Compatibilité avec Amazon VPC CNI plugin for Kubernetes fonctionnalités Considérations

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions contribueront à améliorer notre guide de l'utilisateur pour tous.

Attribuer des groupes de sécurité à un individu pods

S'applique à : Linux nœuds avec EC2 instances Amazon

S'applique à : sous-réseaux privés

Groupes de sécurité pour Pods intégrer les groupes EC2 de sécurité Amazon avec Kubernetes Pods. Vous pouvez utiliser les groupes EC2 de sécurité Amazon pour définir des règles autorisant le trafic réseau entrant et sortant à destination et en provenance Pods que vous déployez sur des nœuds exécutés sur de nombreux types d'EC2instances Amazon et sur Fargate. Pour une explication détaillée de cette fonctionnalité, consultez le billet de blog Présentation des groupes de sécurité pour Pods.

Compatibilité avec Amazon VPC CNI plugin for Kubernetes fonctionnalités

Vous pouvez utiliser des groupes de sécurité pour Pods avec les fonctionnalités suivantes :

IPv4Traduction de l'adresse réseau source - Pour plus d'informations, consultezActivez l'accès Internet sortant pour pods.
IPv6adresses vers les clusters, les pods et les services - Pour plus d'informations, consultezEn savoir plus sur IPv6 les adresses des clusters, pods, et services.
Restreindre le trafic en utilisant Kubernetes politiques réseau - Pour plus d'informations, consultezLimite pod trafic avec Kubernetes politiques du réseau.

Considérations

Avant de déployer des groupes de sécurité pour Pods, tenez compte des limites et conditions suivantes :

Groupes de sécurité pour Pods ne peut pas être utilisé avec Windows nœuds.
Groupes de sécurité pour Pods peut être utilisé avec des clusters configurés pour la IPv6 famille contenant des EC2 nœuds Amazon à l'aide de la version 1.16.0 ou ultérieure du plugin Amazon VPCCNI. Vous pouvez utiliser des groupes de sécurité pour Pods avec des clusters, configurez une IPv6 famille contenant uniquement des nœuds Fargate à l'aide de la version 1.7.7 ou ultérieure du plugin Amazon. VPC CNI Pour plus d’informations, consultez En savoir plus sur IPv6 les adresses des clusters, pods, et services.
Groupes de sécurité pour Pods sont pris en charge par la plupart des familles d'EC2instances Amazon basées sur Nitro, mais pas par toutes les générations d'une famille. Par exemplem5, la famille et les générations c5 r5m6g,,c6g,, et d'r6ginstance sont prises en charge. Aucun type d'instance de la famille t n'est pris en charge. Pour obtenir la liste complète des types d'instances pris en charge, consultez le fichier limits.go sur GitHub. Vos nœuds doivent être l'un des types d'instances répertoriés figurant IsTrunkingCompatible: true dans ce fichier.
Si vous utilisez également Pod politiques de sécurité visant à restreindre l'accès à Pod mutation, puis le eks:vpc-resource-controller Kubernetes l'utilisateur doit être spécifié dans Kubernetes ClusterRoleBindingpour role celui auquel vous psp êtes assigné. Si vous utilisez Amazon par défaut EKS psp roleClusterRoleBinding, et qu'il s'agit du eks:podsecuritypolicy:authenticatedClusterRoleBinding. Par exemple, vous ajoutez l'utilisateur à la section subjects:, comme le montre l'exemple suivant :
```
[...]
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: eks:vpc-resource-controller
  - kind: ServiceAccount
    name: eks-vpc-resource-controller
```
Si vous utilisez un réseau et des groupes de sécurité personnalisés pour Pods ensemble, le groupe de sécurité spécifié par les groupes de sécurité pour Pods est utilisé à la place du groupe de sécurité spécifié dans leENIConfig.
Si vous utilisez la version 1.10.2 ou une version antérieure du VPC CNI plugin Amazon et que vous incluez le terminationGracePeriodSeconds paramètre dans votre Pod spécification, la valeur du paramètre ne peut pas être zéro.
Si vous utilisez la version 1.10 ou une version antérieure du VPC CNI plugin Amazon, ou 1.11 une version avec POD_SECURITY_GROUP_ENFORCING_MODE =strict, qui est le paramètre par défaut, alors Kubernetes les services de type NodePort et LoadBalancer utilisant des cibles d'instance dont le paramètre est externalTrafficPolicy défini sur Local ne sont pas pris en charge par Pods auxquels vous attribuez des groupes de sécurité. Pour plus d'informations sur l'utilisation d'un équilibreur de charge avec des cibles d'instance, consultez Route TCP et UDP trafic avec les équilibreurs de charge réseau.
Si vous utilisez la version 1.10 ou une version antérieure du VPC CNI plugin Amazon ou la version 1.11 avec POD_SECURITY_GROUP_ENFORCING_MODE =strict, qui est le paramètre par défaut, la source NAT est désactivée pour le trafic sortant de Pods avec des groupes de sécurité assignés afin que les règles des groupes de sécurité sortants soient appliquées. Pour accéder à Internet, Pods avec des groupes de sécurité assignés doivent être lancés sur des nœuds déployés dans un sous-réseau privé configuré avec une NAT passerelle ou une instance. Pods auxquels des groupes de sécurité ont été assignés et déployés sur des sous-réseaux publics ne sont pas en mesure d'accéder à Internet.

