Batasi pod lalu lintas dengan kebijakan Kubernetes jaringan - Amazon EKS
Pertimbangan

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi pod lalu lintas dengan kebijakan Kubernetes jaringan

Secara default, tidak ada batasan Kubernetes untuk alamat IP, port, atau koneksi antara apa pun Pods di cluster Anda atau antara Anda Pods dan sumber daya di jaringan lain mana pun. Anda dapat menggunakan kebijakan Kubernetes jaringan untuk membatasi lalu lintas jaringan ke dan dari AndaPods. Untuk informasi selengkapnya, lihat Kebijakan Jaringan dalam Kubernetes dokumentasi.

Jika Anda memiliki versi 1.13 atau versi sebelumnya Amazon VPC CNI plugin for Kubernetes di klaster Anda, Anda perlu menerapkan solusi pihak ketiga untuk menerapkan kebijakan Kubernetes jaringan ke klaster Anda. Versi 1.14 atau versi plugin yang lebih baru dapat menerapkan kebijakan jaringan, jadi Anda tidak perlu menggunakan solusi pihak ketiga. Dalam topik ini, Anda mempelajari cara mengonfigurasi klaster agar menggunakan kebijakan Kubernetes jaringan di klaster tanpa menggunakan add-on pihak ketiga.

Kebijakan jaringan di Amazon VPC CNI plugin for Kubernetes didukung dalam konfigurasi berikut.

  • EKSCluster Amazon versi 1.25 dan yang lebih baru.

  • Versi 1.14 atau yang lebih baru Amazon VPC CNI plugin for Kubernetes di cluster Anda.

  • Cluster dikonfigurasi untuk IPv4 atau IPv6 alamat.

  • Anda dapat menggunakan kebijakan jaringan dengan grup keamanan untuk Pods. Dengan kebijakan jaringan, Anda dapat mengontrol semua komunikasi dalam cluster. Dengan grup keamanan untukPods, Anda dapat mengontrol akses ke Layanan AWS dari aplikasi dalam filePod.

  • Anda dapat menggunakan kebijakan jaringan dengan jaringan kustom dan delegasi awalan.

Pertimbangan

  • Saat menerapkan kebijakan Amazon VPC CNI plugin for Kubernetes jaringan ke cluster Anda dengan Amazon VPC CNI plugin for Kubernetes, Anda dapat menerapkan kebijakan ke node Amazon EC2 Linux saja. Anda tidak dapat menerapkan kebijakan ke Fargate atau Windows node.

  • Jika klaster Anda saat ini menggunakan solusi pihak ketiga untuk mengelola kebijakan Kubernetes jaringan, Anda dapat menggunakan kebijakan yang sama dengan Amazon VPC CNI plugin for Kubernetes. Namun Anda harus menghapus solusi yang ada sehingga tidak mengelola kebijakan yang sama.

  • Anda dapat menerapkan beberapa kebijakan jaringan untuk hal yang samaPod. Ketika dua atau beberapa kebijakan yang memilih yang sama Pod dikonfigurasi, semua kebijakan diterapkan ke kebijakanPod.

  • Jumlah maksimum kombinasi unik port untuk setiap protokol di masing-masing ingress: atau egress: pemilih dalam kebijakan jaringan adalah 24.

  • Untuk setiap Kubernetes layanan Anda, port layanan harus sama dengan port kontainer. Jika Anda menggunakan port bernama, gunakan nama yang sama dalam spesifikasi layanan juga.

  • Fitur kebijakan jaringan membuat dan memerlukan PolicyEndpoint Custom Resource Definition (CRD) yang dipanggilpolicyendpoints.networking.k8s.aws. PolicyEndpointobjek Sumber Daya Kustom dikelola oleh AmazonEKS. Anda tidak boleh memodifikasi atau menghapus sumber daya ini.

  • Jika Anda menjalankan pod yang menggunakan IAM kredensial peran instance atau terhubung ke Pod EC2IMDS, berhati-hatilah untuk memeriksa kebijakan jaringan yang akan memblokir akses ke. EC2 IMDS Anda mungkin perlu menambahkan kebijakan jaringan untuk mengizinkan akses ke EC2IMDS. Untuk informasi selengkapnya, lihat Metadata instans dan data pengguna di EC2 Panduan Pengguna Amazon.

    Pod yang menggunakan IAMperan untuk akun layanan tidak dapat diakses EC2IMDS.

  • Amazon VPC CNI plugin for KubernetesItu tidak menerapkan kebijakan jaringan ke antarmuka jaringan tambahan untuk setiap pod, hanya antarmuka utama untuk setiap pod (eth0). Ini mempengaruhi arsitektur berikut:

    • IPv6pod dengan ENABLE_V4_EGRESS variabel disetel ketrue. Variabel ini memungkinkan fitur IPv4 keluar untuk menghubungkan IPv6 pod ke IPv4 titik akhir seperti yang berada di luar cluster. Fitur IPv4 jalan keluar bekerja dengan membuat antarmuka jaringan tambahan dengan alamat IPv4 loopback lokal.

    • Saat menggunakan plugin jaringan berantai seperti. Multus Karena plugin ini menambahkan antarmuka jaringan ke setiap pod, kebijakan jaringan tidak diterapkan ke plugin jaringan yang dirantai.