EKSAmazon-Sicherheitsgruppenanforderungen für Cluster anzeigen - Amazon EKS
Standardmäßige Cluster-SicherheitsgruppeEinschränken des Clusterverkehrs

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKSAmazon-Sicherheitsgruppenanforderungen für Cluster anzeigen

In diesem Thema werden die Sicherheitsgruppenanforderungen eines EKS Amazon-Clusters beschrieben.

Standardmäßige Cluster-Sicherheitsgruppe

Wenn Sie einen Cluster erstellen, EKS erstellt Amazon eine Sicherheitsgruppe mit dem Nameneks-cluster-sg-my-cluster-uniqueID. Diese Sicherheitsgruppe hat die folgenden Standardregeln:

Regeltyp Protocol (Protokoll) Ports Quelle Ziel

Eingehend

Alle

Alle

 Selbst

Ausgehend

Alle

Alle

0.0.0.0/0 (IPv4) oder ::/0 (IPv6)
Wichtig

Wenn Ihr Cluster die ausgehende Regel nicht benötigt, können Sie sie entfernen. Wenn Sie es entfernen, müssen Sie immer noch über die Mindestregeln verfügen, die unter Einschränkung des Cluster-Datenverkehrs aufgeführt sind. Wenn Sie die Regel für eingehenden Datenverkehr entfernen, EKS erstellt Amazon sie bei jeder Aktualisierung des Clusters neu.

Amazon EKS fügt der Sicherheitsgruppe die folgenden Tags hinzu. Wenn Sie die Tags entfernen, EKS fügt Amazon sie bei jeder Aktualisierung Ihres Clusters wieder der Sicherheitsgruppe hinzu.

Schlüssel Wert
kubernetes.io/cluster/my-cluster owned
aws:eks:cluster-name my-cluster
Name eks-cluster-sg-my-cluster-uniqueid

Amazon ordnet diese Sicherheitsgruppe EKS automatisch den folgenden Ressourcen zu, die es ebenfalls erstellt:

  • 2 bis 4 Elastic-Network-Schnittstellen (für den Rest dieses Dokuments als Netzwerkschnittstelle bezeichnet), die beim Anlegen des Clusters erstellt werden.

  • Netzwerkschnittstellen der Knoten in jeder verwalteten Knotengruppe, die Sie erstellen.

Die Standardregeln ermöglichen es, dass der gesamte Datenverkehr frei zwischen Ihrem Cluster und Ihren Knoten fließt. Außerdem lassen sie den gesamten ausgehenden Datenverkehr zu jedem Ziel zu. Beim Erstellen eines Clusters können Sie (optional) Ihre eigenen Sicherheitsgruppen angeben. Wenn Sie dies tun, ordnet Amazon die von Ihnen angegebenen Sicherheitsgruppen EKS auch den Netzwerkschnittstellen zu, die es für Ihren Cluster erstellt. Es verknüpft sie jedoch nicht mit Knotengruppen, die Sie erstellen.

Sie können die ID Ihrer Cluster-Sicherheitsgruppe im AWS Management Console Abschnitt Netzwerk des Clusters ermitteln. Sie können dies auch tun, indem Sie den folgenden AWS CLI Befehl ausführen.

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Einschränken des Clusterverkehrs

Wenn Sie die offenen Ports zwischen dem Cluster und den Knoten einschränken müssen, können Sie die standardmäßige Ausgangsregel entfernen und die folgenden Mindestregeln hinzufügen, die für den Cluster erforderlich sind. Wenn Sie die Standardregel für eingehenden Datenverkehr entfernen, EKS erstellt Amazon sie bei jeder Aktualisierung des Clusters neu.

Regeltyp Protocol (Protokoll) Port Bestimmungsort
Ausgehend TCP

443

Cluster-Sicherheitsgruppe
Ausgehend TCP

10250

Cluster-Sicherheitsgruppe
Ausgehend () DNS TCPund UDP 53 Cluster-Sicherheitsgruppe

Sie müssen auch Regeln für den folgenden Datenverkehr hinzufügen:

  • Jedes Protokoll und alle Ports, von dem Sie erwarten, dass Ihre Knoten für die Kommunikation zwischen Knoten verwenden

  • Ausgehender Internetzugang, sodass Knoten EKS APIs zur Cluster-Introspektion und Knotenregistrierung beim Start auf Amazon zugreifen können. Wenn Ihre Knoten keinen Internetzugang haben, lesen Sie Stellen Sie private Cluster mit eingeschränktem Internetzugang bereit für weitere Hinweise.

  • Knotenzugriff zum Abrufen von Container-Images von Amazon ECR oder anderen Container-RegisternAPIs, aus denen sie Bilder abrufen müssen, wie DockerHub z. Weitere Informationen finden Sie unter AWS IP-Adressbereiche im Allgemeine AWS-Referenz.

  • Knotenzugriff auf Amazon S3.

  • Für IPv4- und IPv6-Adressen sind separate Regeln erforderlich

Wenn Sie Regelbeschränkungen planen, empfehlen wir, alle Pods gründlich zu testen, bevor Sie Ihre geänderten Regeln auf einen Produktionscluster anwenden.

Wenn Sie ursprünglich einen Cluster mit Kubernetes 1.14 und der Plattformversion eks.3 oder älter bereitgestellt haben, dann bedenken Sie Folgendes:

  • Möglicherweise gibt es Sicherheitsgruppen für die Steuerebene und Knoten. Als diese Gruppen erstellt wurden, enthielten sie die in der vorherigen Tabelle aufgeführten eingeschränkten Regeln. Diese Sicherheitsgruppen sind nicht mehr erforderlich und können entfernt werden. Sie müssen jedoch sicherstellen, dass Ihre Cluster-Sicherheitsgruppe die Regeln enthält, die diese Gruppen enthalten.

  • Wenn Sie den Cluster API direkt mit dem bereitgestellt haben oder ein Tool wie den AWS CLI oder AWS CloudFormation zum Erstellen des Clusters verwendet haben und Sie bei der Clustererstellung keine Sicherheitsgruppe angegeben haben, VPC wurde die Standardsicherheitsgruppe für auf die Cluster-Netzwerkschnittstellen angewendet, die Amazon EKS erstellt hat.