Clusters erstellt werden.

  • Netzwerkschnittstellen der Knoten in jeder verwalteten Knotengruppe, die Sie erstellen.

Die Standardregeln ermöglichen es, dass der gesamte Datenverkehr frei zwischen Ihrem Cluster und Ihren Knoten fließt. Außerdem lassen sie den gesamten ausgehenden Datenverkehr zu jedem Ziel zu. Beim Erstellen eines Clusters können Sie (optional) Ihre eigenen Sicherheitsgruppen angeben. Wenn Sie dies tun, ordnet Amazon die von Ihnen angegebenen Sicherheitsgruppen EKS auch den Netzwerkschnittstellen zu, die es für Ihren Cluster erstellt. Es ordnet sie jedoch keinen Knotengruppen zu, die Sie erstellen.

Sie können die ID Ihrer Cluster-Sicherheitsgruppe im AWS Management Console Abschnitt Netzwerk des Clusters ermitteln. Sie können dies auch tun, indem Sie den folgenden AWS CLI Befehl ausführen.

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Einschränken des Clusterverkehrs

Wenn Sie die offenen Ports zwischen dem Cluster und den Knoten einschränken müssen, können Sie die standardmäßige Ausgangsregel entfernen und die folgenden Mindestregeln hinzufügen, die für den Cluster erforderlich sind. Wenn Sie die Standardregel für eingehenden Datenverkehr entfernen, EKS erstellt Amazon sie bei jeder Aktualisierung des Clusters neu.

Regeltyp Protocol (Protokoll) Port Bestimmungsort

Ausgehend

TCP

443

Cluster-Sicherheitsgruppe

Ausgehend

TCP

10250

Cluster-Sicherheitsgruppe

Ausgehend () DNS

TCPund UDP

53

Cluster-Sicherheitsgruppe

Sie müssen auch Regeln für den folgenden Datenverkehr hinzufügen:

  • Jedes Protokoll und alle Ports, von dem Sie erwarten, dass Ihre Knoten für die Kommunikation zwischen Knoten verwenden

  • Ausgehender Internetzugang, sodass Knoten EKS APIs zur Cluster-Introspektion und Knotenregistrierung beim Start auf Amazon zugreifen können. Wenn Ihre Knoten keinen Internetzugang haben, finden Sie weitere Überlegungen unter Private Cluster mit eingeschränktem Internetzugang bereitstellen.

  • Knotenzugriff zum Abrufen von Container-Images von Amazon ECR oder anderen Container-RegisternAPIs, aus denen sie Bilder abrufen müssen, wie z. B. DockerHub. Weitere Informationen finden Sie in der AWS Allgemeinen Referenz unter AWS IP-Adressbereiche.

  • Knotenzugriff auf Amazon S3.

  • Für IPv4- und IPv6-Adressen sind separate Regeln erforderlich

Wenn Sie erwägen, die Regeln einzuschränken, empfehlen wir Ihnen, alle Ihre Regeln gründlich zu testen Pods bevor Sie Ihre geänderten Regeln auf einen Produktionscluster anwenden.

Wenn Sie ursprünglich einen Cluster mit bereitgestellt haben Kubernetes 1.14und eine Plattformversion von eks.3 oder einer früheren Version, sollten Sie Folgendes beachten:

  • Möglicherweise gibt es Sicherheitsgruppen für die Steuerebene und Knoten. Als diese Gruppen erstellt wurden, enthielten sie die in der vorherigen Tabelle aufgeführten eingeschränkten Regeln. Diese Sicherheitsgruppen sind nicht mehr erforderlich und können entfernt werden. Sie müssen jedoch sicherstellen, dass Ihre Cluster-Sicherheitsgruppe die Regeln enthält, die diese Gruppen enthalten.

  • Wenn Sie den Cluster API direkt bereitgestellt haben oder ein Tool wie den AWS CLI oder AWS CloudFormation zum Erstellen des Clusters verwendet haben und Sie bei der Clustererstellung keine Sicherheitsgruppe angegeben haben, VPC wurde die Standardsicherheitsgruppe für auf die Cluster-Netzwerkschnittstellen angewendet, die Amazon EKS erstellt hat.

Gemeinsam genutzte Sicherheitsgruppen

Amazon EKS unterstützt gemeinsam genutzte Sicherheitsgruppen.

  • VPCSicherheitsgruppenzuordnungen ordnen Sicherheitsgruppen mehreren Gruppen VPCs in demselben Konto und derselben Region zu.

  • Geteilte Sicherheitsgruppen ermöglichen es Ihnen, Sicherheitsgruppen mit anderen AWS Konten zu teilen. Die Konten müssen sich in derselben AWS Organisation befinden.

  • Sicherheitsgruppen sind immer auf eine einzelne AWS Region beschränkt.

Überlegungen zu Amazon EKS

  • EKShat dieselben Anforderungen für gemeinsam genutzte oder mehrere VPC Sicherheitsgruppen wie Standardsicherheitsgruppen.