協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
想要為此使用者指南做出貢獻? 捲動至此頁面底部,然後選取編輯此頁面 GitHub。您的貢獻將幫助我們的使用者指南更適合每個人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視叢集的 Amazon EKS安全群組需求
本主題說明 Amazon EKS叢集的安全群組需求。
預設叢集安全群組
當您建立叢集時,Amazon EKS會建立名為 的安全群組eks-cluster-sg-。安全性群組具有以下預設規則:my-cluster-uniqueID
| 規則類型 | 通訊協定 | 連接埠 | 來源 | 目的地 |
|---|---|---|---|---|
|
傳入 |
全部 |
全部 |
自我 |
|
|
傳出 |
全部 |
全部 |
0.0.0.0/0( |
重要
如果您的叢集不需要傳出規則,您可以將其移除。如果將其移除,您仍必須具有限制叢集流量中列出的最低規則。如果您移除傳入規則,Amazon 會在叢集更新時EKS重新建立它。
Amazon 會將下列標籤EKS新增至安全群組。如果您移除標籤,每當您的叢集更新時,Amazon 都會將標籤EKS加回安全群組。
| 金鑰 | 值 |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS會自動將此安全群組與其也建立的下列資源建立關聯:
-
2—4 個彈性網路界面(本文件的其餘部分稱為網路界面),網路界面於叢集建立時建立。
-
您建立的任何受管節點群組中節點的網路界面。
此安全群組的設計目的是允許來自控制平面和 受管節點群組的所有流量彼此之間可以自由流動,以及允許所有的輸出流量流往任何目的地。當您建立叢集時,您可以(選用)指定自己的安全群組。如果您這樣做,Amazon EKS也會將您指定的安全群組與其為叢集建立的網路介面建立關聯。不過,它不會將它們與您建立的任何節點群組建立關聯。
您可以在叢集的網路區段 AWS Management Console 下的 中,判斷叢集安全群組的 ID。或者,您可以執行下列 AWS CLI 命令,即可執行這項操作:
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
限制叢集流量
如果您需要限制叢集和節點之間的開放連接埠,則可以移除預設傳出規則,並且新增叢集所需的下列最低規則:如果您移除預設傳入規則,Amazon 會在叢集更新時EKS重新建立它。
| 規則類型 | 通訊協定 | 連線埠 | 目的地 |
|---|---|---|---|
|
傳出 |
TCP |
443 |
叢集安全群組 |
|
傳出 |
TCP |
10250 |
叢集安全群組 |
|
傳出 (DNS) |
TCP 和 UDP |
53 |
叢集安全群組 |
您還必須為以下流量新增規則:
-
您預期節點用於節點間通訊的任何通訊協定和連接埠。
-
傳出網際網路存取,讓節點可以在啟動時存取 Amazon EKS APIs 以進行叢集自我檢查和節點註冊。如果您的節點沒有網際網路存取,請檢閱網際網路存取有限的部署私有叢集,以了解其他考量事項。
-
從 Amazon ECR或其他容器登錄檔中提取容器映像APIs的節點存取,這些容器登錄檔需要從中提取映像,例如 DockerHub。 如需詳細資訊,請參閱 AWS 一般參考中的 AWS IP 地址範圍。
-
節點對 Amazon S3 進行存取。
-
需要
IPv4和IPv6地址的個別規則。 -
如果您使用的是混合節點,則必須將額外的安全群組新增至叢集,以允許與內部部署節點和 Pod 通訊。如需詳細資訊,請參閱準備混合節點的聯網。
如果您正在考慮限制規則,建議您徹底測試所有 Pods 再將已變更的規則套用至生產叢集。
如果您最初使用 部署叢集 Kubernetes 1.14 和 eks.3或更早版本的平台,請考慮下列事項:
-
您可能還擁有控制平面和節點安全群組。建立這些群組時,群組包括之前的表格中列出的受限制的規則。不再需要這些安全群組,可以進行移除。但是,您需要確定您的叢集安全群組包含那些群組包含的規則。
-
如果您使用 API直接部署叢集,或是使用 AWS CLI或 等工具 AWS CloudFormation 來建立叢集,而且未在叢集建立時指定安全群組,則 的預設安全群組VPC會套用至 Amazon EKS建立的叢集網路介面。
共用安全群組
Amazon EKS支援共用安全群組。
-
安全群組VPC關聯會將安全群組與相同帳戶和區域中VPCs的多個 建立關聯。
-
了解如何在 Amazon VPC使用者指南中將安全群組與多個群組建立關聯VPCs。
-
-
共用安全群組可讓您與其他 AWS 帳戶共用安全群組。帳戶必須位於相同的 AWS 組織。
-
了解如何在 Amazon VPC使用者指南中與組織共用安全群組。
-
-
安全群組一律僅限於單一 AWS 區域。
Amazon 的考量事項 EKS
-
EKS 具有與標準安全群組相同的共用或多VPC安全群組需求。
