選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

檢視叢集的 Amazon EKS 安全群組需求

PDF
RSS
焦點模式
檢視叢集的 Amazon EKS 安全群組需求 - Amazon EKS
預設叢集安全群組限制叢集流量共用安全群組

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的 GitHub 上的編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的 GitHub 上的編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本主題說明 Amazon EKS 叢集的安全群組要求。

預設叢集安全群組

當您建立叢集時,Amazon EKS 會建立名為 的安全群組eks-cluster-sg-my-cluster-uniqueID 。安全性群組具有以下預設規則:

規則類型 通訊協定 連接埠 來源 目的地

傳入

全部

全部

自我

傳出

全部

全部

0.0.0.0/0(IPv4) 或 ::/0 (IPv6)
重要

如果您的叢集不需要傳出規則,您可以將其移除。如果將其移除,您仍必須具有限制叢集流量中列出的最低規則。如果您移除傳入規則,則 Amazon EKS 會在叢集更新時重新建立該規則。

Amazon EKS 會將下列標籤新增至安全群組。如果您移除標籤,則 Amazon EKS 會在叢集更新時將其新增回安全群組。

金鑰

kubernetes.io/cluster/my-cluster

owned

aws:eks:cluster-name

my-cluster

Name

eks-cluster-sg-my-cluster-uniqueid

Amazon EKS 會自動將此安全群組與以下資源關聯,其資源也會建立:

  • 2—4 個彈性網路界面(本文件的其餘部分稱為網路界面),網路界面於叢集建立時建立。

  • 您建立的任何受管節點群組中節點的網路界面。

此安全群組的設計目的是允許來自控制平面和 受管節點群組的所有流量彼此之間可以自由流動,以及允許所有的輸出流量流往任何目的地。當您建立叢集時,您可以(選用)指定自己的安全群組。如果您指定自己的安全群組,則 Amazon EKS 還會將您指定的安全群組與為叢集建立的網路界面建立關聯。不過,它不會將它們與您建立的任何節點群組建立關聯。

您可以在叢集的聯網區段 AWS Management Console 下的 中,判斷叢集安全群組的 ID。或者,您可以執行下列 CLI AWS 命令來執行此操作。

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

限制叢集流量

如果您需要限制叢集和節點之間的開放連接埠,則可以移除預設傳出規則,並且新增叢集所需的下列最低規則:如果您移除預設傳入規則,Amazon EKS 會在叢集更新時重新建立該規則。

規則類型 通訊協定 連線埠 目的地

傳出

TCP

443

叢集安全群組

傳出

TCP

10250

叢集安全群組

傳出 (DNS)

TCP 和 UDP

53

叢集安全群組

您還必須為以下流量新增規則:

  • 您預期節點用於節點間通訊的任何通訊協定和連接埠。

  • 需要對外網際網路存取,以便叢集在啟動時存取 Amazon EKS API,進行叢集自我檢查和節點註冊。如果您的節點沒有網際網路存取,請檢閱網際網路存取受限的部署私有叢集以取得其他考量。

  • 需要虛擬節點存取以從 Amazon ECR 或是從提取映像所需的其他容器登錄檔 API 提取映像,例如 DockerHub。如需詳細資訊,請參閱《 AWS 一般參考》中的 AWS IP 地址範圍

  • 節點對 Amazon S3 進行存取。

  • 需要 IPv4IPv6 地址的個別規則。

  • 如果您使用的是混合節點,則必須將額外的安全群組新增至叢集,以允許與內部部署節點和 Pod 通訊。如需詳細資訊,請參閱準備混合節點的聯網

如果您考慮限制規則,建議您先徹底測試所有 Pod,再將已變更的規則套用至生產叢集。

如果您最初使用 Kubernetes 1.14eks.3 平台版本或更舊版本部署叢集,則請考慮下列事項:

  • 您可能還擁有控制平面和節點安全群組。建立這些群組時,群組包括之前的表格中列出的受限制的規則。不再需要這些安全群組,可以進行移除。但是,您需要確定您的叢集安全群組包含那些群組包含的規則。

  • 如果您直接使用 API 部署叢集,或使用 CLI AWS 或 AWS CloudFormation 等工具來建立叢集,且未在叢集建立時指定安全群組,則 VPC 的預設安全群組會套用至 Amazon EKS 建立的叢集網路介面。

共用安全群組

Amazon EKS 支援共用安全群組。

Amazon EKS 的考量事項

  • EKS 具有與標準安全群組相同的共用或多 VPC 安全群組需求。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。