協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 基礎設施安全 EKS
作為一項受管服務,Amazon Elastic Kubernetes Service 受到全球網路安 AWS 全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全
您可以使用 AWS 已發佈的API呼叫EKS透過網路存取 Amazon。使用者端必須支援下列專案:
-
傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。
-
具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。
建立 Amazon EKS 叢集時,請指定叢集要使用的VPC子網路。Amazon EKS 需要至少兩個可用區域中的子網路。我們建議VPC使用公用和私有子網路,Kubernetes以便在公用子網路中建立公用負載平衡器,以便將流量負載平衡到在私有子網路中的節點上Pods執行。
如需VPC考量事項的詳細資訊,請參閱檢視VPC和子EKS網路的 Amazon 聯網需求。
如果您使用開始使用 Amazon EKS逐步解說中提供的 AWS CloudFormation 範本建立VPC和節點群組,則您的控制平面和節點安全性群組會使用我們建議的設定進行設定。
如需安全群組考量的詳細資訊,請參閱 檢視叢集的 Amazon EKS 安全群組需求。
當您建立新叢集時,Amazon EKS 會為您用來與叢集通訊的受管KubernetesAPI伺服器建立端點 (使用Kubernetes管理工具,例如kubectl)。根據預設,此API伺服器端點對網際網路是公用的,而且API伺服器的存取是使用 AWS Identity and Access Management (IAM) 和原生Kubernetes角色型存取控制
您可以啟用對KubernetesAPI伺服器的私人存取,以便節點與伺API服器之間的所有通訊都保持在您的VPC. 您可以限制可以從互聯網訪問API服務器的 IP 地址,或完全禁用對API服務器的互聯網訪問。
如需修改叢集端點存取的詳細資訊,請參閱 修改叢集端點存取。
您可以使用 Amazon VPC CNI 或第三方工具 (例如 Project
