Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limite Pod traffico con Kubernetes politiche di rete

Per impostazione predefinita, non ci sono restrizioni in Kubernetes per indirizzi IP, porte o connessioni tra qualsiasi Pods nel tuo cluster o tra i tuoi Pods e risorse in qualsiasi altra rete. È possibile utilizzare… Kubernetes politica di rete per limitare il traffico di rete da e verso la Pods. Per ulteriori informazioni, vedere Politiche di rete nel Kubernetes documentazione.

Se disponi di una versione 1.13 o di una precedente di Amazon VPC CNI plugin for Kubernetes sul cluster, è necessario implementare una soluzione di terze parti da applicare Kubernetes politiche di rete per il cluster. La versione 1.14 o successiva del plug-in può implementare politiche di rete, quindi non è necessario utilizzare una soluzione di terze parti. In questo argomento, imparerai come configurare il cluster da utilizzare Kubernetes policy di rete sul cluster senza utilizzare componenti aggiuntivi di terze parti.

politiche di rete in Amazon VPC CNI plugin for Kubernetes sono supportate nelle seguenti configurazioni.

Cluster Amazon EKS versione 1.25 e successive.
Versione 1.14 o successiva del Amazon VPC CNI plugin for Kubernetes sul tuo cluster.
Cluster configurato per indirizzi IPv4 o IPv6.
È possibile utilizzare le politiche di rete con i gruppi di sicurezza per i pod. Con le policy di rete, è possibile controllare tutte le comunicazioni all'interno del cluster. Con gruppi di sicurezza per Pods, è possibile controllare l'accesso ai AWS servizi dalle applicazioni all'interno di un Pod.
È possibile utilizzare le policy di rete con le reti personalizzate e la delega del prefisso.

Considerazioni

Architettura

Quando si applica Amazon VPC CNI plugin for Kubernetes politiche di rete per il cluster con il Amazon VPC CNI plugin for Kubernetes , puoi applicare le policy solo ai nodi Amazon EC2 Linux. Non puoi applicare le politiche ai nodi Fargate o Windows.
Le politiche di rete si applicano solo a uno IPv4 o più IPv6 indirizzi, ma non a entrambi. In un IPv4 cluster, il VPC CNI assegna l'IPv4indirizzo ai pod e applica le policy. IPv4 In un IPv6 cluster, il VPC CNI assegna l'IPv6indirizzo ai pod e applica le policy. IPv6 Tutte le regole IPv4 di policy di rete applicate a un IPv6 cluster vengono ignorate. Tutte le regole dei criteri di IPv6 rete applicate a un IPv4 cluster vengono ignorate.

Politiche di rete

Le politiche di rete vengono applicate solo a Pods che fanno parte di un Deployment. Autonomo Pods a cui non è stato assegnato un metadata.ownerReferences set non può essere applicato un criterio di rete.
È possibile applicare più politiche di rete alla stessa Pod. Quando due o più politiche selezionano la stessa Pod sono configurate, tutte le politiche vengono applicate a Pod.
Il numero massimo di combinazioni univoche di porte per ogni protocollo ingress: o egress: selettore in una politica di rete è 24.
Per ognuno dei tuoi Kubernetes servizi, la porta di servizio deve essere la stessa del porto container. Se utilizzi porte denominate, usa lo stesso nome anche nelle specifiche del servizio.

Migrazione

Se il cluster utilizza attualmente una soluzione di terze parti per la gestione Kubernetes politiche di rete, è possibile utilizzare le stesse politiche con Amazon VPC CNI plugin for Kubernetes. Tuttavia è necessario rimuovere la soluzione esistente in modo che non gestisca le stesse politiche.

Installazione

La funzionalità di policy di rete crea e richiede una PolicyEndpoint Custom Resource Definition (CRD) denominata policyendpoints.networking.k8s.aws. Gli oggetti PolicyEndpoint della Custom Resource sono gestiti da Amazon EKS. Non è necessario modificare o eliminare queste risorse.
Se esegui pod che utilizzano le credenziali IAM del ruolo di istanza o ti connetti all' EC2 IMDS, fai attenzione a verificare le politiche di rete che bloccherebbero l'accesso all'IMDS. EC2 Potrebbe essere necessario aggiungere una policy di rete per consentire l'accesso all'IMDS. EC2 Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.

I pod che utilizzano ruoli IAM per gli account di servizio o EKS Pod Identity non accedono EC2 a IMDS.
Il Amazon VPC CNI plugin for Kubernetes non applica le policy di rete alle interfacce di rete aggiuntive per ogni pod, ma solo all'interfaccia principale per ogni pod (). eth0 Ciò influisce sulle seguenti architetture:
- Pod IPv6 con la variabile ENABLE_V4_EGRESS impostata su true. Questa variabile abilita la IPv4 funzione di uscita per connettere i IPv6 pod a IPv4 endpoint come quelli esterni al cluster. La funzione IPv4 di uscita funziona creando un'interfaccia di rete aggiuntiva con un indirizzo di loopback locale. IPv4
- Quando si utilizzano plugin di rete concatenati come Multus. Poiché questi plugin aggiungono interfacce di rete a ciascun pod, le politiche di rete non vengono applicate ai plug-in di rete concatenati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Traffico in uscita

Limita il traffico di rete