Assegnazione dei gruppi di sicurezza ai singoli pod

Traslazione degli indirizzi di rete di origine IPv4: per ulteriori informazioni, consulta Abilitare l’accesso a Internet in uscita per i pod.

Indirizzi IPv6 verso cluster, pod e servizi: per ulteriori informazioni, consulta Scopri IPv6 gli indirizzi di cluster, pod e servizi.

Limitazione del traffico tramite le policy di rete di Kubernetes: per ulteriori informazioni, consulta Limita il traffico di Pod con le policy di rete di Kubernetes.

I gruppi di sicurezza per i pod non possono essere utilizzati con i nodi Windows o la modalità automatica EKS.

I gruppi di sicurezza per i pod possono essere utilizzati con cluster configurati per la famiglia IPv6 che contengono i nodi Amazon EC2 utilizzando la versione 1.16.0 o successive del plugin CNI di Amazon VPC. Puoi utilizzare gruppi di sicurezza per Pods con cluster configurati per la IPv6 famiglia che contengono solo nodi Fargate utilizzando la versione 1.7.7 o successiva del plug-in Amazon VPC CNI. Per ulteriori informazioni, consulta Scopri IPv6 gli indirizzi di cluster, pod e servizi

I gruppi di sicurezza per Pods sono supportati dalla maggior parte delle famiglie di istanze Nitro-basedAmazon EC2, ma non da tutte le generazioni di una famiglia. Ad esempio, sono supportate la famiglia e le generazioni dell’istanza m5, c5, r5, m6g, c6g e r6g. Non è supportato alcun tipo di istanza nella famiglia t. Per un elenco completo dei tipi di istanze supportati, consulta il file limits.go su. GitHub I nodi devono essere uno dei tipi di istanza elencati che contengono IsTrunkingCompatible: true nel file.

Se si utilizzano allo stesso tempo una rete personalizzata e gruppi di sicurezza per i pod, il gruppo di sicurezza specificato dai gruppi di sicurezza per pod è utilizzato in alternativa al gruppo di sicurezza specificato in ENIConfig.

Se si utilizza la versione 1.10.2 o precedente del plugin CNI di Amazon VPC e si include l’impostazione terminationGracePeriodSeconds nelle specifiche del pod, il valore per l’impostazione non può essere zero.

Se si utilizza la versione 1.10 o precedente del plugin CNI di Amazon VPC o la versione 1.11 con l’impostazione predefinita POD_SECURITY_GROUP_ENFORCING_MODE=strict, i servizi Kubernetes di tipo NodePort e LoadBalancer che utilizzano le destinazioni di istanza con externalTrafficPolicy impostato su Local non sono supportati con i pod a cui si assegnano i gruppi di sicurezza. Per ulteriori informazioni sull'utilizzo di un load balancer con target di istanza, consultare Esecuzione del routing del traffico TCP e UDP con Network Load Balancer.

La fonte NAT è disabilitata per il traffico in uscita dai pod con gruppi di sicurezza assegnati, in modo che siano applicate le regole dei gruppi di sicurezza in uscita, se si utilizza la versione 1.10 o precedente del plugin CNI di Amazon VPC o la versione 1.11 con l’impostazione predefinita POD_SECURITY_GROUP_ENFORCING_MODE=strict. Per accedere a Internet, è necessario avviare pod con gruppi di sicurezza assegnati su nodi distribuiti in una sottorete privata configurata con un gateway NAT o un’istanza. I pod con gruppi di sicurezza assegnati distribuiti alle sottoreti pubbliche non sono in grado di accedere a Internet.

Se si utilizza la versione 1.11 o successiva del plugin con POD_SECURITY_GROUP_ENFORCING_MODE=standard, il traffico del pod destinato all’esterno del VPC è convertito nell’indirizzo IP dell’interfaccia di rete primaria dell’istanza. Per questo traffico sono utilizzate le regole nei gruppi di sicurezza per l’interfaccia di rete primaria, anziché le regole nei gruppi di sicurezza dei pod.

Per utilizzare le policy di rete Calico con pod associati ai gruppi di sicurezza, è necessario utilizzare la versione 1.11.0 o successiva del plugin CNI di Amazon VPC e impostare POD_SECURITY_GROUP_ENFORCING_MODE=standard. In caso contrario, i flussi di traffico da e verso i pod con gruppi di sicurezza associati non sono soggetti ad esecuzione su policy di rete Calico e la loro applicazione è esclusivamente limitata al gruppo di sicurezza Amazon EC2. Per aggiornare la versione di CNI di Amazon VPC, consulta la sezione Assegna IP ai pod con CNI di Amazon VPC

I pod in esecuzione su nodi Amazon EC2 che utilizzano gruppi di sicurezza in cluster che NodeLocal utilizzano DNSCache sono supportati solo con la versione 1.11.0 o successiva del plug-in Amazon VPC CNI e con =. POD_SECURITY_GROUP_ENFORCING_MODE standard Per aggiornare la versione del plug-in CNI di Amazon VPC, consulta la sezione Assegna IP ai pod con CNI di Amazon VPC

I gruppi di sicurezza per pod potrebbero portare a un aumento della latenza di avvio dei pod per quelli con un alto tasso di abbandono. Ciò è dovuto alla limitazione della velocità nel controller delle risorse.

L'ambito del gruppo di sicurezza EC2 è riportato in: Per ulteriori informazioni, consulta Security group. Pod-level

Se hai impostato POD_SECURITY_GROUP_ENFORCING_MODE=standard e AWS_VPC_K8S_CNI_EXTERNALSNAT=false, il traffico destinato agli endpoint esterni al VPC utilizza i gruppi di sicurezza del nodo, non i gruppi di sicurezza del pod.