Considerações e requisitos sobre grupos de segurança do Amazon EKS - Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Considerações e requisitos sobre grupos de segurança do Amazon EKS

Este tópico descreve os requisitos de grupos de segurança de um cluster do Amazon EKS.

Ao criar um cluster, o Amazon EKS cria um grupo de segurança com o nome eks-cluster-sg-my-cluster-uniqueID. Esse grupo de segurança tem as seguintes regras padrão:

Tipo de regra Protocolo Portas Origem Destino

Entrada

Todos

Todos

 Self

Saída

Todos

Todos

0.0.0.0/0 (IPv4) ou ::/0 (IPv6)
Importante

Se o cluster não precisar da regra de saída, você poderá removê-la. Se você a remover, ainda deverá ter as regras mínimas listadas em Restringir o tráfego do cluster. Se você remover a regra de entrada, o Amazon EKS a recriará sempre que o cluster for atualizado.

O Amazon EKS adiciona as tags a seguir ao grupo de segurança. Se você remover as tags, o Amazon EKS as adicionará novamente ao grupo de segurança sempre que o cluster for atualizado.

Chave Valor
kubernetes.io/cluster/my-cluster owned
aws:eks:cluster-name my-cluster
Name eks-cluster-sg-my-cluster-uniqueid

O Amazon EKS associa automaticamente esse grupo de segurança aos recursos a seguir, que ele também cria:

  • Duas a quatro interfaces de rede elásticas (chamadas no restante deste documento de interfaces de rede) que são criadas no momento em que você cria seu cluster.

  • Interfaces de rede dos nós em qualquer grupo de nós gerenciados que você cria.

As regras padrão permitem que todo o tráfego flua livremente entre o cluster e os nós e aceitam todo o tráfego de saída para qualquer destino. Ao criar um cluster, você tem a opção de especificar seus próprios grupos de segurança. Se fizer isso, o Amazon EKS também associará os grupos de segurança especificados às interfaces de rede que ele criar para o cluster. Porém, ele não os associa a nenhum grupo de nós que você criar.

É possível determinar o ID do grupo de segurança do cluster no AWS Management Console, na seção Networking (Redes) do cluster. Ou, você pode fazer isso executando o seguinte comando AWS CLI:

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Restringir o tráfego do cluster

Se for necessário limitar as portas abertas entre o cluster e os nós, você poderá remover as regras de saída padrão e adicionar as seguintes regras mínimas que são necessárias para o cluster. Se você remover a regra de entrada padrão, o Amazon EKS a recriará sempre que o cluster for atualizado.

Tipo de regra Protocolo Port Destino
Saída TCP

443

Security group de cluster
Saída TCP

10250

Security group de cluster
Saída (DNS) TCP e UDP 53 Security group de cluster

Também é necessário adicionar regras para o seguinte tráfego:

  • Qualquer protocolo e as portas que você espera que os nós usem para comunicação entre eles.

  • Acesso de saída à Internet, para que os nós possam acessar as APIs do Amazon EKS para introspecção de clusters e registro de nós no momento da execução. Se os nós não tiverem acesso à internet, confira Requisitos de clusters privados para conhecer considerações adicionais.

  • Acesso ao nó para obter imagens de contêiner do Amazon ECR ou de outras APIs de registros de contêiner dos quais eles precisem extrair imagens, p. ex., DockerHub. Para obter mais informações, consulte Intervalos de endereços IP da AWS no Referência geral da AWS.

  • Acesso do nó ao Amazon S3

  • Regras distintas são necessárias para endereços IPv4 e IPv6.

Se estiver pensando em limitar regras, recomendamos testar completamente todos os seus Pods antes de aplicar as regras modificadas a um cluster de produção.

Se você tiver implantado originalmente um cluster com o Kubernetes 1.14 e uma versão eks.3 ou anterior da plataforma, considere os pontos a seguir.

  • Também é possível ter grupos de segurança e nós do ambiente de gerenciamento. Quando esses grupos foram criados, eles incluíam as regras restritas listadas na tabela anterior. Esses grupos de segurança não são mais necessários e podem ser removidos. Porém, você precisa garantir que seu grupo de segurança de cluster contenha as regras que esses grupos contêm.

  • Se você implantou o cluster utilizando a API diretamente ou utilizou uma ferramenta como AWS CLI ou AWS CloudFormation para criá-lo e não especificou um grupo de segurança na criação do cluster, o grupo de segurança padrão da VPC foi aplicado às interfaces de rede do cluster que foram criadas pelo Amazon EKS.