Hilf mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Weisen Sie einzelnen pods Sicherheitsgruppen zu
Gilt für: Linux Knoten mit EC2 Amazon-Instances
Gilt für: Private Subnetze
Sicherheitsgruppen für die Pods Integration von EC2 Amazon-Sicherheitsgruppen mit KubernetesPods. Sie können EC2 Amazon-Sicherheitsgruppen verwenden, um Regeln zu definieren, die eingehenden und ausgehenden Netzwerkverkehr zu und von Pods diesen zulassen, den Sie auf Knoten bereitstellen, die auf vielen EC2 Amazon-Instance-Typen und Fargate laufen. Eine ausführliche Erläuterung dieser Funktion finden Sie im Blogbeitrag Einführung in Sicherheitsgruppen für Pods
Kompatibilität mit Funktionen Amazon VPC CNI plugin for Kubernetes
Sie können Sicherheitsgruppen für Pods mit den folgenden Funktionen verwenden:
-
IPv4Übersetzung der Quell-Netzwerkadresse — Weitere Informationen finden Sie unterAusgehenden Internetzugang aktivieren für pods.
-
IPv6Adressen für Cluster, Pods und Dienste — Weitere Informationen finden Sie unterOrdnen Sie Clustern und pods Diensten IPv6 Adressen zu.
-
Beschränken des Datenverkehrs mithilfe von Kubernetes Netzwerkrichtlinien — Weitere Informationen finden Sie unterBeschränken Sie pod den Verkehr mit Kubernetes Netzwerkrichtlinien.
Überlegungen
Berücksichtigen Sie vor der Bereitstellung von Sicherheitsgruppen für Pods die folgenden Einschränkungen und Bedingungen:
-
Sicherheitsgruppen für Pods können nicht mit Windows-Knoten verwendet werden.
-
Sicherheitsgruppen für Pods können mit Clustern verwendet werden, die für die
IPv6
Familie konfiguriert sind und EC2 Amazon-Knoten enthalten, indem Version 1.16.0 oder höher des VPC CNI Amazon-Plug-ins verwendet wird. Sie können Sicherheitsgruppen verwenden, umIPv6
Familien Pods mit Clustern zu konfigurieren, die nur Fargate-Knoten enthalten, indem Sie Version 1.7.7 oder höher des VPC CNI Amazon-Plug-ins verwenden. Weitere Informationen finden Sie unter Ordnen Sie Clustern und pods Diensten IPv6 Adressen zu -
Sicherheitsgruppen für Pods werden von den meisten Nitro-basierten EC2 Amazon-Instance-Familien unterstützt, allerdings nicht von allen Generationen einer Familie. Beispielsweise werden die
m5
r6g
Instance-Familie und die Instance-Generationenc5
r5
m6g
c6g
,,,, und unterstützt. Es werden keine Instance-Typen in dert
-Familie unterstützt. Eine vollständige Liste der unterstützten Instance-Typen finden Sie in der Datei limits.gounter. GitHub Ihre Knoten müssen von einem der aufgelisteten Instance-Typen sein, die in der Datei mit IsTrunkingCompatible: true
gekennzeichnet sind. -
Wenn Sie auch Pod-Sicherheitsrichtlinien verwenden, um den Zugriff auf die Pod-Mutation einzuschränken, dann muss der
eks:vpc-resource-controller
Kubernetes-Benutzer im KubernetesClusterRoleBinding
für dasrole
angegeben werden, dem Ihrpsp
zugewiesen ist. Wenn Sie das Standard-Amazon EKSpsp
,role
, und verwendenClusterRoleBinding
, ist dies dereks:podsecuritypolicy:authenticated
ClusterRoleBinding
. Fügen Sie beispielsweise den Benutzer zumsubjects:
-Abschnitt hinzu, wie im folgenden Beispiel gezeigt:[...] subjects: - kind: Group apiGroup: rbac.authorization.k8s.io name: system:authenticated - apiGroup: rbac.authorization.k8s.io kind: User name: eks:vpc-resource-controller - kind: ServiceAccount name: eks-vpc-resource-controller
-
Wenn Sie benutzerdefinierte Netzwerk- und Sicherheitsgruppen für Pods zusammen verwenden, wird anstelle der in
ENIConfig
angegebenen Sicherheitsgruppe die durch Sicherheitsgruppen für Pods angegebene Sicherheitsgruppe verwendet. -
