Assegna gruppi di sicurezza a singoli Pods - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna gruppi di sicurezza a singoli Pods

Si applica a: Linux nodi con EC2 istanze Amazon

Si applica a: sottoreti private

Gruppi di sicurezza per Pods integra i gruppi EC2 di sicurezza Amazon con Kubernetes Pods. Puoi utilizzare i gruppi EC2 di sicurezza di Amazon per definire regole che consentono il traffico di rete in entrata e in uscita da e verso Pods che distribuisci su nodi in esecuzione su molti tipi di EC2 istanze Amazon e Fargate. Per una spiegazione dettagliata di questa funzionalità, consulta il post sul blog Introducing security groups for Pods.

Compatibilità con Amazon VPC CNI plugin for Kubernetes caratteristiche

È possibile utilizzare i gruppi di sicurezza per Pods con le seguenti funzionalità:

Considerazioni

Prima di distribuire i gruppi di sicurezza per Pods, considera le seguenti limitazioni e condizioni:

  • Gruppi di sicurezza per Pods non può essere usato con Windows nodi.

  • Gruppi di sicurezza per Pods può essere utilizzato con cluster configurati per la IPv6 famiglia che contiene EC2 nodi Amazon utilizzando la versione 1.16.0 o successiva del plug-in Amazon VPC CNI. Puoi utilizzare i gruppi di sicurezza per Pods con cluster configura una IPv6 famiglia che contiene solo nodi Fargate utilizzando la versione 1.7.7 o successiva del plug-in Amazon VPC CNI. Per ulteriori informazioni, consulta Scopri IPv6 gli indirizzi verso i cluster, Podse servizi

  • Gruppi di sicurezza per Pods sono supportate dalla maggior parte delle famiglie di EC2 istanze Amazon basate su Nitro, ma non da tutte le generazioni di una famiglia. Ad esempio, sono supportate la m5 famiglia e le generazioni m6gc6g,,, e r6g instance. c5 r5 Non è supportato alcun tipo di istanza nella famiglia t. Per un elenco completo dei tipi di istanze supportati, consulta il file limits.go su GitHub. I nodi devono essere uno dei tipi di istanza elencati presenti IsTrunkingCompatible: true in quel file.

  • Se stai utilizzando anche Pod politiche di sicurezza a cui limitare l'accesso Pod mutazione, quindi il eks:vpc-resource-controller Kubernetes l'utente deve essere specificato nel Kubernetes ClusterRoleBindingper role quello a cui psp è assegnato il tuo. Se utilizzi Amazon EKS predefinitopsp, e roleClusterRoleBinding, questo è il eks:podsecuritypolicy:authenticatedClusterRoleBinding. Ad esempio, aggiungi l'utente alla sezione subjects:, come mostrato nell'esempio seguente:

    [...] subjects: - kind: Group apiGroup: rbac.authorization.k8s.io name: system:authenticated - apiGroup: rbac.authorization.k8s.io kind: User name: eks:vpc-resource-controller - kind: ServiceAccount name: eks-vpc-resource-controller
  • Se utilizzi gruppi di rete e sicurezza personalizzati per Pods insieme, il gruppo di sicurezza specificato dai gruppi di sicurezza per Pods viene utilizzato al posto del gruppo di sicurezza specificato inENIConfig.

  • Se utilizzi una versione 1.10.2 o una precedente del plug-in Amazon VPC CNI e includi l'terminationGracePeriodSecondsimpostazione nel Pod spec, il valore dell'impostazione non può essere zero.

  • Se utilizzi una versione 1.10 o una precedente del plug-in Amazon VPC CNI o una versione 1.11 con POD_SECURITY_GROUP_ENFORCING_MODE =strict, che è l'impostazione predefinita, allora Kubernetes i servizi di tipo NodePort e LoadBalancer l'utilizzo di obiettivi di istanza con un externalTrafficPolicy set to Local non sono supportati con Pods a cui assegni i gruppi di sicurezza. Per ulteriori informazioni sull'utilizzo di un load balancer con target di istanza, consultare Route TCP e UDP traffico con Network Load Balancers.

  • Se utilizzi una versione 1.10 o una precedente del plug-in Amazon VPC CNI o una versione 1.11 con POD_SECURITY_GROUP_ENFORCING_MODE =strict, che è l'impostazione predefinita, il NAT di origine è disabilitato per il traffico in uscita da Pods con gruppi di sicurezza assegnati in modo da applicare le regole dei gruppi di sicurezza in uscita. Per accedere a Internet, Pods con gruppi di sicurezza assegnati deve essere avviato su nodi distribuiti in una sottorete privata configurata con un gateway o un'istanza NAT. Pods con gruppi di sicurezza assegnati distribuiti su sottoreti pubbliche non sono in grado di accedere a Internet.

    Se stai usando una versione 1.11 o successiva del plugin con POD_SECURITY_GROUP_ENFORCING_MODE =, allora standard Pod il traffico destinato all'esterno del VPC viene tradotto nell'indirizzo IP dell'interfaccia di rete principale dell'istanza. Per questo traffico, vengono utilizzate le regole dei gruppi di sicurezza per l'interfaccia di rete principale, anziché le regole del Pod’s gruppi di sicurezza.

  • Per utilizzare Calico politica di rete con Pods a cui sono associati gruppi di sicurezza, è necessario utilizzare la versione 1.11.0 o successiva del plug-in Amazon VPC CNI e impostare =. POD_SECURITY_GROUP_ENFORCING_MODE standard Altrimenti, il traffico fluisce da e verso Pods con i gruppi di sicurezza associati non sono soggetti a Calico applicazione delle policy di rete e sono limitate solo all'applicazione EC2 dei gruppi di sicurezza di Amazon. Per aggiornare la versione di CNI di Amazon VPC, consulta la sezione Assegna IPs a Pods con Amazon VPC CNI

  • Pods in esecuzione su EC2 nodi Amazon che utilizzano gruppi di sicurezza in cluster che utilizzano NodeLocal DNSCachesono supportati solo con la versione 1.11.0 o successiva del plug-in Amazon VPC CNI e con =. POD_SECURITY_GROUP_ENFORCING_MODE standard Per aggiornare la versione del plug-in CNI di Amazon VPC, consulta la sezione Assegna IPs a Pods con Amazon VPC CNI

  • Gruppi di sicurezza per Pods potrebbe portare a un aumento Pod latenza di avvio per Pods con tasso di abbandono elevato. Ciò è dovuto alla limitazione della velocità nel controller delle risorse.

  • L'ambito del gruppo di EC2 sicurezza è Pod-level - Per ulteriori informazioni, vedere Gruppo di sicurezza.

    Se imposti POD_SECURITY_GROUP_ENFORCING_MODE=standard eAWS_VPC_K8S_CNI_EXTERNALSNAT=false, il traffico destinato agli endpoint esterni al VPC utilizza i gruppi di sicurezza del nodo, non il Pod’s gruppi di sicurezza.