Visualizza i requisiti EKS dei gruppi di sicurezza Amazon per i cluster - Amazon EKS
Gruppo di sicurezza del cluster predefinitoLimitazione del traffico cluster

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza i requisiti EKS dei gruppi di sicurezza Amazon per i cluster

Questo argomento descrive i requisiti del gruppo di sicurezza di un EKS cluster Amazon.

Gruppo di sicurezza del cluster predefinito

Quando crei un cluster, Amazon EKS crea un gruppo di sicurezza denominatoeks-cluster-sg-my-cluster-uniqueID. Questo gruppo di sicurezza presenta le regole predefinite seguenti:

Tipo di regola Protocollo Porte Origine Destinazione

In entrata

Tutti

Tutti

 Personale

In uscita

Tutti

Tutti

0.0.0.0/0 (IPv4) or ::/0 (IPv6)
Importante

Se il tuo cluster non necessita della regola in uscita, puoi rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi la regola in entrata, Amazon la EKS ricrea ogni volta che il cluster viene aggiornato.

Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon li EKS aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.

Chiave Valore
kubernetes.io/cluster/my-cluster owned
aws:eks:cluster-name my-cluster
Name eks-cluster-sg-my-cluster-uniqueid

Amazon associa EKS automaticamente questo gruppo di sicurezza alle seguenti risorse che crea anche:

  • 2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.

  • Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.

Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon associa EKS anche i gruppi di sicurezza specificati alle interfacce di rete che crea per il cluster. ma non li associa ai gruppi di nodi.

Puoi determinare l'ID del gruppo di sicurezza del cluster nella AWS Management Console sezione Rete del cluster. In alternativa, è possibile farlo eseguendo il AWS CLI comando seguente.

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Limitazione del traffico cluster

Se è necessario limitare le porte aperte tra il cluster e i nodi, puoi rimuovere la regola in uscita predefinita e aggiungere le regole minime necessarie per il cluster. Se rimuovi la regola di entrata predefinita, Amazon la EKS ricrea ogni volta che il cluster viene aggiornato.

Tipo di regola Protocollo Porta Destinazione
In uscita TCP

443

Gruppo di sicurezza del cluster
In uscita TCP

10250

Gruppo di sicurezza del cluster
In uscita () DNS TCPe UDP 53 Gruppo di sicurezza del cluster

È inoltre necessario aggiungere regole per il traffico seguente:

  • Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.

  • Accesso a Internet in uscita in modo che i nodi possano accedere ad Amazon EKS APIs per l'introspezione del cluster e la registrazione dei nodi al momento del lancio. Se i nodi non hanno accesso a Internet, consulta Implementa cluster privati con accesso limitato a Internet per ulteriori considerazioni.

  • Accesso al nodo per estrarre le immagini dei container da Amazon ECR o da altri registri di container da APIs cui devono estrarre le immagini, ad esempio. DockerHub Per ulteriori informazioni, consulta Intervalli di indirizzi IP di AWS nella Riferimenti generali di AWS.

  • Accesso dei nodi ad Amazon S3.

  • Sono necessarie regole separate per gli indirizzi IPv4 e IPv6.

Se stai pianificando una limitazione delle regole, ti consigliamo di testare accuratamente tutti i Pods prima di applicare le regole modificate a un cluster di produzione.

Se precedentemente hai implementato un cluster con 1.14 Kubernetes e una versione della piattaforma eks.3 o precedente, considera quanto segue:

  • È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.

  • Se hai distribuito il cluster utilizzando API direttamente o hai utilizzato uno strumento come AWS CLI o AWS CloudFormation per creare il cluster e non hai specificato un gruppo di sicurezza al momento della creazione del cluster, il gruppo di sicurezza predefinito per il VPC è stato applicato alle interfacce di rete del cluster create da AmazonEKS.