Konfigurasikan plugin Amazon VPC CNI untuk Kubernetes untuk grup keamanan untuk Pod Amazon EKS - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan plugin Amazon VPC CNI untuk Kubernetes untuk grup keamanan untuk Pod Amazon EKS

Jika Anda menggunakan Pod dengan EC2 instans Amazon, Anda perlu mengonfigurasi plugin Amazon VPC CNI untuk Kubernetes untuk grup keamanan

Jika Anda hanya menggunakan Pod Fargate, dan tidak memiliki EC2 node Amazon di klaster Anda, lihat. Menggunakan kebijakan grup keamanan untuk Amazon EKS Pod

  1. Periksa plugin Amazon VPC CNI Anda saat ini untuk versi Kubernetes dengan perintah berikut:

    kubectl describe daemonset aws-node --namespace kube-system | grep amazon-k8s-cni: | cut -d : -f 3

    Contoh output adalah sebagai berikut.

    v1.7.6

    Jika plugin Amazon VPC CNI Anda untuk versi Kubernetes lebih awal dari1.7.7, maka perbarui plugin ke versi atau yang lebih baru. 1.7.7 Untuk informasi selengkapnya, lihat Tetapkan IPs ke Pod dengan Amazon VPC CNI

  2. Tambahkan kebijakan IAM terkelola Amazon EKSVPCResource Controller ke peran klaster yang terkait dengan kluster Amazon EKS Anda. Kebijakan ini memungkinkan peran untuk mengelola antarmuka jaringan, alamat IP pribadi mereka, dan lampiran serta detasemen mereka ke dan dari instance jaringan.

    1. Ambil nama peran IAM cluster Anda dan simpan dalam variabel. Ganti my-cluster dengan nama klaster Anda.

      cluster_role=$(aws eks describe-cluster --name my-cluster --query cluster.roleArn --output text | cut -d / -f 2)

    2. Lampirkan kebijakan pada peran tersebut.

      aws iam attach-role-policy --policy-arn arn:aws: iam::aws:policy/AmazonEKSVPCResourceController --role-name $cluster_role

  3. Aktifkan add-on Amazon VPC CNI untuk mengelola antarmuka jaringan untuk Pod dengan menyetel variabel ke dalamENABLE_POD_ENI. true aws-node DaemonSet Setelah pengaturan ini diatur ketrue, untuk setiap node di cluster add-on membuat sumber daya cninode khusus. Pengendali sumber daya VPC membuat dan melampirkan satu antarmuka jaringan khusus yang disebut antarmuka jaringan trunk dengan deskripsi aws-k8s-trunk-eni.

    kubectl set env daemonset aws-node -n kube-system ENABLE_POD_ENI=true
    catatan

    Antarmuka jaringan trunk termasuk dalam jumlah maksimum antarmuka jaringan yang didukung oleh tipe instans. Untuk daftar jumlah maksimum antarmuka jaringan yang didukung oleh setiap jenis instans, lihat alamat IP per antarmuka jaringan per jenis instans di Panduan EC2 Pengguna Amazon. Jika simpul Anda sudah memiliki jumlah maksimum antarmuka jaringan standar yang terlampir padanya, maka pengendali sumber daya VPC akan menyimpan sebuah ruang. Anda harus menurunkan skala Pod yang sedang berjalan agar pengontrol dapat melepaskan dan menghapus antarmuka jaringan standar, membuat antarmuka jaringan trunk, dan melampirkannya ke instance.

  4. Anda dapat melihat node mana yang memiliki sumber daya CNINode khusus dengan perintah berikut. Jika No resources found dikembalikan, maka tunggu beberapa detik dan coba lagi. Langkah sebelumnya memerlukan restart plugin Amazon VPC CNI untuk Kubernetes Pods, yang membutuhkan waktu beberapa detik.

    kubectl get cninode -A
     NAME FEATURES
     ip-192-168-64-141.us-west-2.compute.internal [{"name":"SecurityGroupsForPods"}]
     ip-192-168-7-203.us-west-2.compute.internal [{"name":"SecurityGroupsForPods"}]

