Helfen Sie mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Infrastruktursicherheit in Amazon EKS
Als verwalteter Service ist Amazon Elastic Kubernetes Service durch die AWS globale Netzwerksicherheit von geschützt. Informationen zu AWS Sicherheitsservices und wie die Infrastruktur AWS schützt, finden Sie unter AWS Cloud-Sicherheit
Sie verwenden durch AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon EKS zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Wenn Sie einen Amazon-EKS-Cluster erstellen, geben Sie die VPC-Subnetze an, die Ihr Cluster verwenden soll. Amazon EKS erfordert Subnetze in mindestens zwei Availability Zones. Wir empfehlen eine VPC mit öffentlichen und privaten Subnetzen, damit Kubernetes öffentliche Load Balancer in den öffentlichen Subnetzen erstellen kann, die den Datenverkehr auf Pods ausgleichen, die auf Knoten in privaten Subnetzen laufen.
Weitere Informationen zu Überlegungen bezüglich der VPC finden Sie unter Amazon EKS: VPC- und Subnetz-Anforderungen und -Überlegungen.
Wenn Sie Ihre VPC und Knotengruppen mit den in der Erste Schritte mit Amazon EKS Anleitung bereitgestellten AWS CloudFormation Vorlagen erstellen, werden Ihre Steuerebene und Knotensicherheitsgruppen mit unseren empfohlenen Einstellungen konfiguriert.
Weitere Informationen zu Überlegungen bezüglich Sicherheitsgruppen finden Sie unter Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe.
Wenn Sie einen neuen Cluster erstellen, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server, über den Sie mit Ihrem Cluster kommunizieren (mit Kubernetes-Verwaltungswerkzeugen wie kubectl). Standardmäßig ist dieser API-Server-Endpunkt öffentlich im Internet zugänglich und der Zugriff auf den API-Server wird durch eine Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetesrollenbasierter Zugriffskontrolle
Sie können den privaten Zugriff auf den Kubernetes-API-Server aktivieren, sodass die gesamte Kommunikation zwischen Ihren Knoten und dem API-Server innerhalb Ihrer VPC bleibt. Sie können die IP-Adressen einschränken, die über das Internet auf Ihren API-Server zugreifen können, oder den Internetzugriff auf den API-Server vollständig deaktivieren.
Weitere Informationen zum Ändern des Zugriffs auf Cluster-Endpunke finden Sie unter Ändern des Cluster-Endpunktzugriffs.
Sie können Kubernetes-Netzwerkrichtlinien mit Amazon VPC CNI oder Tools von Drittanbietern wie Project Calico
