Weisen Sie einzelnen pods Sicherheitsgruppen zu - Amazon EKS

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weisen Sie einzelnen pods Sicherheitsgruppen zu

Gilt für: Linux Knoten mit EC2 Amazon-Instances

Gilt für: Private Subnetze

Sicherheitsgruppen für die Pods Integration von EC2 Amazon-Sicherheitsgruppen mit KubernetesPods. Sie können EC2 Amazon-Sicherheitsgruppen verwenden, um Regeln zu definieren, die eingehenden und ausgehenden Netzwerkverkehr zu und von Pods diesen zulassen, den Sie auf Knoten bereitstellen, die auf vielen EC2 Amazon-Instance-Typen und Fargate laufen. Eine ausführliche Erläuterung dieser Funktion finden Sie im Blogbeitrag Einführung in Sicherheitsgruppen für Pods.

Kompatibilität mit Funktionen Amazon VPC CNI plugin for Kubernetes

Sie können Sicherheitsgruppen für Pods mit den folgenden Funktionen verwenden:

Überlegungen

Berücksichtigen Sie vor der Bereitstellung von Sicherheitsgruppen für Pods die folgenden Einschränkungen und Bedingungen:

  • Sicherheitsgruppen für Pods können nicht mit Windows-Knoten verwendet werden.

  • Sicherheitsgruppen für Pods können mit Clustern verwendet werden, die für die IPv6 Familie konfiguriert sind und EC2 Amazon-Knoten enthalten, indem Version 1.16.0 oder höher des VPC CNI Amazon-Plug-ins verwendet wird. Sie können Sicherheitsgruppen verwenden, um IPv6 Familien Pods mit Clustern zu konfigurieren, die nur Fargate-Knoten enthalten, indem Sie Version 1.7.7 oder höher des VPC CNI Amazon-Plug-ins verwenden. Weitere Informationen finden Sie unter Ordnen Sie Clustern und pods Diensten IPv6 Adressen zu

  • Sicherheitsgruppen für Pods werden von den meisten Nitro-basierten EC2 Amazon-Instance-Familien unterstützt, allerdings nicht von allen Generationen einer Familie. Beispielsweise werden die m5 r6g Instance-Familie und die Instance-Generationen c5 r5 m6gc6g,,,, und unterstützt. Es werden keine Instance-Typen in der t-Familie unterstützt. Eine vollständige Liste der unterstützten Instance-Typen finden Sie in der Datei limits.go unter. GitHub Ihre Knoten müssen von einem der aufgelisteten Instance-Typen sein, die in der Datei mit IsTrunkingCompatible: true gekennzeichnet sind.

  • Wenn Sie auch Pod-Sicherheitsrichtlinien verwenden, um den Zugriff auf die Pod-Mutation einzuschränken, dann muss der eks:vpc-resource-controller Kubernetes-Benutzer im Kubernetes ClusterRoleBinding für das role angegeben werden, dem Ihr psp zugewiesen ist. Wenn Sie das Standard-Amazon EKSpsp,role, und verwendenClusterRoleBinding, ist dies der eks:podsecuritypolicy:authenticatedClusterRoleBinding. Fügen Sie beispielsweise den Benutzer zum subjects:-Abschnitt hinzu, wie im folgenden Beispiel gezeigt:

    [...] subjects: - kind: Group apiGroup: rbac.authorization.k8s.io name: system:authenticated - apiGroup: rbac.authorization.k8s.io kind: User name: eks:vpc-resource-controller - kind: ServiceAccount name: eks-vpc-resource-controller
  • Wenn Sie benutzerdefinierte Netzwerk- und Sicherheitsgruppen für Pods zusammen verwenden, wird anstelle der in ENIConfig angegebenen Sicherheitsgruppe die durch Sicherheitsgruppen für Pods angegebene Sicherheitsgruppe verwendet.

  • Wenn Sie eine Version 1.10.2 oder eine frühere Version des VPC CNI Amazon-Plug-ins verwenden und die terminationGracePeriodSeconds Einstellung in Ihre Pod Spezifikation aufnehmen, darf der Wert für die Einstellung nicht Null sein.

