Aidez à améliorer cette page
Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.
Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters
Cette rubrique décrit les exigences de groupe de sécurité d'un cluster Amazon EKS.
Groupe de sécurité par défaut du cluster
Lorsque vous créez un cluster, Amazon EKS crée un groupe de sécurité nommé eks-cluster-sg-. Ce groupe de sécurité dispose des règles par défaut suivantes :my-cluster-uniqueID
| Type de règle | Protocole | Ports | Source | Destination |
|---|---|---|---|---|
|
Entrant |
Tous |
Tous |
Auto-utilisateur |
|
|
Sortant |
Tous |
Tous |
0.0.0.0/0( |
|
|
Sortant |
Tous |
Tous |
Self (pour le trafic EFA) |
Le groupe de sécurité par défaut comprend une règle sortante qui autorise le trafic Elastic Fabric Adapter (EFA) vers la même destination que le groupe de sécurité. Cela permet le trafic EFA au sein du cluster, ce qui est avantageux pour les charges de travail IA/ML et le calcul haute performance (HPC). Pour plus d’informations, consultez Elastic Fabric Adapter pour les charges de travail IA/ML et HPC sur Amazon EC2 dans le Guide de l’utilisateur Amazon Elastic Compute Cloud.
Important
Si votre cluster n’a pas besoin de la règle sortante, vous pouvez la supprimer. Si vous la supprimez, vous devez toujours avoir les règles minimales énumérées dans la section Restriction du trafic du cluster. Si vous supprimez la règle entrante, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
Amazon EKS ajoute les balises suivantes au groupe de sécurité. Si vous supprimez les balises, Amazon EKS les ajoute à nouveau au groupe de sécurité à chaque fois que le cluster est mis à jour.
| Clé | Valeur |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS associe automatiquement ce groupe de sécurité aux ressources suivantes qu'il crée également :
-
2 à 4 interfaces réseau élastiques (désignées pour le reste de ce document sous le nom d'interface réseau) créés lors de la création de votre cluster.
-
Interfaces réseau des nœuds dans n'importe quel groupe de nœuds géré que vous créez.
Les règles par défaut permettent à tout le trafic de circuler librement entre votre cluster et vos nœuds, et autorise tout le trafic sortant vers n'importe quelle destination. Lorsque vous créez un cluster, spécifiez (éventuellement) vos propres groupes de sécurité. Si c'est le cas, Amazon EKS associe également les groupes de sécurité que vous spécifiez aux interfaces réseau qu'il crée pour votre cluster. Cependant, cela ne les associe à aucun groupe de nœuds que vous créez.
Vous pouvez déterminer l’ID de votre groupe de sécurité du cluster dans la AWS Management Console, sous la section Réseaux du cluster. Vous pouvez également le faire en exécutant la commande AWS CLI suivante.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Restriction du trafic de cluster
Si vous devez limiter les ports ouverts entre le cluster et les nœuds, vous pouvez supprimer la règle sortante par défaut et ajouter les règles minimales suivantes qui sont requises pour le cluster. Si vous supprimez la règle entrante par défaut, Amazon EKS la recrée à chaque fois que le cluster est mis à jour.
| Type de règle | Protocole | Port | Destination |
|---|---|---|---|
|
Sortant |
TCP |
443 |
Groupe de sécurité du cluster |
|
Sortant |
TCP |
10250 |
Groupe de sécurité du cluster |
|
Sortant (DNS) |
TCP et UDP |
53 |
Groupe de sécurité du cluster |
Vous devez également ajouter des règles pour le trafic suivant :
-
Tout protocole et port que vos nœuds peuvent utiliser pour la communication entre les nœuds.
-
Accès Internet sortant afin que les nœuds puissent accéder aux API Amazon EKS pour l'introspection des clusters et l'enregistrement des nœuds au moment du lancement. Si vos nœuds n’ont pas accès à Internet, consultez Déployer des clusters privés avec un accès Internet limité pour obtenir des informations supplémentaires.
-
Accès au nœud pour extraire des images de conteneur d'Amazon ECR ou d'autres API de registres de conteneurs dont ils ont besoin pour extraire des images, telles que DockerHub. Pour plus d'informations, consultez la section Plages d'adresses IP AWS dans la référence générale AWS.
-
Accès au nœud Amazon S3.
-
Des règles distinctes sont requises pour les adresses
IPv4etIPv6. -
Si vous utilisez des nœuds hybrides, vous devez ajouter un groupe de sécurité supplémentaire à votre cluster pour permettre la communication avec vos nœuds et pods sur site. Pour de plus amples informations, consultez Préparer la mise en réseau pour les nœuds hybrides.
Si vous envisagez de limiter les règles, nous vous recommandons de tester minutieusement tous vos pods avant d’appliquer vos règles modifiées à un cluster de production.
Si vous avez initialement déployé un cluster avec Kubernetes 1.14 et une version plateforme eks.3 ou antérieure, prenez en considération les éléments suivants :
-
Vous pouvez également disposer de groupes de sécurité de nœud et de plan de contrôle. Lorsque ces groupes ont été créés, ils incluaient les règles restreintes répertoriées dans le tableau précédent. Ces groupes de sécurité ne sont plus nécessaires et peuvent être supprimés. Toutefois, vous devez vous assurer que le groupe de sécurité de votre cluster contient les règles que ces groupes contiennent.
-
Si vous avez déployé le cluster directement à l’aide de l’API ou si vous avez utilisé un outil tel que l’interface AWS CLI ou AWS CloudFormation pour créer le cluster et que vous n’avez pas spécifié de groupe de sécurité lors de la création du cluster, le groupe de sécurité par défaut pour le VPC a été appliqué aux interfaces réseau du cluster créées par Amazon EKS.
Groupes de sécurité partagés
Amazon EKS prend en charge les groupes de sécurité partagés.
-
Associations de groupes de sécurité VPC associent des groupes de sécurité à plusieurs VPC dans le même compte et la même région.
-
Découvrez comment associer des groupes de sécurité à plusieurs VPC dans le Guide de l’utilisateur Amazon VPC.
-
-
Groupes de sécurité partagés vous permettent de partager des groupes de sécurité avec d’autres comptes AWS. Les comptes doivent appartenir à la même organisation AWS.
-
Découvrez comment partager des groupes de sécurité avec des organisations dans le Guide de l’utilisateur Amazon VPC.
-
-
Les groupes de sécurité sont toujours limités à une seule région AWS.
Considérations relatives à Amazon EKS
-
EKS a les mêmes exigences que les groupes de sécurité standard en matière de groupes de sécurité partagés ou multi-VPC.
