Limitez pod le trafic grâce à des politiques Kubernetes réseau - Amazon EKS
Considérations

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitez pod le trafic grâce à des politiques Kubernetes réseau

Par défaut, il n'existe aucune restriction dans Kubernetes pour les adresses IP, les ports ou les connexions entre les Pods de votre cluster ou entre vos Pods et les ressources de tout autre réseau. Vous pouvez utiliser une stratégie réseau Kubernetes pour limiter le trafic réseau à destination et en provenance de vos Pods. Pour plus d'informations, consultez Stratégies réseau dans la documentation Kubernetes.

Si vous avez une version 1.13 ou antérieure du Amazon VPC CNI plugin for Kubernetes sur votre cluster, vous devez implémenter une solution tierce pour appliquer des stratégies réseau Kubernetes à votre cluster. La version 1.14 ou ultérieure du plug-in peut implémenter des politiques réseau, vous n'avez donc pas besoin d'utiliser une solution tierce. Dans cette rubrique, vous apprendrez à configurer votre cluster pour utiliser une stratégie réseau Kubernetes sur votre cluster sans utiliser de module complémentaire tiers.

Les stratégies réseau dans le Amazon VPC CNI plugin for Kubernetes sont prises en charge dans les configurations suivantes.

  • EKSClusters Amazon de version 1.25 et ultérieure.

  • Version 1.14 ou ultérieure du Amazon VPC CNI plugin for Kubernetes sur votre cluster.

  • Cluster configuré pour les adresses IPv4 ou IPv6.

  • Vous pouvez utiliser les stratégies réseau avec des groupes de sécurité pour les Pods. Grâce aux stratégies réseau, vous pouvez contrôler toutes les communications au sein du cluster. Avec les groupes de sécurité pourPods, vous pouvez contrôler l'accès Services AWS depuis les applications d'unPod.

  • Vous pouvez utiliser les stratégies réseau avec mise en réseau personnalisée et délégation de préfixes.

Considérations

  • Lorsque vous appliquez des politiques Amazon VPC CNI plugin for Kubernetes réseau à votre cluster avec le Amazon VPC CNI plugin for Kubernetes, vous pouvez appliquer les politiques uniquement aux nœuds Amazon EC2 Linux. Vous ne pouvez pas appliquer les stratégies aux nœuds Fargate ou Windows.

  • Si votre cluster utilise actuellement une solution tierce pour gérer les stratégies réseau Kubernetes, vous pouvez utiliser ces mêmes politiques avec le Amazon VPC CNI plugin for Kubernetes. Vous devez toutefois supprimer votre solution existante afin qu'elle ne gère pas les mêmes stratégies.

  • Vous pouvez appliquer plusieurs stratégies réseau à un même Pod. Lorsque deux stratégies ou plus sélectionnent le même Pod sont configurés, toutes les stratégies sont appliquées au Pod.

  • Le nombre maximum de combinaisons uniques de ports pour chaque protocole dans chaque egress: sélecteur ingress: d'une politique réseau est de 24.

  • Pour n'importe lequel de vos services Kubernetes, le port de service doit être le même que le port de conteneur. Si vous utilisez des ports nommés, utilisez également le même nom dans les spécifications du service.

  • La fonctionnalité de politique réseau crée et nécessite une définition de ressource PolicyEndpoint personnalisée (CRD) appeléepolicyendpoints.networking.k8s.aws. PolicyEndpointles objets de la ressource personnalisée sont gérés par AmazonEKS. Vous ne devez ni modifier ni supprimer ces ressources.

  • Si vous exécutez des pods qui utilisent les IAM informations d'identification du rôle d'instance ou si vous vous connectez au EC2IMDS, veillez à vérifier les politiques réseau qui bloqueraient l'accès au EC2IMDS. Vous devrez peut-être ajouter une politique réseau pour autoriser l'accès à EC2IMDS. Pour plus d'informations, consultez la section Métadonnées de l'instance et données utilisateur dans le guide de EC2 l'utilisateur Amazon.

    Les pods qui utilisent IAMdes rôles pour les comptes de service n'y accèdent pas EC2IMDS.

  • Le Amazon VPC CNI plugin for Kubernetes n'applique pas les politiques réseau aux interfaces réseau supplémentaires pour chaque pod, mais uniquement à l'interface principale pour chaque pod (eth0). Cela concerne les architectures suivantes :

    • IPv6 pods dont la variable ENABLE_V4_EGRESS est définie sur true. Cette variable permet à la fonction de IPv4 sortie de connecter les IPv6 pods à des IPv4 points de terminaison tels que ceux situés en dehors du cluster. La fonction de IPv4 sortie fonctionne en créant une interface réseau supplémentaire avec une adresse de boucle locale. IPv4

    • Lorsque vous utilisez des plugins réseau enchaînés tels queMultus. Comme ces plug-ins ajoutent des interfaces réseau à chaque pod, les politiques réseau ne sont pas appliquées aux plug-ins réseau chaînés.