Afficher les exigences relatives aux groupes EKS de sécurité Amazon pour les clusters - Amazon EKS
Groupe de sécurité du cluster par défautRestriction du trafic de cluster

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher les exigences relatives aux groupes EKS de sécurité Amazon pour les clusters

Cette rubrique décrit les exigences relatives aux groupes de sécurité d'un EKS cluster Amazon.

Groupe de sécurité du cluster par défaut

Lorsque vous créez un cluster, Amazon EKS crée un groupe de sécurité nomméeks-cluster-sg-my-cluster-uniqueID. Ce groupe de sécurité dispose des règles par défaut suivantes :

Type de règle Protocole Ports Source Destination

Entrant

Tous

Tous

 Auto-utilisateur

Sortant

Tous

Tous

0.0.0.0/0(IPv4) ou ::/0 (IPv6)
Important

Si votre cluster n'a pas besoin de la règle sortante, vous pouvez la supprimer. Si vous la supprimez, vous devez toujours avoir les règles minimales énumérées dans la section Restriction du trafic du cluster. Si vous supprimez la règle d'entrée, Amazon la EKS recrée chaque fois que le cluster est mis à jour.

Amazon EKS ajoute les balises suivantes au groupe de sécurité. Si vous supprimez les balises, Amazon les EKS réajoute au groupe de sécurité chaque fois que votre cluster est mis à jour.

Clé Valeur
kubernetes.io/cluster/my-cluster owned
aws:eks:cluster-name my-cluster
Name eks-cluster-sg-my-cluster-uniqueid

Amazon associe EKS automatiquement ce groupe de sécurité aux ressources suivantes qu'il crée également :

  • 2 à 4 interfaces réseau élastiques (désignées pour le reste de ce document sous le nom d'interface réseau) créés lors de la création de votre cluster.

  • Interfaces réseau des nœuds dans n'importe quel groupe de nœuds géré que vous créez.

Les règles par défaut permettent à tout le trafic de circuler librement entre votre cluster et vos nœuds, et autorise tout le trafic sortant vers n'importe quelle destination. Lorsque vous créez un cluster, spécifiez (éventuellement) vos propres groupes de sécurité. Si c'est le cas, Amazon associe EKS également les groupes de sécurité que vous spécifiez aux interfaces réseau qu'il crée pour votre cluster. Toutefois, il ne les associe à aucun groupe de nœuds que vous créez.

Vous pouvez déterminer l'ID du groupe de sécurité de votre cluster dans la AWS Management Console section Mise en réseau du cluster. Vous pouvez également le faire en exécutant la AWS CLI commande suivante.

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Restriction du trafic de cluster

Si vous devez limiter les ports ouverts entre le cluster et les nœuds, vous pouvez supprimer la règle sortante par défaut et ajouter les règles minimales suivantes qui sont requises pour le cluster. Si vous supprimez la règle d'entrée par défaut, Amazon la EKS recrée chaque fois que le cluster est mis à jour.

Type de règle Protocole Port Destination
Sortant TCP

443

Groupe de sécurité du cluster
Sortant TCP

10250

Groupe de sécurité du cluster
Sortant () DNS TCPet UDP 53 Groupe de sécurité du cluster

Vous devez également ajouter des règles pour le trafic suivant :

  • Tout protocole et port que vos nœuds peuvent utiliser pour la communication entre les nœuds.

  • Accès Internet sortant afin que les nœuds puissent accéder à Amazon EKS APIs pour l'introspection du cluster et l'enregistrement des nœuds au moment du lancement. Si vos nœuds n'ont pas accès à Internet, consultez Déployez des clusters privés avec un accès Internet limité pour des considérations supplémentaires.

  • Accès aux nœuds pour extraire des images de conteneurs depuis Amazon ECR ou d'autres registres APIs de conteneurs dont ils ont besoin, tels queDockerHub. Pour plus d'informations, consultez AWS IP Address Ranges dans le manuel Références générales AWS.

  • Accès au nœud Amazon S3.

  • Des règles distinctes sont requises pour les adresses IPv4 et IPv6.

Si vous envisagez de limiter les règles, nous vous recommandons de tester minutieusement tous vos Pods avant d'appliquer les règles modifiées à un cluster de production.

Si vous avez initialement déployé un cluster avec Kubernetes version 1.14 et une version plateforme eks.3 ou antérieure, prenez en considération les éléments suivants :

  • Vous pouvez également disposer de groupes de sécurité de nœud et de plan de contrôle. Lorsque ces groupes ont été créés, ils incluaient les règles restreintes répertoriées dans le tableau précédent. Ces groupes de sécurité ne sont plus nécessaires et peuvent être supprimés. Toutefois, vous devez vous assurer que le groupe de sécurité de votre cluster contient les règles que ces groupes contiennent.

  • Si vous avez déployé le cluster API directement ou si vous avez utilisé un outil tel que le AWS CLI ou AWS CloudFormation pour créer le cluster et que vous n'avez pas spécifié de groupe de sécurité lors de la création du cluster, le groupe de sécurité par défaut pour le VPC a été appliqué aux interfaces réseau du cluster EKS créées par Amazon.