Wenn Sie eine Version
1.10.2
oder eine frühere Version des VPC CNI Amazon-Plug-ins verwenden und dieterminationGracePeriodSeconds
Einstellung in Ihre Pod Spezifikation aufnehmen, darf der Wert für die Einstellung nicht Null sein. -
Wenn Sie eine Version
1.10
oder eine frühere Version des VPC CNI Amazon-Plug-ins oder eine Version1.11
mitPOD_SECURITY_GROUP_ENFORCING_MODE
= verwendenstrict
, was die Standardeinstellung ist, werden Kubernetes Dienste des TypsNodePort
und dieLoadBalancer
Verwendung von Instance-Zielen mit derexternalTrafficPolicy
Einstellung aufLocal
nicht unterstütztPods, wenn Sie Sicherheitsgruppen zuweisen. Weitere Informationen zur Verwendung eines Load Balancers mit Instance-Zielen finden Sie unter Route TCP und UDP Verkehr mit Network Load Balancers. -
Wenn Sie eine Version
1.10
oder eine frühere Version des VPC CNI Amazon-Plug-ins oder eine Version1.11
mitPOD_SECURITY_GROUP_ENFORCING_MODE
= verwendenstrict
, was die Standardeinstellung ist, NAT ist die Quelle für ausgehenden Datenverkehr Pods mit zugewiesenen Sicherheitsgruppen deaktiviert, sodass die Regeln für ausgehende Sicherheitsgruppen angewendet werden. Um Pods mit zugewiesenen Sicherheitsgruppen auf das Internet zuzugreifen, müssen diese auf Knoten gestartet werden, die in einem privaten Subnetz bereitgestellt werden, das mit einem NAT Gateway oder einer Instance konfiguriert ist. Podsmit zugewiesenen Sicherheitsgruppen, die in öffentlichen Subnetzen bereitgestellt werden, können nicht auf das Internet zugreifen.Wenn Sie eine Version
1.11
oder eine neuere Version des Plug-ins mitPOD_SECURITY_GROUP_ENFORCING_MODE
= verwendenstandard
, wird der Pod Datenverkehr, der für außerhalb von bestimmt VPC ist, in die IP-Adresse der primären Netzwerkschnittstelle der Instanz übersetzt. Für diesen Datenverkehr werden die Regeln in den Sicherheitsgruppen für die primäre Netzwerkschnittstelle anstelle der Regeln in den Pod's-Sicherheitsgruppen verwendet. -
Um Calico Netzwerkrichtlinien zu verwendenPods, denen Sicherheitsgruppen zugeordnet sind, müssen Sie Version
1.11.0
oder höher des VPC CNI Amazon-Plug-ins verwenden undPOD_SECURITY_GROUP_ENFORCING_MODE
= setzenstandard
. Andernfalls unterliegt der Datenfluss zu und von Pods den zugehörigen Sicherheitsgruppen nicht der Durchsetzung von Calico Netzwerkrichtlinien und ist nur auf die Durchsetzung von EC2 Amazon-Sicherheitsgruppen beschränkt. Informationen zum Aktualisieren Ihrer VPC CNI Amazon-Version finden Sie unter IPsDem Pods Amazon zuordnen VPC CNI -
Podsläuft auf EC2 Amazon-Knoten, die Sicherheitsgruppen in Clustern verwenden, die verwenden, NodeLocalDNSCache
werden nur mit Version 1.11.0
oder höher des VPC CNI Amazon-Plug-ins und mitPOD_SECURITY_GROUP_ENFORCING_MODE
= unterstütztstandard
. Informationen zum Aktualisieren Ihrer VPC CNI Amazon-Plug-in-Version finden Sie unter IPsDem Pods Amazon zuordnen VPC CNI -
Sicherheitsgruppen für Pods können zu einer höheren Pod-Startlatenz für Pods mit hoher Abwanderung führen. Dies ist auf eine Ratenbegrenzung im Ressourcencontroller zurückzuführen.
-
Der Geltungsbereich der EC2 Sicherheitsgruppe liegt auf der Pod -Ebene. Weitere Informationen finden Sie unter Sicherheitsgruppe.
Wenn Sie
POD_SECURITY_GROUP_ENFORCING_MODE=standard
und festlegen, VPC verwendet der DatenverkehrAWS_VPC_K8S_CNI_EXTERNALSNAT=false
, der für Endpunkte außerhalb des Knotens bestimmt ist, die Sicherheitsgruppen des Knotens, nicht die Sicherheitsgruppen Pod des Knotens.