クラスターの Amazon EKS セキュリティグループ要件を表示する - Amazon EKS

クラスターの Amazon EKS セキュリティグループ要件を表示する

このトピックでは、Amazon EKS クラスターのセキュリティグループの要件について説明します。

デフォルトのクラスターセキュリティグループ

クラスターを作成すると、Amazon EKS により eks-cluster-sg-my-cluster-uniqueID という名前のセキュリティグループが作成されます。セキュリティグループには、デフォルトで次のルールがあります。

[Rule type] (ルールタイプ) プロトコル ポート 送信元 デスティネーション

インバウンド

すべて

すべて

自分

アウトバウンド

すべて

すべて

0.0.0.0/0 (IPv4) または ::/0 (IPv6)

重要

クラスターにアウトバウンドルールが必要ない場合は、削除できます。削除する場合でも、「クラスタートラフィックの制限」に記載されている最低限のルールが適用されます。インバウンドルールを削除すると、Amazon EKS はクラスターが更新されるたびにそのルールを再作成します。

Amazon EKS は次のタグをセキュリティグループに追加します。タグを削除した場合、Amazon EKS はクラスターが更新されるたびにこれらのタグをセキュリティグループに追加します。

キー

kubernetes.io/cluster/my-cluster

owned

aws:eks:cluster-name

my-cluster

Name

eks-cluster-sg-my-cluster-uniqueid

Amazon EKS は、同様に作成される次のリソースに、セキュリティグループを自動的に関連付けます。

  • 2—4 エラスティックネットワークインターフェイス (これ以降、ネットワークインターフェイス) は、クラスターの作成時に作成されます。

  • 作成したマネージドノードグループ内のノードのネットワークインターフェイス。

デフォルトのルールでは、すべてのトラフィックがクラスターとノード間で自由に行き来することができます。また、任意の送信先へのすべてのアウトバウンドトラフィックが許可されています。クラスターを作成すると、オプションで独自のセキュリティグループを指定できます。その場合、Amazon EKS は、指定したセキュリティグループをクラスター用に作成するネットワークインターフェイスにも関連付けます。ただし、作成したノードグループには関連付けられません。

クラスターのセキュリティグループの ID は、AWS Management Console のクラスターの [Networking] (ネットワーキング) セクションで確認できます。もしくは、次の AWS CLI コマンドを実行して確認できます。

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

クラスタートラフィックの制限

クラスターとノード間で開いているポートの数を制限する必要がある場合は、デフォルトのアウトバウンドルールを削除し、クラスターに必要な次の最低限のルールを追加できます。デフォルトのインバウンドルールを削除すると、Amazon EKS はクラスターが更新されるたびにそのルールを再作成します。

[Rule type] (ルールタイプ) プロトコル ポート デスティネーション

アウトバウンド

TCP

443

クラスターセキュリティグループ

アウトバウンド

TCP

10250

クラスターセキュリティグループ

アウトバウンド (DNS)

TCP と UDP

53

クラスターセキュリティグループ

次のトラフィックにもルールを追加する必要があります。

  • ノード間通信にノードが使用するプロトコルおよびポート。

  • アウトバウンドのインターネットアクセス。これによりノードが Amazon EKS API にアクセス可能になり、起動時のノードの登録やクラスターの詳細分析が行えます。ノードがインターネットにアクセスできない場合は、「インターネットアクセスが制限されたプライベートクラスターをデプロイする」でその他の考慮事項を参照してください。

  • Amazon ECR や、イメージをプルする必要があるその他のコンテナレジストリ (DockerHub など) からコンテナイメージをプルするためのノードのアクセス。詳細については、「AWS 全般のリファレンス」の「AWS IP アドレス範囲」を参照してください。

  • Amazon S3 へのノードのアクセス。

  • IPv4IPv6 アドレスが必要な個別のルール。

ルールの制限を検討している場合は、変更したルールを本番稼働用のクラスターに適用する前に、すべての Pods を徹底的にテストすることをお勧めします。

最初に Kubernetes 1.14eks.3 以前のプラットフォームバージョンを使用してクラスターをデプロイした場合は、次の点を考慮してください。

  • コントロールプレーンおよびノードセキュリティグループがある場合もあります。これらのグループの作成時、前の表に示した制限付きルールが含まれていました。これらのセキュリティグループは不要で、削除できます。ただし、それらのグループに含まれるルールがクラスターセキュリティグループに含まれていることを確認する必要があります。

  • API を使用してクラスターを直接デプロイした場合、または AWS CLI や AWS CloudFormation などのツールを使用してクラスターを作成しており、クラスター作成時にセキュリティグループを指定しなかった場合、Amazon EKS が作成したクラスターネットワークインターフェイスに VPC のデフォルトのセキュリティグループが適用されます。

共有セキュリティグループ

Amazon EKS は、共有セキュリティグループをサポートしています。

  • [セキュリティグループの VPC 関連付け] により、セキュリティグループは同じアカウントとリージョン内の複数の VPC に関連付けられます。

  • [共有セキュリティグループ] を使用すると、セキュリティグループを他の AWS アカウントと共有できます。アカウントは同じ AWS 組織内にある必要があります。

  • セキュリティグループは常に 1 つの AWS リージョンに制限されます。

Amazon EKS の考慮事項

  • EKS には、標準セキュリティグループと同じ共有セキュリティグループまたはマルチ VPC セキュリティグループの要件があります。