Kompatibilitas dengan Amazon VPC CNI plugin for Kubernetes fitur Pertimbangan

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tetapkan grup keamanan ke individu pods

Berlaku untuk: Linux node dengan EC2 instance Amazon

Berlaku untuk: Subnet pribadi

Kelompok keamanan untuk Pods mengintegrasikan grup EC2 keamanan Amazon dengan Kubernetes Pods. Anda dapat menggunakan grup EC2 keamanan Amazon untuk menentukan aturan yang memungkinkan lalu lintas jaringan masuk dan keluar ke dan dari Pods yang Anda terapkan ke node yang berjalan di banyak jenis EC2 instans Amazon dan Fargate. Untuk penjelasan rinci tentang kemampuan ini, lihat posting blog Introducing security groups for Pods.

Kompatibilitas dengan Amazon VPC CNI plugin for Kubernetes fitur

Anda dapat menggunakan grup keamanan untuk Pods dengan fitur-fitur berikut:

IPv4Terjemahan Alamat Jaringan Sumber - Untuk informasi lebih lanjut, lihatAktifkan akses internet keluar untuk pods.
IPv6alamat ke cluster, Pod, dan layanan - Untuk informasi selengkapnya, lihatPelajari tentang IPv6 alamat ke cluster, pods, dan layanan.
Membatasi lalu lintas menggunakan Kubernetes kebijakan jaringan - Untuk informasi selengkapnya, lihatKuota pod Lalu lintas dengan Kubernetes kebijakan jaringan.

Pertimbangan

Sebelum menyebarkan grup keamanan untuk Pods, pertimbangkan batasan dan ketentuan berikut:

Kelompok keamanan untuk Pods tidak dapat digunakan dengan Windows simpul.
Kelompok keamanan untuk Pods dapat digunakan dengan cluster yang dikonfigurasi untuk IPv6 keluarga yang berisi EC2 node Amazon dengan menggunakan versi 1.16.0 atau yang lebih baru dari plugin Amazon. VPC CNI Anda dapat menggunakan grup keamanan untuk Pods dengan cluster mengonfigurasi IPv6 keluarga yang hanya berisi node Fargate dengan menggunakan versi 1.7.7 atau yang lebih baru dari plugin Amazon. VPC CNI Untuk informasi selengkapnya, silakan lihat Pelajari tentang IPv6 alamat ke cluster, pods, dan layanan
Kelompok keamanan untuk Pods didukung oleh sebagian besar keluarga EC2 instans Amazon berbasis Nitro, meskipun tidak oleh semua generasi keluarga. Misalnya, keluarga dan generasi m5 c5r5, m6gc6g,,,, dan r6g contoh didukung. Tidak ada jenis instance dalam t keluarga yang didukung. Untuk daftar lengkap jenis instans yang didukung, lihat file limits.go di GitHub. Node Anda harus menjadi salah satu jenis instance terdaftar yang ada IsTrunkingCompatible: true di file itu.
Jika Anda juga menggunakan Pod kebijakan keamanan untuk membatasi akses ke Pod mutasi, maka eks:vpc-resource-controller Kubernetes pengguna harus ditentukan dalam Kubernetes ClusterRoleBindinguntuk role yang ditugaskan kepada Andapsp. Jika Anda menggunakan Amazon default EKSpsp,role, danClusterRoleBinding, ini adalah eks:podsecuritypolicy:authenticatedClusterRoleBinding. Misalnya, Anda menambahkan pengguna ke subjects: bagian, seperti yang ditunjukkan pada contoh berikut:
```
[...]
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: eks:vpc-resource-controller
  - kind: ServiceAccount
    name: eks-vpc-resource-controller
```
Jika Anda menggunakan jaringan khusus dan grup keamanan untuk Pods bersama-sama, kelompok keamanan yang ditentukan oleh kelompok keamanan untuk Pods digunakan sebagai pengganti grup keamanan yang ditentukan dalamENIConfig.
Jika Anda menggunakan versi 1.10.2 atau sebelumnya dari VPC CNI plugin Amazon dan Anda menyertakan terminationGracePeriodSeconds pengaturan di Pod spesifikasi, nilai untuk pengaturan tidak bisa nol.
Jika Anda menggunakan versi 1.10 atau sebelumnya dari VPC CNI plugin Amazon, atau versi 1.11 dengan POD_SECURITY_GROUP_ENFORCING_MODE =strict, yang merupakan pengaturan default, maka Kubernetes layanan tipe NodePort dan LoadBalancer menggunakan target instance dengan externalTrafficPolicy set ke Local tidak didukung dengan Pods yang Anda tetapkan ke grup keamanan. Untuk informasi selengkapnya tentang cara menggunakan penyeimbang beban dengan target instans, lihat Rute TCP dan UDP lalu lintas dengan Network Load Balancers.
Jika Anda menggunakan versi 1.10 atau sebelumnya dari VPC CNI plugin Amazon atau versi 1.11 dengan POD_SECURITY_GROUP_ENFORCING_MODE =strict, yang merupakan pengaturan default, sumber NAT dinonaktifkan untuk lalu lintas keluar dari Pods dengan grup keamanan yang ditetapkan sehingga aturan grup keamanan keluar diterapkan. Untuk mengakses internet, Pods dengan grup keamanan yang ditetapkan harus diluncurkan pada node yang digunakan dalam subnet pribadi yang dikonfigurasi dengan NAT gateway atau instance. Pods dengan kelompok keamanan yang ditugaskan dikerahkan ke subnet publik tidak dapat mengakses internet.

