Requisitos y consideraciones sobre grupos de seguridad de Amazon EKS - Amazon EKS

Requisitos y consideraciones sobre grupos de seguridad de Amazon EKS

En este tema se describen los requisitos del grupo de seguridad de un clúster de Amazon EKS.

Al crear un clúster, Amazon EKS crea un grupo de seguridad denominado eks-cluster-sg-my-cluster-uniqueID. Este grupo de seguridad tiene las siguientes reglas de forma predeterminada:

Tipo de regla Protocolo Puertos Fuente Destino

Entrada

Todos

Todos

El mismo

Salida

Todos

Todos

0.0.0.0/0 (IPv4) o ::/0 (IPv6)

importante

Si su clúster no necesita la regla de salida, puede eliminarla. Si la elimina, debe seguir teniendo las reglas mínimas enumeradas en Restricción del tráfico del clúster. Si elimina la regla de entrada, Amazon EKS la vuelve a crear cada vez que se actualice el clúster.

Amazon EKS agrega las siguientes etiquetas al grupo de seguridad. Si elimina las etiquetas, Amazon EKS las vuelve a agregar al grupo de seguridad cada vez que se actualice el clúster.

Clave Valor
kubernetes.io/cluster/my-cluster owned
aws:eks:cluster-name my-cluster

Amazon EKS asocia automáticamente este grupo de seguridad a los siguientes recursos que también crea:

  • De 2 a 4 interfaces de red elásticas (denominadas para el resto de este documento como interfaz de red) que se crean al crear el clúster.

  • Interfaces de redes de los nodos de cualquier grupo de nodos administrado que cree.

Las reglas predeterminadas permiten que todo el tráfico fluya libremente entre el clúster y los nodos, y permite que todo el tráfico saliente llegue a cualquier destino. Al crear un clúster, puede especificar (opcionalmente) sus propios grupos de seguridad. Si lo hace, Amazon EKS también asocia los grupos de seguridad especificados a las interfaces de red que crea para su clúster. Sin embargo, no los asocia a ningún grupo de nodos que cree.

Puede determinar el ID del grupo de seguridad de clúster en la AWS Management Console bajo la sección Networking (Redes) del clúster. O, puede hacerlo ejecutando el siguiente comando AWS CLI.

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Restringir el tráfico del clúster

Si debe limitar los puertos abiertos entre el clúster y los nodos, puede eliminar la regla de salida predeterminada y agregar las siguientes reglas mínimas requeridas para el clúster. Si elimina la regla de entrada predeterminada, Amazon EKS la vuelve a crear cada vez que se actualice el clúster.

Tipo de regla Protocolo Port Destino
Salida TCP

443

Grupo de seguridad de clúster

Salida TCP

10250

Grupo de seguridad de clúster

Saliente (DNS) TCP y UDP 53 Grupo de seguridad de clúster

También debe agregar reglas para el siguiente tráfico:

  • Cualquier protocolo que los puertos que espera que sus nodos usen para la comunicación entre nodos

  • Acceso de salida de Internet para que los nodos puedan acceder a las API de Amazon EKS a fin de realizar la introspección del clúster y el registro de nodos en el momento del lanzamiento. Si los nodos no tienen acceso a Internet, revise Requisitos del clúster privado para obtener consideraciones adicionales.

  • Acceso a los nodos para extraer imágenes de contenedor de Amazon ECR u otras API de registros de contenedor del que necesiten extraer imágenes, como DockerHub. Para obtener más información, consulte Rangos de direcciones IP de AWS en la Referencia general de AWS.

  • Acceso de nodo a Amazon S3.

  • Se requieren reglas separadas para las direcciones IPv4 y IPv6.

Si está considerando limitar las reglas, le recomendamos que pruebe detenidamente todos los pods antes de aplicar las reglas modificadas a un clúster de producción.

Si implementó originalmente un clúster con Kubernetes 1.14 y una versión de plataforma de eks.3 o anterior, tenga en cuenta lo siguiente:

  • Puede que también tenga grupos de seguridad de nodo y plano de control. Cuando se crearon estos grupos, incluyeron las reglas restringidas enumeradas en la tabla anterior. Estos grupos de seguridad ya no son necesarios y se pueden quitar. Sin embargo, debe asegurarse de que el grupo de seguridad del clúster contiene las reglas que contienen esos grupos.

  • Si ha implementado el clúster utilizando la API directamente o ha utilizado una herramienta como la AWS CLI o AWS CloudFormation para crear el clúster y no especificó un grupo de seguridad al crear el clúster, el grupo de seguridad predeterminado para la VPC se aplicó a las interfaces de red del clúster que creó Amazon EKS.