    Jika Anda menggunakan versi VPC CNI yang lebih lama dari1.15, label node digunakan sebagai pengganti sumber daya khusus. CNINode Anda dapat melihat node mana yang memiliki label node aws-k8s-trunk-eni diatur true dengan perintah berikut. Jika No resources found dikembalikan, maka tunggu beberapa detik dan coba lagi. Langkah sebelumnya memerlukan restart plugin Amazon VPC CNI untuk Kubernetes Pods, yang membutuhkan waktu beberapa detik.

    kubectl get nodes -o wide -l vpc.amazonaws.com/has-trunk-attached=true

    Setelah antarmuka jaringan trunk dibuat, Pod diberi alamat IP sekunder dari trunk atau antarmuka jaringan standar. Antarmuka trunk secara otomatis dihapus jika simpul dihapus.

    Saat Anda menerapkan grup keamanan untuk Pod di langkah selanjutnya, pengontrol sumber daya VPC membuat antarmuka jaringan khusus yang disebut antarmuka jaringan cabang dengan deskripsi aws-k8s-branch-eni dan mengaitkan grup keamanan ke Pod tersebut. Antarmuka jaringan cabang dibuat sebagai tambahan dari antarmuka jaringan standar dan trunk yang terlampir pada simpul.

    Jika Anda menggunakan probe keaktifan atau kesiapan, maka Anda juga perlu menonaktifkan demux awal TCP, sehingga kubelet dapat terhubung ke Pod pada antarmuka jaringan cabang menggunakan TCP. Untuk menonaktifkan TCP demux awal, jalankan perintah berikut:

    kubectl patch daemonset aws-node -n kube-system \
  -p '{"spec": {"template": {"spec": {"initContainers": [{"env":[{"name":"DISABLE_TCP_EARLY_DEMUX","value":"true"}],"name":"aws-vpc-cni-init"}]}}}}'
    catatan

    Jika Anda menggunakan 1.11.0 atau yang lebih baru dari plugin Amazon VPC CNI untuk Kubernetes add-on dan set POD_SECURITY_GROUP_ENFORCING_MODE =standard, seperti yang dijelaskan pada langkah berikutnya, maka Anda tidak perlu menjalankan perintah sebelumnya.

  5. Jika klaster Anda menggunakanNodeLocal DNSCache, atau Anda ingin menggunakan kebijakan jaringan Calico dengan Pod yang memiliki grup keamanan sendiri, atau Anda memiliki jenis layanan Kubernetes NodePort dan LoadBalancer menggunakan target instans dengan externalTrafficPolicy set ke Pod yang ingin Anda tetapkan ke Local grup keamanan, maka Anda harus menggunakan 1.11.0 versi atau yang lebih baru dari plugin Amazon VPC CNI untuk add-on Kubernetes, dan Anda harus mengaktifkan pengaturan berikut:

    kubectl set env daemonset aws-node -n kube-system POD_SECURITY_GROUP_ENFORCING_MODE=standard

    PENTING: Aturan grup keamanan Pod tidak diterapkan pada lalu lintas antar Pod atau antara Pod dan layanan, seperti kubelet ataunodeLocalDNS, yang berada di node yang sama. Pod yang menggunakan grup keamanan berbeda pada node yang sama tidak dapat berkomunikasi karena mereka dikonfigurasi dalam subnet yang berbeda, dan routing dinonaktifkan di antara subnet ini. Lalu lintas keluar dari Pod ke alamat di luar VPC adalah alamat jaringan yang diterjemahkan ke alamat IP antarmuka jaringan utama instans (kecuali jika Anda juga AWS_VPC_K8S_CNI_EXTERNALSNAT=true telah menyetelnya). Untuk lalu lintas ini, aturan dalam grup keamanan untuk antarmuka jaringan utama digunakan, bukan aturan dalam grup keamanan Pod. ** Agar pengaturan ini diterapkan pada Pod yang ada, Anda harus me-restart Pod atau node tempat Pod berjalan.

  6. Untuk melihat cara menggunakan kebijakan grup keamanan untuk Pod Anda, lihatMenggunakan kebijakan grup keamanan untuk Amazon EKS Pod.