Jika Anda menggunakan versi 1.11 atau yang lebih baru dari plugin dengan POD_SECURITY_GROUP_ENFORCING_MODE =standard, maka Pod lalu lintas yang ditujukan untuk di luar diterjemahkan ke alamat IP antarmuka jaringan utama instans. VPC Untuk lalu lintas ini, aturan dalam kelompok keamanan untuk antarmuka jaringan utama digunakan, bukan aturan di Pod’s kelompok keamanan.
Untuk menggunakan Calico kebijakan jaringan dengan Pods yang memiliki grup keamanan terkait, Anda harus menggunakan versi 1.11.0 atau yang lebih baru dari VPC CNI plugin Amazon dan set POD_SECURITY_GROUP_ENFORCING_MODE =standard. Jika tidak, arus lalu lintas ke dan dari Pods dengan kelompok keamanan terkait tidak dikenakan Calico penegakan kebijakan jaringan dan terbatas pada penegakan kelompok EC2 keamanan Amazon saja. Untuk memperbarui VPC CNI versi Amazon Anda, lihat Amazon VPC CNI
Pods berjalan di EC2 node Amazon yang menggunakan grup keamanan dalam cluster yang menggunakan hanya NodeLocal DNSCachedidukung dengan versi 1.11.0 atau yang lebih baru dari VPC CNI plugin Amazon dan dengan POD_SECURITY_GROUP_ENFORCING_MODE =standard. Untuk memperbarui versi VPC CNI plugin Amazon Anda, lihat Amazon VPC CNI
Kelompok keamanan untuk Pods dapat menyebabkan lebih tinggi Pod latensi startup untuk Pods dengan churn tinggi. Ini karena pembatasan tingkat di pengontrol sumber daya.
Ruang lingkup kelompok EC2 keamanan ada di Pod-level - Untuk informasi selengkapnya, lihat Grup keamanan.

Jika Anda mengatur POD_SECURITY_GROUP_ENFORCING_MODE=standard danAWS_VPC_K8S_CNI_EXTERNALSNAT=false, lalu lintas yang ditujukan untuk titik akhir di luar VPC gunakan grup keamanan node, bukan Pod’s kelompok keamanan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Tingkatkan alamat IP yang tersedia untuk EKS node Amazon Anda

Konfigurasikan Amazon VPC CNI plugin for Kubernetes untuk grup keamanan untuk Amazon EKS Pods