Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Considérations et exigences relatives aux groupes de sécurité Amazon EKS
Cette rubrique décrit les exigences de groupe de sécurité d'un cluster Amazon EKS.
Lorsque vous créez un cluster, Amazon EKS crée un groupe de sécurité nommé eks-cluster-sg-. Ce groupe de sécurité dispose des règles par défaut suivantes :my-cluster-uniqueID
| Type de règle | Protocole | Ports | Source | Destination |
|---|---|---|---|---|
|
Entrant |
Tous |
Tous |
Auto-utilisateur | |
|
Sortant |
Tous |
Tous |
0.0.0.0/0( |
Important
Si votre cluster n'a pas besoin de la règle sortante, vous pouvez la supprimer. Si vous la supprimez, vous devez toujours avoir les règles minimales énumérées dans la section Restriction du trafic du cluster. Si vous supprimez la règle entrante, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
Amazon EKS ajoute les balises suivantes au groupe de sécurité. Si vous supprimez les balises, Amazon EKS les ajoute à nouveau au groupe de sécurité à chaque fois que le cluster est mis à jour.
| Clé | Valeur |
|---|---|
kubernetes.io/cluster/ |
owned |
aws:eks:cluster-name |
|
Name |
eks-cluster-sg- |
Amazon EKS associe automatiquement ce groupe de sécurité aux ressources suivantes qu'il crée également :
-
2 à 4 interfaces réseau élastiques (désignées pour le reste de ce document sous le nom d'interface réseau) créés lors de la création de votre cluster.
-
Interfaces réseau des nœuds dans n'importe quel groupe de nœuds géré que vous créez.
Les règles par défaut permettent à tout le trafic de circuler librement entre votre cluster et vos nœuds, et autorise tout le trafic sortant vers n'importe quelle destination. Lorsque vous créez un cluster, spécifiez (éventuellement) vos propres groupes de sécurité. Si c'est le cas, Amazon EKS associe également les groupes de sécurité que vous spécifiez aux interfaces réseau qu'il crée pour votre cluster. Toutefois, il ne les associe à aucun groupe de nœuds que vous créez.
Vous pouvez déterminer l'ID du groupe de sécurité de votre cluster dans la AWS Management Console sous la section Networking (Mise en réseau) du cluster. Pour ce faire, vous pouvez également exécuter la commande AWS CLI suivante :
aws eks describe-cluster --namemy-cluster--query cluster.resourcesVpcConfig.clusterSecurityGroupId
Restriction du trafic de cluster
Si vous devez limiter les ports ouverts entre le cluster et les nœuds, vous pouvez supprimer la règle sortante par défaut et ajouter les règles minimales suivantes qui sont requises pour le cluster. Si vous supprimez la règle entrante par défaut, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
| Type de règle | Protocole | Port | Destination |
|---|---|---|---|
| Sortant | TCP |
443 |
Groupe de sécurité du cluster |
| Sortant | TCP |
10250 |
Groupe de sécurité du cluster |
| Sortant (DNS) | TCP et UDP | 53 | Groupe de sécurité du cluster |
Vous devez également ajouter des règles pour le trafic suivant :
-
Tout protocole et port que vos nœuds peuvent utiliser pour la communication entre les nœuds.
-
Accès Internet sortant afin que les nœuds puissent accéder aux API Amazon EKS pour l'introspection des clusters et l'enregistrement des nœuds au moment du lancement. Si vos nœuds n'ont pas accès à Internet, consultez Exigences relatives aux clusters privés pour des considérations supplémentaires.
-
L'accès du nœud pour récupérer les images de conteneurs depuis Amazon ECR ou d'autres registres de conteneurs nécessite l'utilisation des API dont ils ont besoin pour extraire des images, comme DockerHub. Pour plus d'informations, consultez AWS IP Address Ranges dans le manuel Références générales AWS.
-
Accès au nœud Amazon S3.
-
Des règles distinctes sont requises pour les adresses
IPv4etIPv6.
Si vous envisagez de limiter les règles, nous vous recommandons de tester minutieusement tous vos Pods avant d'appliquer les règles modifiées à un cluster de production.
Si vous avez initialement déployé un cluster avec Kubernetes version 1.14 et une version plateforme eks.3 ou antérieure, prenez en considération les éléments suivants :
-
Vous pouvez également disposer de groupes de sécurité de nœud et de plan de contrôle. Lorsque ces groupes ont été créés, ils incluaient les règles restreintes répertoriées dans le tableau précédent. Ces groupes de sécurité ne sont plus nécessaires et peuvent être supprimés. Toutefois, vous devez vous assurer que le groupe de sécurité de votre cluster contient les règles que ces groupes contiennent.
-
Si vous avez déployé le cluster directement à l'aide de l'API ou si vous avez utilisé un outil tel que la AWS CLI ou AWS CloudFormation pour créer le cluster et que vous n'avez pas spécifié de groupe de sécurité lors de la création du cluster, le groupe de sécurité par défaut du VPC a été appliqué aux interfaces réseau de cluster créées par Amazon EKS.
