設定節點的進階安全設定

本主題說明如何使用節點類別中的advancedSecurity規格來設定 Amazon EKS Auto Mode 節點的進階安全設定。

先決條件

開始前，請確保您具備以下條件：

• 一個 Amazon EKS 自動模式叢集。如需詳細資訊，請參閱使用 Amazon EKS 自動模式建立叢集。

• kubectl 已安裝並已設定。如需詳細資訊，請參閱設定以使用 Amazon EKS。

• 了解節點類別組態。如需詳細資訊，請參閱建立 Amazon EKS 的節點類別。

設定進階安全設定

若要設定節點的進階安全設定，請在節點類別規格中設定advancedSecurity欄位：

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

套用此組態：

kubectl apply -f nodeclass.yaml

在您的節點集區組態中參考此節點類別。如需詳細資訊，請參閱為 EKS 自動模式建立節點集區。

欄位描述

• fips （布林值，選用）：設為 時true， 會使用具有 FIPS 140-2 驗證密碼編譯模組的 AMIs 佈建節點。此設定會選取符合 FIPS 標準的 AMIs；客戶負責管理其合規要求。如需詳細資訊，請參閱 AWS FIPS 合規。預設：false。

• kernelLockdown （字串，選用）：控制核心鎖定安全模組模式。接受的值：

  • integrity：封鎖覆寫核心記憶體或修改核心程式碼的方法。防止未簽署的核心模組載入。

  • none：停用核心鎖定保護。

    如需詳細資訊，請參閱 Linux 核心鎖定文件。

考量事項

• FIPS 相容的 AMIs 適用於 AWS 美國東部/西部、 AWS GovCloud (US) 和 AWS 加拿大 （中部/西部） 區域。如需詳細資訊，請參閱 AWS FIPS 合規。

• 使用 時kernelLockdown: "integrity"，請確保您的工作負載不需要載入未簽署的核心模組或修改核心記憶體。

相關資源

• 建立 Amazon EKS 的節點類別 - 完成節點類別組態指南

• 為 EKS 自動模式建立節點集區 - 節點集區組態