Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita gli indirizzi IP esterni che possono essere assegnati ai servizi

I servizi Kubernetes possono essere raggiunti dall'interno di un cluster tramite:

Un indirizzo IP del cluster assegnato automaticamente da Kubernetes
Qualsiasi indirizzo IP specificato per la proprietà externalIPs in una specifica di servizio. Gli indirizzi IP esterni non sono gestiti da Kubernetes e sono responsabilità dell'amministratore del cluster. Gli Indirizzi IP esterni specificati con externalIPs sono diversi dall'indirizzo IP esterno assegnato a un servizio di tipo LoadBalancer da un provider cloud.

Per ulteriori informazioni sui servizi Kubernetes, consultare Servizio nella documentazione Kubernetes. È possibile limitare gli indirizzi IP che possono essere specificati per externalIPs in una specifica di servizio.

Implementazione di cert-manager per gestire i certificati webhook. Per ulteriori informazioni, consultare la documentazione Cert-Manager.
```
kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.5.4/cert-manager.yaml
```

Verifica che i cert-manager Pod siano in funzione.


kubectl get pods -n cert-manager

Di seguito viene riportato un output di esempio:


NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-58c8844bb8-nlx7q              1/1     Running   0          15s
cert-manager-cainjector-745768f6ff-696h5   1/1     Running   0          15s
cert-manager-webhook-67cc76975b-4v4nk      1/1     Running   0          14s

Controlla i tuoi servizi esistenti per assicurarti che a nessuno di essi siano assegnati indirizzi IP esterni che non siano contenuti nel blocco CIDR a cui desideri limitare gli indirizzi.


kubectl get services -A

Di seguito viene riportato un output di esempio:


NAMESPACE                      NAME                                    TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)         AGE
cert-manager                   cert-manager                            ClusterIP      10.100.102.137   <none>          9402/TCP        20m
cert-manager                   cert-manager-webhook                    ClusterIP      10.100.6.136     <none>          443/TCP         20m
default                        kubernetes                              ClusterIP      10.100.0.1       <none>          443/TCP         2d1h
externalip-validation-system   externalip-validation-webhook-service   ClusterIP      10.100.234.179   <none>          443/TCP         16s
kube-system                    kube-dns                                ClusterIP      10.100.0.10      <none>          53/UDP,53/TCP   2d1h
my-namespace                   my-service                              ClusterIP      10.100.128.10    192.168.1.1     80/TCP          149m

Se uno qualsiasi dei valori è un indirizzo IP che non rientra nel blocco a cui vuoi limitare l'accesso, dovrai modificare gli indirizzi in modo che rientrino nel blocco e ridistribuire i servizi. Ad esempio, al my-service servizio nell'output precedente è assegnato un indirizzo IP esterno che non rientra nell'esempio di blocco CIDR del passaggio 5.

Eseguire il download del manifesto del webhook IP esterno. Puoi visualizzare il codice sorgente per il webhook anche su GitHub.
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/externalip-webhook.yaml
```
Specifica i blocchi CIDR. Aprire il file scaricato nell'editor e rimuovere il \# all'inizio delle righe seguenti.
```
#args:
#- --allowed-external-ip-cidrs=10.0.0.0/8
```
Sostituire 10.0.0.0/8 con il proprio blocco CIDR. É possibile specificare tutti i blocchi che si desiderano. Se si specificano blocchi multipli, aggiungere una virgola tra i blocchi.
Se il cluster non si trova nella us-west-2 AWS regione us-west-2602401143452, sostituisci e amazonaws.com nel file con i seguenti comandi. Prima di eseguire i comandi, sostituisci region-code e 111122223333 con il valore per la tua AWS regione dall'elenco in Visualizza i registri delle immagini dei contenitori Amazon per i componenti aggiuntivi Amazon EKS.
```
sed -i.bak -e 's|602401143452|111122223333|' externalip-webhook.yaml
sed -i.bak -e 's|us-west-2|region-code|' externalip-webhook.yaml
sed -i.bak -e 's|amazonaws.com||' externalip-webhook.yaml
```
Applica il manifesto al cluster.
```
kubectl apply -f externalip-webhook.yaml
```
Un tentativo di implementare un servizio nel cluster con un indirizzo IP specificato externalIPs che non è contenuto nei blocchi specificati nel passaggio Specificare i blocchi CIDR avrà esito negativo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Bilanciamento del carico di applicazione

Copia di un'immagine in un repository