Begrenzen Sie den Pod-Datenverkehr mit Kubernetes-Netzwerkrichtlinien.

Version 1.14 oder höher des Amazon-VPC-CNI-Plugins für Kubernetes auf Ihrem Cluster.

Für IPv4- oder IPv6-Adressen konfigurierter Cluster.

Sie können Netzwerkrichtlinien mit Sicherheitsgruppen für Pods verwenden. Mit Netzwerkrichtlinien können Sie die gesamte Kommunikation innerhalb eines Clusters steuern. Mit Sicherheitsgruppen für Pods können Sie den Zugriff auf AWS-Services über Anwendungen innerhalb eines Pods steuern.

Sie können Netzwerkrichtlinien mit benutzerdefinierten Netzwerken und Präfixdelegierung verwenden.

Wenn Sie Netzwerkrichtlinien für Amazon-VPC-CNI-Plugin für Kubernetes auf Ihren Cluster mit dem Amazon-VPC-CNI-Plugin für Kubernetes anwenden, können Sie die Richtlinien nur auf Amazon-EC2-Linux-Knoten anwenden. Sie können nicht in Fargate- oder Windows-Knoten angewendet werden.

Netzwerkrichtlinien gelten nur für IPv4- oder IPv6-Adressen, jedoch nicht für beide. In einem IPv4-Cluster weist die VPC CNI den Pods IPv4-Adressen zu und wendet IPv4-Richtlinien an. In einem IPv6-Cluster weist die VPC CNI den Pods IPv6-Adressen zu und wendet IPv6-Richtlinien an. Alle auf einen IPv6-Cluster angewendeten IPv4-Netzwerkrichtlinien werden ignoriert. Alle auf einen IPv4-Cluster angewendeten IPv6-Netzwerkrichtlinien werden ignoriert.

Netzwerkrichtlinien werden ausschließlich auf Pods angewendet, die Teil einer Bereitstellung sind. Auf eigenständige Pods, für die kein metadata.ownerReferences festgelegt ist, können keine Netzwerkrichtlinien angewendet werden.

Sie können mehrere Netzwerkrichtlinien auf denselben Pods anwenden. Wenn zwei oder mehr Richtlinien konfiguriert werden, die denselben Pods auswählen, werden alle Richtlinien auf den Pod angewendet.

Die maximale Anzahl an Kombinationen aus Ports und Protokollen für einen einzelnen IP-Adressbereich (CIDR) beträgt 24 über alle Ihre Netzwerkrichtlinien hinweg. Selektoren wie namespaceSelector werden in einen oder mehrere CIDRs aufgelöst. Wenn mehrere Selektoren zu einem einzigen CIDR führen oder Sie denselben direkten CIDR mehrfach in denselben oder verschiedenen Netzwerkrichtlinien angeben, werden diese alle auf dieses Limit angerechnet.

Für jeden Ihrer Kubernetes-Services muss der Port des Services mit dem Port des Containers identisch sein. Wenn Sie benannte Ports verwenden, verwenden Sie denselben Namen auch in der Servicespezifikation.

Falls Ihr Cluster derzeit eine Drittanbieterlösung zur Verwaltung von Kubernetes-Netzwerkrichtlinien verwendet, können Sie dieselben Richtlinien mit dem Amazon-VPC-CNI-Plugin für Kubernetes nutzen. Sie müssen jedoch Ihre vorhandene Lösung entfernen, damit sie nicht dieselben Richtlinien verwaltet.

Das Netzwerkrichtlinienfeature erstellt und erfordert die Definition einer benutzerdefinierten PolicyEndpoint-Ressource (Custom Resource Definition, CRD) namens policyendpoints.networking.k8s.aws. PolicyEndpoint-Objekte der benutzerdefinierten Ressource werden von Amazon EKS verwaltet. Ändern oder löschen Sie diese Ressourcen nicht.

Wenn Sie Pods ausführen, die die IAM-Anmeldeinformationen der Instance-Rolle verwenden oder eine Verbindung mit EC2 IMDS herstellen, achten Sie auf Netzwerkrichtlinien, die den Zugriff auf EC2 IMDS blockieren würden. Möglicherweise müssen Sie eine Netzwerkrichtlinie hinzufügen, um den Zugriff auf EC2 IMDS zu ermöglichen. Weitere Informationen finden Sie unter Instance-Metadaten und Benutzerdaten im Amazon EC2-Benutzerhandbuch für Linux-Instances.

Pods, die IAM-Rollen für Servicekonten oder EKS Pod Identityverwenden, haben keinen Zugriff auf EC2 IMDS.

Das Amazon-VPC-CNI-Plugin für Kubernetes wendet keine Netzwerkrichtlinien auf zusätzliche Netzwerkschnittstellen für jeden Pod an, sondern nur auf die primäre Schnittstelle für jeden Pod (eth0). Das hat Auswirkungen auf folgende Architekturen: