Contribuisci a migliorare questa pagina
Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.
Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster
In questo argomento vengono descritti i requisiti relativi al gruppo di sicurezza per un cluster Amazon EKS.
Gruppo di sicurezza del cluster predefinito
Quando si crea un cluster, Amazon EKS crea un gruppo di sicurezza denominato eks-cluster-sg-. Questo gruppo di sicurezza presenta le regole predefinite seguenti:my-cluster-uniqueID
| Tipo di regola | Protocollo | Porte | Origine | Destinazione |
|---|---|---|---|---|
|
In entrata |
Tutti |
Tutti |
Personale |
|
|
In uscita |
Tutti |
Tutti |
0.0.0.0/0( |
|
|
In uscita |
Tutti |
Tutti |
Self (per il traffico EFA) |
Il gruppo di sicurezza predefinito include una regola in uscita che consente il traffico di Elastic Fabric Adapter (EFA) con la destinazione dello stesso gruppo di sicurezza. Ciò abilita il traffico EFA all’interno del cluster, il che è vantaggioso per i carichi di lavoro IA/ML e calcolo ad alte prestazioni (HPC). Per ulteriori informazioni, consulta Elastic Fabric Adapter per carichi di lavoro IA/ML e HPC su Amazon EC2 nella Guida per l’utente di Amazon Elastic Compute Cloud.
Importante
Se il cluster non necessita della regola in uscita, è possibile rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi la regola in entrata, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.
Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon EKS li aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.
| Chiave | Valore |
|---|---|
|
|
|
|
|
|
|
|
|
Amazon EKS crea le risorse riportate di seguito e le associa automaticamente a questo gruppo di sicurezza:
-
2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.
-
Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.
Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon EKS associa i gruppi di sicurezza specificati alle interfacce di rete create per il cluster, Tuttavia, non li associa ai gruppi di nodi che crei.
È possibile specificare l’ID del gruppo di sicurezza del cluster inConsole di gestione AWS all’interno della sezione Reti. In alternativa, è possibile eseguire il comando AWS CLI seguente.
aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId
Limitazione del traffico cluster
Se è necessario limitare le porte aperte tra il cluster e i nodi, puoi rimuovere la regola in uscita predefinita e aggiungere le regole minime necessarie per il cluster. Se rimuovi la regola in ingresso predefinita, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.
| Tipo di regola | Protocollo | Porta | Destinazione |
|---|---|---|---|
|
In uscita |
TCP |
443 |
Gruppo di sicurezza del cluster |
|
In uscita |
TCP |
10250 |
Gruppo di sicurezza del cluster |
|
In uscita (DNS) |
TCP e UDP |
53 |
Gruppo di sicurezza del cluster |
È inoltre necessario aggiungere regole per il traffico seguente:
-
Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.
-
Accesso a Internet in uscita, in modo che i nodi possano accedere alle API di Amazon EKS per l'introspezione del cluster e la registrazione dei nodi al momento del lancio. Se i nodi non hanno accesso a Internet, consulta Implementazione di cluster privati con accesso Internet limitato per ulteriori considerazioni.
-
Accesso ai nodi per estrarre le immagini del container da Amazon ECR o da altre API dei registri del container da cui è necessario estrarre le immagini, ad esempio DockerHub. Per ulteriori informazioni, consultare AWS Intervalli di indirizzi IP nella sezione AWS Riferimenti generali.
-
Accesso dei nodi ad Amazon S3.
-
Sono necessarie regole separate per gli indirizzi
IPv4eIPv6. -
Se utilizzi nodi ibridi, devi aggiungere un gruppo di sicurezza aggiuntivo al cluster per consentire la comunicazione con i nodi on-premises e i pod. Per ulteriori informazioni, consulta Preparazione della rete per i nodi ibridi.
Se stai pianificando una limitazione delle regole, ti consigliamo di testare accuratamente tutti i pod prima di applicare le regole modificate a un cluster di produzione.
Se precedentemente hai implementato un cluster con Kubernetes 1.14 e una versione della piattaforma eks.3 o precedente, considera quanto segue:
-
È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.
-
Se il cluster è stato implementato utilizzando direttamente l’API o è stato creato tramite uno strumento come AWS CLI o AWS CloudFormation senza specificare alcun gruppo di sicurezza alla creazione di cluster, quindi il gruppo di sicurezza predefinito per VPC è stato applicato a interfacce di rete del cluster create da Amazon EKS.
Gruppi di sicurezza condivisi
Amazon EKS supporta gruppi di sicurezza condivisi.
-
Le associazioni VPC dei gruppi di sicurezza associano i gruppi di sicurezza a più VPC nello stesso account e nella stessa regione.
-
Scopri come associare gruppi di sicurezza a più VPC nella Guida per l’utente di Amazon VPC.
-
-
I gruppi di sicurezza condivisi consentono di condividere gruppi di sicurezza con altri account AWS. Gli account devono appartenere alla stessa organizzazione AWS.
-
Scopri come condividere i gruppi di sicurezza con le organizzazioni nella Guida per l’utente di Amazon VPC.
-
-
I gruppi di sicurezza sono sempre limitati a una singola regione AWS.
Considerazioni per Amazon EKS
-
EKS ha gli stessi requisiti dei gruppi di sicurezza condivisi o multi-VPC dei gruppi di sicurezza standard.
