Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lihat persyaratan grup keamanan Amazon EKS untuk cluster
Topik ini menjelaskan persyaratan grup keamanan klaster Amazon EKS.
Grup keamanan klaster default
Saat Anda membuat klaster, Amazon EKS membuat grup keamanan yang diberi namaeks-cluster-sg-. Grup keamanan ini memiliki aturan default berikut:my-cluster-uniqueID
| Jenis aturan | Protokol | Port | Sumber | Tujuan |
|---|---|---|---|---|
|
Ke dalam |
Semua |
Semua |
Diri Sendiri |
|
|
Ke luar |
Semua |
Semua |
0.0.0.0/0 ( |
penting
Jika klaster Anda tidak memerlukan aturan keluar, Anda dapat menghapusnya. Jika Anda menghapusnya, Anda masih harus memiliki aturan minimum yang tercantum dalam Membatasi lalu lintas cluster. Jika Anda menghapus aturan masuk, Amazon EKS akan membuatnya ulang setiap kali cluster diperbarui.
Amazon EKS menambahkan tag berikut ke grup keamanan. Jika Anda menghapus tag, Amazon EKS menambahkannya kembali ke grup keamanan setiap kali klaster Anda diperbarui.
| Kunci | Nilai |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS secara otomatis mengaitkan grup keamanan ini ke sumber daya berikut yang juga dibuatnya:
-
2—4 antarmuka jaringan elastis (disebut untuk sisa dokumen ini sebagai antarmuka jaringan) yang dibuat saat Anda membuat cluster Anda.
-
Antarmuka jaringan node dalam grup node terkelola apa pun yang Anda buat.
Aturan default memungkinkan semua lalu lintas mengalir bebas antara cluster dan node Anda, dan memungkinkan semua lalu lintas keluar ke tujuan mana pun. Saat membuat klaster, Anda dapat (opsional) menentukan grup keamanan Anda sendiri. Jika ya, Amazon EKS juga mengaitkan grup keamanan yang Anda tentukan ke antarmuka jaringan yang dibuatnya untuk cluster Anda. Namun, itu tidak mengaitkannya dengan grup simpul apa pun yang Anda buat.
Anda dapat menentukan ID grup keamanan klaster Anda di AWS Management Console bawah bagian Jaringan kluster. Atau, Anda dapat melakukannya dengan menjalankan perintah AWS CLI berikut.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Membatasi lalu lintas klaster
Jika Anda perlu membatasi port terbuka antara cluster dan node, Anda dapat menghapus aturan keluar default dan menambahkan aturan minimum berikut yang diperlukan untuk cluster. Jika Anda menghapus aturan masuk default, Amazon EKS akan membuatnya ulang setiap kali cluster diperbarui.
| Jenis aturan | Protokol | Port | Tujuan |
|---|---|---|---|
|
Ke luar |
TCP |
443 |
Grup keamanan klaster |
|
Ke luar |
TCP |
10250 |
Grup keamanan klaster |
|
Keluar (DNS) |
TCP dan UDP |
53 |
Grup keamanan klaster |
Anda juga harus menambahkan aturan untuk lalu lintas berikut:
-
Protokol dan port apa pun yang Anda harapkan untuk digunakan node untuk komunikasi antar simpul.
-
Akses internet keluar sehingga node dapat mengakses Amazon EKS APIs untuk introspeksi cluster dan pendaftaran node pada waktu peluncuran. Jika node Anda tidak memiliki akses internet, tinjau Deploy private cluster dengan akses internet terbatas untuk pertimbangan tambahan.
-
Akses node untuk menarik gambar kontainer dari Amazon ECR atau pendaftar kontainer lain APIs yang mereka butuhkan untuk menarik gambar, seperti. DockerHub Untuk informasi selengkapnya, lihat rentang alamat AWS IP di Referensi AWS Umum.
-
Akses node ke Amazon S3.
-
Aturan terpisah diperlukan untuk
IPv4danIPv6alamat. -
Jika Anda menggunakan node hibrid, Anda harus menambahkan grup keamanan tambahan ke klaster Anda untuk memungkinkan komunikasi dengan node dan pod lokal Anda. Untuk informasi selengkapnya, lihat Mempersiapkan jaringan untuk node hybrid.
Jika Anda mempertimbangkan untuk membatasi aturan, sebaiknya Anda menguji semua Pod secara menyeluruh sebelum menerapkan aturan yang diubah ke klaster produksi.
Jika Anda awalnya menggunakan klaster dengan Kubernetes 1.14 dan versi platform eks.3 atau sebelumnya, pertimbangkan hal berikut:
-
Anda mungkin juga memiliki control plane dan grup keamanan node. Ketika kelompok-kelompok ini dibuat, mereka menyertakan aturan terbatas yang tercantum dalam tabel sebelumnya. Grup keamanan ini tidak lagi diperlukan dan dapat dihapus. Namun, Anda perlu memastikan grup keamanan klaster Anda berisi aturan yang dikandung grup tersebut.
-
Jika Anda menerapkan cluster menggunakan API secara langsung atau Anda menggunakan alat seperti AWS CLI AWS CloudFormation atau untuk membuat cluster dan Anda tidak menentukan grup keamanan pada pembuatan klaster, maka grup keamanan default untuk VPC diterapkan ke antarmuka jaringan cluster yang dibuat Amazon EKS.
Grup keamanan bersama
Amazon EKS mendukung grup keamanan bersama.
-
Asosiasi VPC Grup Keamanan mengaitkan grup keamanan dengan beberapa VPCs di akun dan wilayah yang sama.
-
Pelajari cara Mengaitkan grup keamanan dengan beberapa VPCs di Panduan Pengguna Amazon VPC.
-
-
Grup keamanan bersama memungkinkan Anda berbagi grup keamanan dengan AWS akun lain. Akun harus berada di AWS organisasi yang sama.
-
Pelajari cara Berbagi grup keamanan dengan organisasi di Panduan Pengguna Amazon VPC.
-
-
Kelompok keamanan selalu terbatas pada satu AWS wilayah.
Pertimbangan untuk Amazon EKS
-
EKS memiliki persyaratan yang sama untuk grup keamanan bersama atau multi-VPC sebagai grup keamanan standar.