  • Wenn Sie eine Version 1.10 oder eine frühere Version des VPC CNI Amazon-Plug-ins oder eine Version 1.11 mit POD_SECURITY_GROUP_ENFORCING_MODE = verwendenstrict, was die Standardeinstellung ist, werden Kubernetes Dienste des Typs NodePort und die LoadBalancer Verwendung von Instance-Zielen mit der externalTrafficPolicy Einstellung auf Local nicht unterstütztPods, wenn Sie Sicherheitsgruppen zuweisen. Weitere Informationen zur Verwendung eines Load Balancers mit Instance-Zielen finden Sie unter Route TCP und UDP Verkehr mit Network Load Balancers.

  • Wenn Sie eine Version 1.10 oder eine frühere Version des VPC CNI Amazon-Plug-ins oder eine Version 1.11 mit POD_SECURITY_GROUP_ENFORCING_MODE = verwendenstrict, was die Standardeinstellung ist, NAT ist die Quelle für ausgehenden Datenverkehr Pods mit zugewiesenen Sicherheitsgruppen deaktiviert, sodass die Regeln für ausgehende Sicherheitsgruppen angewendet werden. Um Pods mit zugewiesenen Sicherheitsgruppen auf das Internet zuzugreifen, müssen diese auf Knoten gestartet werden, die in einem privaten Subnetz bereitgestellt werden, das mit einem NAT Gateway oder einer Instance konfiguriert ist. Podsmit zugewiesenen Sicherheitsgruppen, die in öffentlichen Subnetzen bereitgestellt werden, können nicht auf das Internet zugreifen.

    Wenn Sie eine Version 1.11 oder eine neuere Version des Plug-ins mit POD_SECURITY_GROUP_ENFORCING_MODE = verwendenstandard, wird der Pod Datenverkehr, der für außerhalb von bestimmt VPC ist, in die IP-Adresse der primären Netzwerkschnittstelle der Instanz übersetzt. Für diesen Datenverkehr werden die Regeln in den Sicherheitsgruppen für die primäre Netzwerkschnittstelle anstelle der Regeln in den Pod's-Sicherheitsgruppen verwendet.

  • Um Calico Netzwerkrichtlinien zu verwendenPods, denen Sicherheitsgruppen zugeordnet sind, müssen Sie Version 1.11.0 oder höher des VPC CNI Amazon-Plug-ins verwenden und POD_SECURITY_GROUP_ENFORCING_MODE = setzenstandard. Andernfalls unterliegt der Datenfluss zu und von Pods den zugehörigen Sicherheitsgruppen nicht der Durchsetzung von Calico Netzwerkrichtlinien und ist nur auf die Durchsetzung von EC2 Amazon-Sicherheitsgruppen beschränkt. Informationen zum Aktualisieren Ihrer VPC CNI Amazon-Version finden Sie unter IPsDem Pods Amazon zuordnen VPC CNI

  • Podsläuft auf EC2 Amazon-Knoten, die Sicherheitsgruppen in Clustern verwenden, die verwenden, NodeLocalDNSCachewerden nur mit Version 1.11.0 oder höher des VPC CNI Amazon-Plug-ins und mit POD_SECURITY_GROUP_ENFORCING_MODE = unterstütztstandard. Informationen zum Aktualisieren Ihrer VPC CNI Amazon-Plug-in-Version finden Sie unter IPsDem Pods Amazon zuordnen VPC CNI

  • Sicherheitsgruppen für Pods können zu einer höheren Pod-Startlatenz für Pods mit hoher Abwanderung führen. Dies ist auf eine Ratenbegrenzung im Ressourcencontroller zurückzuführen.

  • Der Geltungsbereich der EC2 Sicherheitsgruppe liegt auf der Pod -Ebene. Weitere Informationen finden Sie unter Sicherheitsgruppe.

    Wenn Sie POD_SECURITY_GROUP_ENFORCING_MODE=standard und festlegen, VPC verwendet der DatenverkehrAWS_VPC_K8S_CNI_EXTERNALSNAT=false, der für Endpunkte außerhalb des Knotens bestimmt ist, die Sicherheitsgruppen des Knotens, nicht die Sicherheitsgruppen Pod des Knotens.