Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizza i requisiti EKS dei gruppi di sicurezza Amazon per i cluster
Questo argomento descrive i requisiti del gruppo di sicurezza di un EKS cluster Amazon.
Gruppo di sicurezza del cluster predefinito
Quando crei un cluster, Amazon EKS crea un gruppo di sicurezza denominatoeks-cluster-sg-. Questo gruppo di sicurezza presenta le regole predefinite seguenti:my-cluster-uniqueID
| Tipo di regola | Protocollo | Porte | Origine | Destinazione |
|---|---|---|---|---|
|
In entrata |
Tutti |
Tutti |
Personale |
|
|
In uscita |
Tutti |
Tutti |
0.0.0.0/0 ( |
Importante
Se il tuo cluster non necessita della regola in uscita, puoi rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi la regola in entrata, Amazon la EKS ricrea ogni volta che il cluster viene aggiornato.
Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon li EKS aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.
| Chiave | Valore |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon associa EKS automaticamente questo gruppo di sicurezza alle seguenti risorse che crea anche:
-
2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.
-
Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.
Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon associa EKS anche i gruppi di sicurezza specificati alle interfacce di rete che crea per il cluster. Tuttavia, non li associa a nessun gruppo di nodi creato da te.
È possibile determinare l'ID del gruppo di sicurezza del AWS Management Console cluster nella sezione Rete del cluster. In alternativa, puoi eseguire il comando AWS CLI seguente.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Limitazione del traffico cluster
Se è necessario limitare le porte aperte tra il cluster e i nodi, puoi rimuovere la regola in uscita predefinita e aggiungere le regole minime necessarie per il cluster. Se rimuovi la regola di entrata predefinita, Amazon la EKS ricrea ogni volta che il cluster viene aggiornato.
| Tipo di regola | Protocollo | Porta | Destinazione |
|---|---|---|---|
|
In uscita |
TCP |
443 |
Gruppo di sicurezza del cluster |
|
In uscita |
TCP |
10250 |
Gruppo di sicurezza del cluster |
|
In uscita () DNS |
TCP e UDP |
53 |
Gruppo di sicurezza del cluster |
È inoltre necessario aggiungere regole per il traffico seguente:
-
Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.
-
Accesso a Internet in uscita in modo che i nodi possano accedere ad Amazon EKS APIs per l'introspezione del cluster e la registrazione dei nodi al momento del lancio. Se i tuoi nodi non dispongono di accesso a Internet, consulta la sezione Implementazione di cluster privati con accesso limitato a Internet per ulteriori considerazioni.
-
Accesso al nodo per estrarre le immagini dei container da Amazon ECR o da altri registri di container da APIs cui devono estrarre immagini, ad esempio DockerHub. Per ulteriori informazioni, vedere Intervalli di indirizzi AWS IP nella AWS Guida generale.
-
Accesso dei nodi ad Amazon S3.
-
Sono necessarie regole separate per gli indirizzi
IPv4eIPv6. -
Se si utilizzano nodi ibridi, è necessario aggiungere un gruppo di sicurezza aggiuntivo al cluster per consentire la comunicazione con i nodi e i pod locali. Per ulteriori informazioni, consulta Preparare la rete per i nodi ibridi.
Se stai pensando di limitare le regole, ti consigliamo di testare a fondo tutte le tue Pods prima di applicare le regole modificate a un cluster di produzione.
Se originariamente hai distribuito un cluster con Kubernetes 1.14e una versione della piattaforma eks.3 o precedente, considera quanto segue:
-
È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.
-
Se hai distribuito il cluster utilizzando API direttamente o hai utilizzato uno strumento come AWS CLI o AWS CloudFormation per creare il cluster e non hai specificato un gruppo di sicurezza al momento della creazione del cluster, il gruppo di sicurezza predefinito per il VPC è stato applicato alle interfacce di rete del cluster create da AmazonEKS.
Gruppi di sicurezza condivisi
Amazon EKS supporta gruppi di sicurezza condivisi.
-
VPCLe associazioni dei gruppi di sicurezza associano i gruppi di sicurezza VPCs a più gruppi nello stesso account e nella stessa regione.
-
Scopri come associare gruppi di sicurezza a più gruppi di sicurezza VPCs nella Amazon VPC User Guide.
-
-
I gruppi di sicurezza condivisi ti consentono di condividere i gruppi di sicurezza con altri AWS account. Gli account devono appartenere alla stessa AWS organizzazione.
-
Scopri come condividere i gruppi di sicurezza con le organizzazioni nella Amazon VPC User Guide.
-
-
I gruppi di sicurezza sono sempre limitati a una singola AWS regione.
Considerazioni per Amazon EKS
-
EKSha gli stessi requisiti dei gruppi di sicurezza condivisi o VPC multisicurezza dei gruppi di sicurezza standard.
📝 Modifica questa pagina su GitHub
