Limita pod il traffico con politiche di Kubernetes rete - Amazon EKS
Considerazioni

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita pod il traffico con politiche di Kubernetes rete

Per impostazione predefinita, in Kubernetes non ci sono restrizioni per indirizzi IP, porte o connessioni tra qualsiasi Pods nel cluster o tra i tuoi Pods e le risorse in qualsiasi altra rete. È possibile utilizzare le policy di rete Kubernetes per limitare il traffico di rete da e verso i Pods. Per ulteriori informazioni, consulta la pagina Network Policies nella documentazione di Kubernetes.

Se hai una versione 1.13 o precedente del Amazon VPC CNI plugin for Kubernetes sul cluster, è necessario implementare una soluzione di terze parti per applicare le policy di rete Kubernetes al cluster. Una versione 1.14 o successiva del plugin è in grado di implementare le policy di rete, quindi non è necessario utilizzare una soluzione di terze parti. In questo argomento, imparerai a configurare il cluster per l'utilizzo delle policy di rete Kubernetes sul cluster senza utilizzare componenti aggiuntivi di terze parti.

Le policy di rete nel Amazon VPC CNI plugin for Kubernetes sono supportate nelle seguenti configurazioni.

  • EKSCluster Amazon di versione 1.25 e successive.

  • Versione 1.14 o successiva del Amazon VPC CNI plugin for Kubernetes sul cluster.

  • Cluster configurato per indirizzi IPv4 o IPv6.

  • È possibile utilizzare le policy di rete con i gruppi di sicurezza per Pods. Con le policy di rete, è possibile controllare tutte le comunicazioni all'interno del cluster. Con i gruppi di sicurezza perPods, puoi controllare l'accesso Servizi AWS alle applicazioni all'interno di unPod.

  • È possibile utilizzare le policy di rete con le reti personalizzate e la delega del prefisso.

Considerazioni

  • Quando applichi le policy di Amazon VPC CNI plugin for Kubernetes rete al tuo cluster con Amazon VPC CNI plugin for Kubernetes, puoi applicarle solo ai nodi Amazon EC2 Linux. Non è possibile applicare le policy ai nodi Fargate o Windows.

  • Se il cluster utilizza attualmente una soluzione di terze parti per la gestione delle policy di rete Kubernetes, è possibile utilizzare le stesse policy con il Amazon VPC CNI plugin for Kubernetes. Tuttavia, è necessario rimuovere la soluzione esistente in modo che non gestisca le stesse policy.

  • È possibile applicare più policy di rete allo stesso Pod. Quando sono configurate due o più policy che selezionano lo stesso Pod, al Pod vengono applicate tutte le policy.

  • Il numero massimo di combinazioni univoche di porte per ogni protocollo ingress: o egress: selettore in una politica di rete è 24.

  • Per ognuno dei servizi Kubernetes, la porta del servizio deve essere uguale a quella del container. Se si utilizzano porte con un nome assegnato, è necessario utilizzare lo stesso nome anche nelle specifiche del servizio.

  • La funzionalità di policy di rete crea e richiede una PolicyEndpoint Custom Resource Definition (CRD) chiamatapolicyendpoints.networking.k8s.aws. PolicyEndpointgli oggetti della Custom Resource sono gestiti da AmazonEKS. È sconsigliabile modificare o eliminare queste risorse.

  • Se esegui pod che utilizzano le IAM credenziali del ruolo dell'istanza o ti connetti a EC2IMDS, fai attenzione a verificare le politiche di rete che bloccherebbero l'accesso a. EC2 IMDS Potrebbe essere necessario aggiungere una politica di rete a cui consentire l'accesso a. EC2 IMDS Per ulteriori informazioni, consulta Metadati dell'istanza e dati utente nella Amazon EC2 User Guide.

    I pod che utilizzano IAMruoli per gli account di servizio non accedono. EC2 IMDS

  • L'Amazon VPC CNI plugin for Kubernetes non applica le policy di rete alle interfacce di rete aggiuntive per ogni pod, ma solo all'interfaccia principale per ogni pod (eth0). Ciò influisce sulle seguenti architetture:

    • Pod IPv6 con la variabile ENABLE_V4_EGRESS impostata su true. Questa variabile abilita la IPv4 funzionalità di uscita per connettere i IPv6 pod a IPv4 endpoint come quelli esterni al cluster. La funzione IPv4 di uscita funziona creando un'interfaccia di rete aggiuntiva con un indirizzo di loopback locale. IPv4

    • Quando si utilizzano plugin di rete concatenati come. Multus Poiché questi plugin aggiungono interfacce di rete a ciascun pod, le policy di rete non vengono applicate ai plug-in di rete concatenati.