Assegnazione dei gruppi di sicurezza ai singoli pods

IPv4Source Network Address Translation - Per ulteriori informazioni, vedereAbilita l'accesso a Internet in uscita per pods.

IPv6indirizzi a cluster, pod e servizi - Per ulteriori informazioni, consulta. Assegna IPv6 indirizzi a cluster e pods servizi

Limitazione del traffico utilizzando i criteri di Kubernetes rete - Per ulteriori informazioni, vedere. Limita pod il traffico con politiche di Kubernetes rete

I gruppi di sicurezza per i Pods non possono essere utilizzati con i nodi Windows.

I gruppi di sicurezza per Pods possono essere utilizzati con cluster configurati per la IPv6 famiglia che contiene EC2 nodi Amazon utilizzando la versione 1.16.0 o successiva del plug-in Amazon. VPC CNI Puoi utilizzare i gruppi di sicurezza per la Pods IPv6 famiglia di configurazione dei cluster che contiene solo nodi Fargate utilizzando la versione 1.7.7 o successiva del plug-in Amazon. VPC CNI Per ulteriori informazioni, consulta Assegna IPv6 indirizzi a cluster e pods servizi

I gruppi di sicurezza per Pods sono supportati dalla maggior parte delle famiglie di EC2 istanze Amazon basate su Nitro, ma non da tutte le generazioni di una famiglia. Ad esempio, sono supportate la m5 famiglia e le generazioni r5 m6gc6g,,, e r6g Instance. c5 Non è supportato alcun tipo di istanza nella famiglia t. Per un elenco completo dei tipi di istanze supportati, consulta il file limits.go su. GitHub I nodi devono essere uno dei tipi di istanza elencati che contengono IsTrunkingCompatible: true nel file.

Se utilizzi anche le policy di sicurezza dei Pod per limitare l'accesso alla mutazione del Pod, allora l'utente eks:vpc-resource-controller Kubernetes deve essere specificato in ClusterRoleBinding Kubernetes per il role a cui è assegnato il psp. Se utilizzi l'Amazon predefinito EKSpsp, e roleClusterRoleBinding, questo è il eks:podsecuritypolicy:authenticatedClusterRoleBinding. Ad esempio, aggiungi l'utente alla sezione subjects:, come mostrato nell'esempio seguente:

[...]
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: eks:vpc-resource-controller
  - kind: ServiceAccount
    name: eks-vpc-resource-controller

Se si utilizzano allo stesso tempo una rete personalizzata e i gruppi di sicurezza per i Pods, il gruppo di sicurezza specificato dai gruppi di sicurezza per i Pods viene utilizzato in alternativa al gruppo di sicurezza specificato nella ENIConfig.

Se utilizzi una versione 1.10.2 o una precedente del VPC CNI plug-in Amazon e includi l'terminationGracePeriodSecondsimpostazione nelle Pod specifiche, il valore dell'impostazione non può essere zero.

Se utilizzi una versione 1.10 o una precedente del VPC CNI plug-in Amazon o una versione 1.11 con POD_SECURITY_GROUP_ENFORCING_MODE =, che è l'impostazione predefinitastrict, i Kubernetes servizi di tipo NodePort e l'LoadBalancerutilizzo di destinazioni di istanza con un externalTrafficPolicy set to Local non sono supportati ai gruppi di sicurezza a Pods cui assegni i gruppi di sicurezza. Per ulteriori informazioni sull'utilizzo di un load balancer con target di istanza, consultare Percorso TCP e UDP traffico con Network Load Balancers.

Se utilizzi una versione 1.10 o una precedente del VPC CNI plug-in Amazon o la versione 1.11 con POD_SECURITY_GROUP_ENFORCING_MODE =strict, che è l'impostazione predefinita, la fonte NAT è disabilitata per il traffico in uscita proveniente da gruppi di sicurezza Pods assegnati in modo che vengano applicate le regole del gruppo di sicurezza in uscita. Per accedere a Internet, i gruppi di sicurezza Pods assegnati devono essere avviati su nodi distribuiti in una sottorete privata configurata con un gateway o un'NATistanza. Podscon i gruppi di sicurezza assegnati distribuiti su sottoreti pubbliche non sono in grado di accedere a Internet.

Se utilizzi una versione 1.11 o successiva del plug-in con POD_SECURITY_GROUP_ENFORCING_MODE =standard, il Pod traffico destinato all'esterno di VPC viene tradotto nell'indirizzo IP dell'interfaccia di rete principale dell'istanza. Per questo traffico vengono utilizzate le regole nei gruppi di sicurezza per l'interfaccia di rete primaria, anziché le regole nei gruppi di sicurezza dei Pod's.

Per utilizzare la politica di Calico rete con Pods i gruppi di sicurezza associati, devi utilizzare la versione 1.11.0 o successiva del VPC CNI plug-in Amazon e impostare POD_SECURITY_GROUP_ENFORCING_MODE =standard. In caso contrario, il flusso di traffico da e verso i gruppi di sicurezza Pods associati non è soggetto all'applicazione delle policy di Calico rete e si limita esclusivamente all'applicazione dei gruppi EC2 di sicurezza di Amazon. Per aggiornare la tua VPC CNI versione di Amazon, consulta Assegna IPs a Pods con Amazon VPC CNI

Podsin esecuzione su EC2 nodi Amazon che utilizzano gruppi di sicurezza in cluster che utilizzano NodeLocalDNSCachesono supportati solo con la versione 1.11.0 o successiva del VPC CNI plug-in Amazon e con POD_SECURITY_GROUP_ENFORCING_MODE =standard. Per aggiornare la versione del VPC CNI plug-in Amazon, consulta Assegna IPs a Pods con Amazon VPC CNI

I gruppi di sicurezza per Pods potrebbero portare a un aumento della latenza di startup dei Pod per i Pods con un alto tasso di abbandono. Ciò è dovuto alla limitazione della velocità nel controller delle risorse.

L'ambito del gruppo di EC2 sicurezza è a Pod livello -level: per ulteriori informazioni, consulta Security group.

Se imposti POD_SECURITY_GROUP_ENFORCING_MODE=standard andAWS_VPC_K8S_CNI_EXTERNALSNAT=false, il traffico destinato agli endpoint esterni VPC utilizza i gruppi di sicurezza del nodo, non i gruppi di sicurezza Pod del nodo.