Grupo de segurança do cluster padrão Restringir o tráfego do cluster Grupos de segurança compartilhados

Exibir os requisitos para grupos de segurança do Amazon EKS em clusters

Este tópico descreve os requisitos de grupos de segurança de um cluster do Amazon EKS.

Grupo de segurança do cluster padrão

Ao criar um cluster, o Amazon EKS cria um grupo de segurança com o nome eks-cluster-sg-my-cluster-uniqueID. Esse grupo de segurança tem as seguintes regras padrão:

Tipo de regra	Protocolo	Portas	Origem	Destino
Entrada	Todos	Todos	Self
Saída	Todos	Todos		0.0.0.0/0(`IPv4`) ou ::/0 (`IPv6`)

Importante

Se o cluster não precisar da regra de saída, você poderá removê-la. Se você a remover, ainda deverá ter as regras mínimas listadas em Restringir o tráfego do cluster. Se você remover a regra de entrada, o Amazon EKS a recriará sempre que o cluster for atualizado.

O Amazon EKS adiciona as tags a seguir ao grupo de segurança. Se você remover as tags, o Amazon EKS as adicionará novamente ao grupo de segurança sempre que o cluster for atualizado.

Chave	Valor
`kubernetes.io/cluster/my-cluster`	`owned`
`aws:eks:cluster-name`	`my-cluster`
`Name`	`eks-cluster-sg-my-cluster-uniqueid`

O Amazon EKS associa automaticamente esse grupo de segurança aos recursos a seguir, que ele também cria:

Duas a quatro interfaces de rede elásticas (chamadas no restante deste documento de interfaces de rede) que são criadas no momento em que você cria seu cluster.
Interfaces de rede dos nós em qualquer grupo de nós gerenciados que você cria.

As regras padrão permitem que todo o tráfego flua livremente entre o cluster e os nós e aceitam todo o tráfego de saída para qualquer destino. Ao criar um cluster, você tem a opção de especificar seus próprios grupos de segurança. Se fizer isso, o Amazon EKS também associará os grupos de segurança especificados às interfaces de rede que ele criar para o cluster. Porém, ele não os associa a nenhum grupo de nós que você criar.

É possível determinar o ID do grupo de segurança do cluster no AWS Management Console, na seção Networking (Redes) do cluster. Ou você pode fazer isso executando o seguinte comando da CLI AWS.


aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Restringir o tráfego do cluster

Se for necessário limitar as portas abertas entre o cluster e os nós, você poderá remover as regras de saída padrão e adicionar as seguintes regras mínimas que são necessárias para o cluster. Se você remover a regra de entrada padrão, o Amazon EKS a recriará sempre que o cluster for atualizado.

Tipo de regra	Protocolo	Port (Porta)	Destino
Saída	TCP	443	Security group de cluster
Saída	TCP	10250	Security group de cluster
Saída (DNS)	TCP e UDP	53	Security group de cluster

Também é necessário adicionar regras para o seguinte tráfego:

Qualquer protocolo e as portas que você espera que os nós usem para comunicação entre eles.
Acesso de saída à Internet, para que os nós possam acessar as APIs do Amazon EKS para introspecção de clusters e registro de nós no momento da execução. Se os nós não tiverem acesso à Internet, consulte Implantar clusters privados com acesso limitado à Internet para conhecer considerações adicionais.
Acesso ao nó para obter imagens de contêiner do Amazon ECR ou de outras APIs de registros de contêiner dos quais eles precisem extrair imagens, p. ex., DockerHub. Para obter mais informações, consulte Intervalos de endereços IP da AWS na Referência geral da AWS.
Acesso do nó ao Amazon S3
Regras distintas são necessárias para endereços IPv4 e IPv6.
Caso esteja usando nós híbridos, você deverá adicionar um grupo de segurança complementar ao cluster para permitir a comunicação com os nós e pods on-premises. Para ter mais informações, consulte Preparar a rede para nós híbridos.

Se estiver pensando em limitar regras, recomendamos testar completamente todos os seus Pods antes de aplicar as regras modificadas a um cluster de produção.

Se você tiver implantado originalmente um cluster com o Kubernetes 1.14 e uma versão eks.3 ou anterior da plataforma, considere os pontos a seguir.

Também é possível ter grupos de segurança e nós do ambiente de gerenciamento. Quando esses grupos foram criados, eles incluíam as regras restritas listadas na tabela anterior. Esses grupos de segurança não são mais necessários e podem ser removidos. Porém, você precisa garantir que seu grupo de segurança de cluster contenha as regras que esses grupos contêm.
Se você implantou o cluster usando a API diretamente ou usou uma ferramenta como AWS CLI ou AWS CloudFormation para criar o cluster e não especificou um grupo de segurança na criação do cluster, o grupo de segurança padrão para o VPC foi aplicado às interfaces de rede do cluster que o Amazon EKS criou.

Grupos de segurança compartilhados

O Amazon EKS oferece suporte a grupos de segurança compartilhados.

As associações de VPC de grupos de segurança associam grupos de segurança a várias VPCs na mesma conta e região.
- Saiba como associar grupos de segurança a várias VPCs no Guia do usuário da Amazon VPC.
Os grupos de segurança compartilhados permitem que você compartilhe grupos de segurança com outras contas da AWS. As contas devem fazer parte da mesma organização da AWS.
- Saiba como Compartilhar grupos de segurança com organizações no Guia do usuário da Amazon VPC.
Os grupos de segurança estão sempre limitados a uma única região da AWS.

Considerações sobre o Amazon EKS

O EKS tem os mesmos requisitos de grupos de segurança compartilhados ou de várias VPCs que os grupos de segurança padrão.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Crie uma VPC

Gerenciar os complementos de redes