为节点配置高级安全设置

本主题介绍如何使用节点类中指定的 advancedSecurity 规范来为 Amazon EKS 自动模式节点配置高级安全设置。

先决条件

在开始之前，请确保您满足以下条件：

• Amazon EKS 自动模式集群。有关更多信息，请参阅 创建启用 Amazon EKS 自动模式的集群。

• 安装并配置了 kubectl。有关更多信息，请参阅 进行设置以使用 Amazon EKS。

• 了解节点类配置。有关更多信息，请参阅 为 Amazon EKS 创建节点类。

配置高级安全设置

要为节点配置高级安全设置，请设置节点类规范中的 advancedSecurity 字段：

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

应用此配置：

kubectl apply -f nodeclass.yaml

在节点池配置中引用此节点类。有关更多信息，请参阅 为 EKS 自动模式创建节点池。

字段描述

• fips（布尔值，可选）：设置为 true 时，使用具有 FIPS 140-2 验证的加密模块的 AMI 预置节点。此设置选择符合 FIPS 的 AMI；客户需负责管理其相关的合规性要求。有关更多信息，请参阅 AWS FIPS 合规性。默认值：false。

• kernelLockdown（字符串，可选）：控制内核锁定安全模块模式。接受的值：

  • integrity：阻止用于覆盖内核内存或修改内核代码的方法。防止加载未签名的内核模块。

  • none：禁用内核锁定保护。

    有关更多信息，请参阅 Linux 内核锁定文档。

注意事项

• 符合 FIPS 的 AMI 在 AWS 美国东部/西部、AWS GovCloud（美国）和 AWS 加拿大（中部/西部）区域可用。有关更多信息，请参阅 AWS FIPS 合规性。

• 使用 kernelLockdown: "integrity" 时，请确保您的工作负载不需要加载未签名的内核模块或修改内核内存。

相关资源

• 为 Amazon EKS 创建节点类：完整的节点类配置指南

• 为 EKS 自动模式创建节点池：节点池配置