Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters
Cette rubrique décrit les exigences de groupe de sécurité d'un cluster Amazon EKS.
Groupe de sécurité du cluster par défaut
Lorsque vous créez un cluster, Amazon EKS crée un groupe de sécurité nomméeks-cluster-sg-. Ce groupe de sécurité dispose des règles par défaut suivantes :my-cluster-uniqueID
| Type de règle | Protocole | Ports | Source | Destination |
|---|---|---|---|---|
|
Entrant |
Tous |
Tous |
Auto-utilisateur |
|
|
Sortant |
Tous |
Tous |
0.0.0.0/0 ( |
Important
Si votre cluster n'a pas besoin de la règle sortante, vous pouvez la supprimer. Si vous la supprimez, vous devez toujours avoir les règles minimales énumérées dans la section Restriction du trafic du cluster. Si vous supprimez la règle entrante, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
Amazon EKS ajoute les balises suivantes au groupe de sécurité. Si vous supprimez les balises, Amazon EKS les ajoute à nouveau au groupe de sécurité à chaque fois que le cluster est mis à jour.
| Clé | Valeur |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS associe automatiquement ce groupe de sécurité aux ressources suivantes qu'il crée également :
-
2 à 4 interfaces réseau élastiques (désignées pour le reste de ce document sous le nom d'interface réseau) créés lors de la création de votre cluster.
-
Interfaces réseau des nœuds dans n'importe quel groupe de nœuds géré que vous créez.
Les règles par défaut permettent à tout le trafic de circuler librement entre votre cluster et vos nœuds, et autorise tout le trafic sortant vers n'importe quelle destination. Lorsque vous créez un cluster, spécifiez (éventuellement) vos propres groupes de sécurité. Si c'est le cas, Amazon EKS associe également les groupes de sécurité que vous spécifiez aux interfaces réseau qu'il crée pour votre cluster. Toutefois, il ne les associe à aucun groupe de nœuds que vous créez.
Vous pouvez déterminer l'ID du groupe de sécurité de votre cluster dans la AWS Management Console section Mise en réseau du cluster. Vous pouvez également le faire en exécutant la commande AWS CLI suivante.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Restriction du trafic de cluster
Si vous devez limiter les ports ouverts entre le cluster et les nœuds, vous pouvez supprimer la règle sortante par défaut et ajouter les règles minimales suivantes qui sont requises pour le cluster. Si vous supprimez la règle entrante par défaut, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
| Type de règle | Protocole | Port | Destination |
|---|---|---|---|
|
Sortant |
TCP |
443 |
Groupe de sécurité du cluster |
|
Sortant |
TCP |
10250 |
Groupe de sécurité du cluster |
|
Sortant (DNS) |
TCP et UDP |
53 |
Groupe de sécurité du cluster |
Vous devez également ajouter des règles pour le trafic suivant :
-
Tout protocole et port que vos nœuds peuvent utiliser pour la communication entre les nœuds.
-
Accès Internet sortant permettant aux nœuds d'accéder à Amazon EKS APIs pour l'introspection du cluster et l'enregistrement des nœuds au moment du lancement. Si vos nœuds n'ont pas accès à Internet, consultez Déployer des clusters privés avec un accès Internet limité pour des considérations supplémentaires.
-
Accès aux nœuds pour extraire des images de conteneurs depuis Amazon ECR ou d'autres registres de conteneurs APIs dont ils ont besoin pour extraire des images, tels que. DockerHub Pour plus d'informations, consultez la section Plages d'adresses AWS IP dans le manuel de référence AWS général.
-
Accès au nœud Amazon S3.
-
Des règles distinctes sont requises pour les adresses
IPv4etIPv6. -
Si vous utilisez des nœuds hybrides, vous devez ajouter un groupe de sécurité supplémentaire à votre cluster pour permettre la communication avec vos nœuds et pods locaux. Pour de plus amples informations, veuillez consulter Préparer le réseau pour les nœuds hybrides.
Si vous envisagez de limiter les règles, nous vous recommandons de tester minutieusement tous vos pods avant d'appliquer les règles modifiées à un cluster de production.
Si vous avez initialement déployé un cluster avec Kubernetes 1.14 et une version plateforme eks.3 ou antérieure, prenez en considération les éléments suivants :
-
Vous pouvez également disposer de groupes de sécurité de nœud et de plan de contrôle. Lorsque ces groupes ont été créés, ils incluaient les règles restreintes répertoriées dans le tableau précédent. Ces groupes de sécurité ne sont plus nécessaires et peuvent être supprimés. Toutefois, vous devez vous assurer que le groupe de sécurité de votre cluster contient les règles que ces groupes contiennent.
-
Si vous avez déployé le cluster directement à l'aide de l'API ou si vous avez utilisé un outil tel que la AWS CLI ou AWS CloudFormation pour créer le cluster et que vous n'avez pas spécifié de groupe de sécurité lors de la création du cluster, le groupe de sécurité par défaut pour le VPC a été appliqué aux interfaces réseau du cluster créées par Amazon EKS.
Groupes de sécurité partagés
Amazon EKS prend en charge les groupes de sécurité partagés.
-
Les associations VPC de groupe de sécurité associent des groupes de sécurité à plusieurs VPCs groupes d'un même compte et d'une même région.
-
Découvrez comment associer des groupes de sécurité à plusieurs VPCs dans le guide de l'utilisateur Amazon VPC.
-
-
Les groupes de sécurité partagés vous permettent de partager des groupes de sécurité avec d'autres AWS comptes. Les comptes doivent appartenir à la même AWS organisation.
-
Découvrez comment partager des groupes de sécurité avec des organisations dans le guide de l'utilisateur Amazon VPC.
-
-
Les groupes de sécurité sont toujours limités à une seule AWS région.
Considérations relatives à Amazon EKS
-
EKS a les mêmes exigences pour les groupes de sécurité partagés ou multi-VPC que pour les groupes de sécurité standard.
