Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni e requisiti relativi al gruppo di sicurezza Amazon EKS
In questo argomento vengono descritti i requisiti relativi al gruppo di sicurezza per un cluster Amazon EKS.
Quando si crea un cluster, Amazon EKS crea un gruppo di sicurezza denominato eks-cluster-sg-. Questo gruppo di sicurezza presenta le regole predefinite seguenti:my-cluster-uniqueID
| Tipo di regola | Protocollo | Porte | Origine | Destinazione |
|---|---|---|---|---|
|
In entrata |
Tutti |
Tutti |
Personale | |
|
In uscita |
Tutti |
Tutti |
0.0.0.0/0 ( |
Importante
Se il tuo cluster non necessita della regola in uscita, puoi rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi la regola in entrata, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.
Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon EKS li aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.
| Chiave | Valore |
|---|---|
kubernetes.io/cluster/ |
owned |
aws:eks:cluster-name |
|
Name |
eks-cluster-sg- |
Amazon EKS crea le risorse riportate di seguito e le associa automaticamente a questo gruppo di sicurezza:
-
2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.
-
Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.
Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon EKS associa i gruppi di sicurezza specificati alle interfacce di rete create per il cluster, ma non li associa ai gruppi di nodi.
Puoi specificare l'ID del gruppo di sicurezza del cluster nella AWS Management Console all'interno della sezione Reti. In alternativa, puoi eseguire il comando AWS CLI seguente.
aws eks describe-cluster --namemy-cluster--query cluster.resourcesVpcConfig.clusterSecurityGroupId
Limitazione del traffico cluster
Se è necessario limitare le porte aperte tra il cluster e i nodi, puoi rimuovere la regola in uscita predefinita e aggiungere le regole minime necessarie per il cluster. Se rimuovi la regola in ingresso predefinita, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.
| Tipo di regola | Protocollo | Porta | Destinazione |
|---|---|---|---|
| In uscita | TCP |
443 |
Gruppo di sicurezza del cluster |
| In uscita | TCP |
10250 |
Gruppo di sicurezza del cluster |
| In uscita (DNS) | TCP e UDP | 53 | Gruppo di sicurezza del cluster |
È inoltre necessario aggiungere regole per il traffico seguente:
-
Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.
-
Accesso a Internet in uscita, in modo che i nodi possano accedere alle API di Amazon EKS per l'introspezione del cluster e la registrazione dei nodi al momento del lancio. Se i nodi non hanno accesso a Internet, consulta Requisiti dei cluster privati per ulteriori considerazioni.
-
Accesso ai nodi per estrarre le immagini del container da Amazon ECR o da altre API dei registri del container da cui è necessario estrarre le immagini, ad esempio DockerHub. Per ulteriori informazioni, consulta Intervalli di indirizzi IP di AWS nella Riferimenti generali di AWS.
-
Accesso dei nodi ad Amazon S3.
-
Sono necessarie regole separate per gli indirizzi
IPv4eIPv6.
Se stai pianificando una limitazione delle regole, ti consigliamo di testare accuratamente tutti i Pods prima di applicare le regole modificate a un cluster di produzione.
Se precedentemente hai implementato un cluster con 1.14 Kubernetes e una versione della piattaforma eks.3 o precedente, considera quanto segue:
-
È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.
-
Se il cluster è stato implementato utilizzando direttamente l'API o è stato creato tramite uno strumento come AWS CLI o AWS CloudFormation senza specificare alcun un gruppo di sicurezza, alle interfacce di rete del cluster create da Amazon EKS viene applicato il gruppo di sicurezza predefinito del VPC.
