Unterstützung für die Verbesserung dieser Seite beitragen
Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.
Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen
In diesem Thema geht es um die Anforderungen an Sicherheitsgruppen in einem Amazon-EKS-Cluster.
Standard-Cluster-Sicherheitsgruppe
Wenn Sie einen Cluster erstellen, erstellt Amazon EKS eine Sicherheitsgruppe mit dem Namen eks-cluster-sg-. Diese Sicherheitsgruppe hat die folgenden Standardregeln:my-cluster-uniqueID
| Regeltyp | Protocol (Protokoll) | Ports | Quelle | Ziel |
|---|---|---|---|---|
|
Eingehend |
Alle |
Alle |
Selbst |
|
|
Ausgehend |
Alle |
Alle |
0.0.0.0/0( |
|
|
Ausgehend |
Alle |
Alle |
Selbst (für EFA-Datenverkehr) |
Die Standard-Sicherheitsgruppe enthält eine ausgehende Regel, die den Datenverkehr des Elastic Fabric Adapters (EFA) mit dem Ziel derselben Sicherheitsgruppe zulässt. Dadurch wird EFA-Datenverkehr innerhalb des Clusters ermöglicht, was für KI/ML- und High Performance Computing (HPC)-Workloads von Vorteil ist. Weitere Informationen finden Sie unter Elastic Fabric Adapter für KI-/ML- und HPC-Workloads in Amazon EC2 im Benutzerhandbuch für Amazon Elastic Compute Cloud.
Wichtig
Wenn Ihr Cluster die ausgehende Regel nicht benötigt, können Sie sie entfernen. Wenn Sie es entfernen, müssen Sie immer noch über die Mindestregeln verfügen, die unter Einschränkung des Cluster-Datenverkehrs aufgeführt sind. Wenn Sie die eingehende Regel entfernen, wird sie von Amazon EKS bei jeder Aktualisierung des Clusters neu erstellt.
Amazon EKS fügt der Sicherheitsgruppe die folgenden Tags hinzu. Wenn Sie die Tags entfernen, fügt Amazon EKS sie bei jeder Aktualisierung Ihres Clusters wieder zur Sicherheitsgruppe hinzu.
| Schlüssel | Value (Wert) |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS verknüpft die Sicherheitsgruppe automatisch mit den folgenden Ressourcen, die es ebenfalls erstellt:
-
2 bis 4 Elastic-Network-Schnittstellen (für den Rest dieses Dokuments als Netzwerkschnittstelle bezeichnet), die beim Anlegen des Clusters erstellt werden.
-
Netzwerkschnittstellen der Knoten in jeder verwalteten Knotengruppe, die Sie erstellen.
Die Standardregeln ermöglichen es, dass der gesamte Datenverkehr frei zwischen Ihrem Cluster und Ihren Knoten fließt. Außerdem lassen sie den gesamten ausgehenden Datenverkehr zu jedem Ziel zu. Beim Erstellen eines Clusters können Sie (optional) Ihre eigenen Sicherheitsgruppen angeben. Wenn Sie das tun, verknüpft Amazon EKS auch die von Ihnen angegebenen Sicherheitsgruppen mit den Netzwerkschnittstellen, die es für Ihren Cluster erstellt. Er verknüpft sie jedoch mit keiner der Knotengruppen, die Sie erstellen.
Sie können die ID Ihrer Cluster-Sicherheitsgruppe in der AWS-Managementkonsole im Abschnitt Netzwerk für Ihren Cluster ermitteln. Sie können auch den folgenden AWS-CLI-Befehl ausführen.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Einschränken des Clusterverkehrs
Wenn Sie die offenen Ports zwischen dem Cluster und den Knoten einschränken müssen, können Sie die standardmäßige Ausgangsregel entfernen und die folgenden Mindestregeln hinzufügen, die für den Cluster erforderlich sind. Wenn Sie die standardmäßige Eingangsregel entfernen, erstellt Amazon EKS sie bei jeder Aktualisierung des Clusters neu.
