Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

クラスターの Amazon EKS セキュリティグループ要件を表示する

フォーカスモード
クラスターの Amazon EKS セキュリティグループ要件を表示する - アマゾン EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

このトピックでは、Amazon EKS クラスターのセキュリティグループの要件について説明します。

デフォルトのクラスターセキュリティグループ

クラスターを作成すると、Amazon EKS により eks-cluster-sg-my-cluster-uniqueID という名前のセキュリティグループが作成されます。セキュリティグループには、デフォルトで次のルールがあります。

ルールタイプ プロトコル ポート 送信元 デスティネーション

インバウンド

すべて

すべて

自分

アウトバウンド

すべて

すべて

0.0.0.0/0 (IPv4) または ::/0 (IPv6)

重要

クラスターにアウトバウンドルールが必要ない場合は、削除できます。削除する場合でも、「クラスタートラフィックの制限」に記載されている最低限のルールが適用されます。インバウンドルールを削除すると、Amazon EKS はクラスターが更新されるたびにそのルールを再作成します。

Amazon EKS は次のタグをセキュリティグループに追加します。タグを削除した場合、Amazon EKS はクラスターが更新されるたびにこれらのタグをセキュリティグループに追加します。

キー

kubernetes.io/cluster/my-cluster

owned

aws:eks:cluster-name

my-cluster

Name

eks-cluster-sg-my-cluster-uniqueid

Amazon EKS は、同様に作成される次のリソースに、セキュリティグループを自動的に関連付けます。

  • 2—4 エラスティックネットワークインターフェイス (これ以降、ネットワークインターフェイス) は、クラスターの作成時に作成されます。

  • 作成したマネージドノードグループ内のノードのネットワークインターフェイス。

デフォルトのルールでは、すべてのトラフィックがクラスターとノード間で自由に行き来することができます。また、任意の送信先へのすべてのアウトバウンドトラフィックが許可されています。クラスターを作成すると、オプションで独自のセキュリティグループを指定できます。その場合、Amazon EKS は、指定したセキュリティグループをクラスター用に作成するネットワークインターフェイスにも関連付けます。ただし、作成したノードグループには関連付けられません。

クラスターのセキュリティグループの ID は、AWS Management Console のクラスターの [Networking] (ネットワーキング) セクションで確認できます。もしくは、次の AWS CLI コマンドを実行して確認できます。

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

クラスタートラフィックの制限

クラスターとノード間で開いているポートの数を制限する必要がある場合は、デフォルトのアウトバウンドルールを削除し、クラスターに必要な次の最低限のルールを追加できます。デフォルトのインバウンドルールを削除すると、Amazon EKS はクラスターが更新されるたびにそのルールを再作成します。

ルールタイプ プロトコル ポート デスティネーション

アウトバウンド

TCP

443

クラスターセキュリティグループ

アウトバウンド

TCP

10250

クラスターセキュリティグループ

アウトバウンド (DNS)

TCP と UDP

53

クラスターセキュリティグループ

次のトラフィックにもルールを追加する必要があります。

  • ノード間通信にノードが使用するプロトコルおよびポート。

  • アウトバウンドのインターネットアクセス。これによりノードが Amazon EKS API にアクセス可能になり、起動時のノードの登録やクラスターの詳細分析が行えます。ノードがインターネットにアクセスできない場合は、「インターネットアクセスが制限されたプライベートクラスターをデプロイする」でその他の考慮事項を参照してください。

  • Amazon ECR や、イメージをプルする必要があるその他のコンテナレジストリ (DockerHub など) からコンテナイメージをプルするためのノードのアクセス。詳細については、「AWS 全般のリファレンス」の「AWS IP アドレス範囲」を参照してください。

  • Amazon S3 へのノードのアクセス。

  • IPv4IPv6 アドレスが必要な個別のルール。

  • ハイブリッドノードを使用している場合は、クラスターに追加のセキュリティグループを追加して、オンプレミスのノードやポッドとの通信を許可する必要があります。詳細については、「ハイブリッドノード用のネットワークを準備する」を参照してください。

ルールの制限を検討している場合は、変更したルールを本番稼働用のクラスターに適用する前に、すべての Pods を徹底的にテストすることをお勧めします。

最初に Kubernetes 1.14eks.3 以前のプラットフォームバージョンを使用してクラスターをデプロイした場合は、次の点を考慮してください。

  • コントロールプレーンおよびノードセキュリティグループがある場合もあります。これらのグループの作成時、前の表に示した制限付きルールが含まれていました。これらのセキュリティグループは不要で、削除できます。ただし、それらのグループに含まれるルールがクラスターセキュリティグループに含まれていることを確認する必要があります。

  • API を使用してクラスターを直接デプロイした場合、または AWS CLI や AWS CloudFormation などのツールを使用してクラスターを作成しており、クラスター作成時にセキュリティグループを指定しなかった場合、Amazon EKS が作成したクラスターネットワークインターフェイスに VPC のデフォルトのセキュリティグループが適用されます。

共有セキュリティグループ

Amazon EKS は、共有セキュリティグループをサポートしています。

  • [セキュリティグループの VPC 関連付け] により、セキュリティグループは同じアカウントとリージョン内の複数の VPC に関連付けられます。

  • [共有セキュリティグループ] を使用すると、セキュリティグループを他の AWS アカウントと共有できます。アカウントは同じ AWS 組織内にある必要があります。

  • セキュリティグループは常に 1 つの AWS リージョンに制限されます。

Amazon EKS の考慮事項

  • EKS には、標準セキュリティグループと同じ共有セキュリティグループまたはマルチ VPC セキュリティグループの要件があります。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.