Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Limita il traffico dei Pod con le politiche di rete Kubernetes

PDF
RSS
Modalità Focus
Limita il traffico dei Pod con le politiche di rete Kubernetes - Amazon EKS
Considerazioni

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per impostazione predefinita, in Kubernetes non ci sono restrizioni per gli indirizzi IP, le porte o le connessioni tra i Pod del cluster o tra i Pod e le risorse in qualsiasi altra rete. Puoi utilizzare la policy di rete di Kubernetes per limitare il traffico di rete da e verso i tuoi Pod. Per ulteriori informazioni, consulta le politiche di rete nella documentazione di Kubernetes.

Se nel cluster è presente una versione 1.13 o una precedente del plug-in Amazon VPC CNI per Kubernetes, è necessario implementare una soluzione di terze parti per applicare le policy di rete Kubernetes al cluster. La versione 1.14 o successiva del plug-in può implementare politiche di rete, quindi non è necessario utilizzare una soluzione di terze parti. In questo argomento, imparerai come configurare il cluster per utilizzare le policy di rete Kubernetes sul cluster senza utilizzare un componente aggiuntivo di terze parti.

Le politiche di rete nel plug-in Amazon VPC CNI per Kubernetes sono supportate nelle seguenti configurazioni.

  • Cluster Amazon EKS versione 1.25 e successive.

  • Versione 1.14 o successiva del plug-in Amazon VPC CNI per Kubernetes sul tuo cluster.

  • Cluster configurato per indirizzi IPv4 o IPv6.

  • Puoi utilizzare le politiche di rete con i gruppi di sicurezza per i Pods. Con le policy di rete, è possibile controllare tutte le comunicazioni all'interno del cluster. Con i gruppi di sicurezza per Pods, puoi controllare l'accesso ai AWS servizi dalle applicazioni all'interno di un Pod.

  • È possibile utilizzare le policy di rete con le reti personalizzate e la delega del prefisso.

Considerazioni

Architettura

  • Quando applichi il plug-in Amazon VPC CNI per le policy di rete Kubernetes al tuo cluster con il plug-in Amazon VPC CNI per Kubernetes, puoi applicare le policy solo ai nodi Amazon Linux. EC2 Non puoi applicare le politiche ai nodi Fargate o Windows.

  • Le politiche di rete si applicano solo a uno IPv4 o più IPv6 indirizzi, ma non a entrambi. In un IPv4 cluster, il VPC CNI assegna l'IPv4indirizzo ai pod e applica le policy. IPv4 In un IPv6 cluster, il VPC CNI assegna l'IPv6indirizzo ai pod e applica le policy. IPv6 Tutte le regole IPv4 di policy di rete applicate a un IPv6 cluster vengono ignorate. Tutte le regole dei criteri di IPv6 rete applicate a un IPv4 cluster vengono ignorate.

Politiche di rete

  • Le politiche di rete vengono applicate solo ai pod che fanno parte di una distribuzione. Ai pod autonomi che non dispongono di un metadata.ownerReferences set non possono essere applicati criteri di rete.

  • È possibile applicare più policy di rete allo stesso Pod. Quando sono configurate due o più politiche che selezionano lo stesso Pod, tutte le politiche vengono applicate al Pod.

  • Il numero massimo di combinazioni univoche di porte per ogni protocollo in ogni ingress: egress: selettore in una politica di rete è 24.

  • Per tutti i tuoi servizi Kubernetes, la porta di servizio deve essere la stessa della porta container. Se utilizzi porte denominate, usa lo stesso nome anche nelle specifiche del servizio.

Migrazione

  • Se il tuo cluster utilizza attualmente una soluzione di terze parti per gestire le policy di rete Kubernetes, puoi utilizzare le stesse politiche con il plug-in Amazon VPC CNI per Kubernetes. Tuttavia, devi rimuovere la soluzione esistente in modo che non gestisca le stesse politiche.

Installazione

  • La funzionalità di policy di rete crea e richiede una PolicyEndpoint Custom Resource Definition (CRD) denominata policyendpoints.networking.k8s.aws. Gli oggetti PolicyEndpoint della Custom Resource sono gestiti da Amazon EKS. Non è necessario modificare o eliminare queste risorse.

  • Se esegui pod che utilizzano le credenziali IAM del ruolo di istanza o ti connetti all' EC2 IMDS, fai attenzione a verificare le politiche di rete che bloccherebbero l'accesso all'IMDS. EC2 Potrebbe essere necessario aggiungere una policy di rete per consentire l'accesso all'IMDS. EC2 Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.

    I pod che utilizzano ruoli IAM per gli account di servizio o EKS Pod Identity non accedono EC2 a IMDS.

  • Il plug-in Amazon VPC CNI per Kubernetes non applica policy di rete a interfacce di rete aggiuntive per ogni pod, ma solo all'interfaccia principale per ogni pod (). eth0 Ciò influisce sulle seguenti architetture:

    • Pod IPv6 con la variabile ENABLE_V4_EGRESS impostata su true. Questa variabile abilita la funzionalità di IPv4 uscita per connettere i IPv6 pod a endpoint come quelli esterni al IPv4 cluster. La funzione IPv4 di uscita funziona creando un'interfaccia di rete aggiuntiva con un indirizzo di loopback locale. IPv4

    • In caso di utilizzo di plugin di rete concatenati come Multus. Poiché questi plugin aggiungono interfacce di rete a ciascun pod, le politiche di rete non vengono applicate ai plug-in di rete concatenati.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.