| Regeltyp | Protocol (Protokoll) | Port | Bestimmungsort |
|---|---|---|---|
|
Ausgehend |
TCP |
443 |
Cluster-Sicherheitsgruppe |
|
Ausgehend |
TCP |
10250 |
Cluster-Sicherheitsgruppe |
|
Ausgehend (DNS) |
TCP und UDP |
53 |
Cluster-Sicherheitsgruppe |
Sie müssen auch Regeln für den folgenden Datenverkehr hinzufügen:
-
Jedes Protokoll und alle Ports, von dem Sie erwarten, dass Ihre Knoten für die Kommunikation zwischen Knoten verwenden
-
Ausgehenden Internetzugang, sodass die Knoten zwecks Cluster-Introspektion und Knotenregistrierung beim Start auf die Amazon-EKS-APIs zugreifen können. Wenn Ihre Knoten keinen Internetzugang haben, lesen Sie den Abschnitt Bereitstellung privater Cluster mit eingeschränktem Internetzugang, um weitere Überlegungen zu berücksichtigen.
-
Zugriff auf Knoten, um Container-Images aus Amazon ECR abzurufen, oder andere Container-Registry-APIs, die zum Laden von Images benötigt werden, wie z. B. DockerHub. Weitere Informationen finden Sie unter AWS-IP-Adressbereiche in der AWS Allgemeinen Referenz.
-
Knotenzugriff auf Amazon S3.
-
Für
IPv4- undIPv6-Adressen sind separate Regeln erforderlich -
Wenn Sie Hybridknoten verwenden, müssen Sie Ihrem Cluster eine zusätzliche Sicherheitsgruppe hinzufügen, um die Kommunikation mit Ihren On-Premises-Knoten und Pods zu ermöglichen. Weitere Informationen finden Sie unter Vorbereitung der Vernetzung für Hybridknoten.
Wenn Sie Regelbeschränkungen planen, empfehlen wir, alle Pods gründlich zu testen, bevor Sie Ihre geänderten Regeln auf einen Produktions-Cluster anwenden.
Wenn Sie ursprünglich einen Cluster mit Kubernetes 1.14 und der Plattformversion eks.3 oder älter bereitgestellt haben, dann bedenken Sie Folgendes:
-
Möglicherweise gibt es Sicherheitsgruppen für die Steuerebene und Knoten. Als diese Gruppen erstellt wurden, enthielten sie die in der vorherigen Tabelle aufgeführten eingeschränkten Regeln. Diese Sicherheitsgruppen sind nicht mehr erforderlich und können entfernt werden. Sie müssen jedoch sicherstellen, dass Ihre Cluster-Sicherheitsgruppe die Regeln enthält, die diese Gruppen enthalten.
-
Wenn Sie den Cluster direkt mithilfe der API bereitgestellt haben oder ein Tool wie die AWS-CLI oder AWS CloudFormation zum Erstellen des Clusters verwendet haben und bei der Clustererstellung keine Sicherheitsgruppe angegeben haben, wurde die Standardsicherheitsgruppe für die VPC auf die von Amazon EKS erstellten Cluster-Netzwerkschnittstellen angewendet.
Freigegebene Sicherheitsgruppen
Amazon EKS unterstützt freigegebene Sicherheitsgruppen.
-
Sicherheitsgruppen-VPC-Zuordnungen ordnen Sicherheitsgruppen mehreren VPCs im selben Konto und in derselben Region zu.
-
Erfahren Sie im Amazon-VPC-Benutzerhandbuch, wie Sie Sicherheitsgruppen mehreren VPCs zuordnen können.
-
-
MIt Freigegebenen Sicherheitsgruppen können Sie Sicherheitsgruppen für andere AWS-Konten freigeben. Die Konten müssen sich in derselben AWS-Organisation befinden.
-
Erfahren Sie im Amazon-VPC-Benutzerhandbuch, wie Sie Sicherheitsgruppen mit Organisationen freigeben können.
-
-
Sicherheitsgruppen sind immer auf eine einzelne AWS-Region beschränkt.
Überlegungen zu Amazon EKS
-
EKS stellt dieselben Anforderungen an freigegebene oder Multi-VPC-Sicherheitsgruppen wie an Standard-Sicherheitsgruppen.