Si vous utilisez une version 1.11 ou une version ultérieure du plugin avec POD_SECURITY_GROUP_ENFORCING_MODE =standard, alors Pod le trafic destiné à l'extérieur de VPC est traduit vers l'adresse IP de l'interface réseau principale de l'instance. Pour ce trafic, les règles des groupes de sécurité de l'interface réseau principale sont utilisées, plutôt que celles du Pod’s groupes de sécurité.
Pour utiliser Calico politique réseau avec Pods auxquels des groupes de sécurité sont associés, vous devez utiliser la version 1.11.0 ou ultérieure du VPC CNI plugin Amazon et définir POD_SECURITY_GROUP_ENFORCING_MODE =standard. Dans le cas contraire, le trafic en provenance et à destination Pods avec les groupes de sécurité associés ne sont pas soumis à Calico l'application de la politique réseau et se limitent à l'application des groupes EC2 de sécurité Amazon uniquement. Pour mettre à jour votre VPC CNI version d'Amazon, consultez Amazon VPC CNI
Pods s'exécutant sur EC2 des nœuds Amazon qui utilisent des groupes de sécurité dans des clusters qui NodeLocal DNSCacheles utilisent ne sont pris en charge qu'avec la version 1.11.0 ou une version ultérieure du VPC CNI plugin Amazon et avec POD_SECURITY_GROUP_ENFORCING_MODE =standard. Pour mettre à jour la version de votre VPC CNI plugin Amazon, consultez Amazon VPC CNI
Groupes de sécurité pour Pods pourrait entraîner une hausse Pod latence de démarrage pour Pods avec un taux de désabonnement élevé. Cela est dû à la limitation du débit dans le contrôleur de ressources.
Le champ d'application du groupe de EC2 sécurité se situe au Pod-level - Pour plus d'informations, consultez la section Groupe de sécurité.

Si vous définissez POD_SECURITY_GROUP_ENFORCING_MODE=standard etAWS_VPC_K8S_CNI_EXTERNALSNAT=false, le trafic destiné à des points de terminaison situés en dehors du nœud VPC utilise les groupes de sécurité du nœud, et non le Pod’s groupes de sécurité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Augmentez le nombre d'adresses IP disponibles pour votre EKS nœud Amazon

Configurez le Amazon VPC CNI plugin for Kubernetes pour les groupes de sécurité pour Amazon EKS Pods