Gruppo di sicurezza del cluster predefinito Limitazione del traffico cluster Gruppi di sicurezza condivisi

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza i requisiti dei gruppi di sicurezza Amazon EKS per i cluster

In questo argomento vengono descritti i requisiti relativi al gruppo di sicurezza per un cluster Amazon EKS.

Gruppo di sicurezza del cluster predefinito

Quando crei un cluster, Amazon EKS crea un gruppo di sicurezza denominatoeks-cluster-sg-my-cluster-uniqueID. Questo gruppo di sicurezza presenta le regole predefinite seguenti:

Tipo di regola	Protocollo	Porte	Origine	Destinazione
In entrata	Tutti	Tutti	Personale
In uscita	Tutti	Tutti		0.0.0.0/0 (`IPv4`) o: :/0 () `IPv6`
In uscita	Tutti	Tutti		Self (per il traffico EFA)

Il gruppo di sicurezza predefinito include una regola in uscita che consente il traffico Elastic Fabric Adapter (EFA) con la destinazione dello stesso gruppo di sicurezza. Ciò abilita il traffico EFA all'interno del cluster, il che è vantaggioso per i carichi di lavoro AI/ML e High Performance Computing (HPC). Per ulteriori informazioni, consulta Elastic Fabric Adapter per carichi di lavoro AI/ML e HPC su Amazon EC2 nella Amazon Elastic Compute Cloud User Guide.

Importante

Se il tuo cluster non necessita della regola in uscita, puoi rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi la regola in entrata, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.

Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon EKS li aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.

Chiave	Valore
`kubernetes.io/cluster/my-cluster`	`owned`
`aws:eks:cluster-name`	`my-cluster`
`Name`	`eks-cluster-sg-my-cluster-uniqueid`

Amazon EKS crea le risorse riportate di seguito e le associa automaticamente a questo gruppo di sicurezza:

2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.
Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.

Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon EKS associa i gruppi di sicurezza specificati alle interfacce di rete create per il cluster, Tuttavia, non li associa a nessun gruppo di nodi che crei.

È possibile determinare l'ID del gruppo di sicurezza del AWS Management Console cluster nella sezione Rete del cluster. In alternativa, puoi farlo eseguendo il seguente comando AWS CLI.


aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Limitazione del traffico cluster

Se è necessario limitare le porte aperte tra il cluster e i nodi, puoi rimuovere la regola in uscita predefinita e aggiungere le regole minime necessarie per il cluster. Se rimuovi la regola in ingresso predefinita, Amazon EKS la ricrea ogni volta che il cluster viene aggiornato.

Tipo di regola	Protocollo	Porta	Destinazione
In uscita	TCP	443	Gruppo di sicurezza del cluster
In uscita	TCP	10250	Gruppo di sicurezza del cluster
In uscita (DNS)	TCP e UDP	53	Gruppo di sicurezza del cluster

È inoltre necessario aggiungere regole per il traffico seguente:

Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.
Accesso a Internet in uscita in modo che i nodi possano accedere ad Amazon EKS APIs per l'introspezione dei cluster e la registrazione dei nodi al momento del lancio. Se i tuoi nodi non dispongono di accesso a Internet, consulta la sezione Implementazione di cluster privati con accesso limitato a Internet per ulteriori considerazioni.
Accesso al nodo per estrarre immagini di container da Amazon ECR o da altri registri di container da APIs cui devono estrarre immagini, ad esempio. DockerHub Per ulteriori informazioni, consulta Intervalli di indirizzi AWS IP nella AWS Guida generale.
Accesso dei nodi ad Amazon S3.
Sono necessarie regole separate per gli indirizzi IPv4 e IPv6.
Se si utilizzano nodi ibridi, è necessario aggiungere un gruppo di sicurezza aggiuntivo al cluster per consentire la comunicazione con i nodi e i pod locali. Per ulteriori informazioni, consulta Preparare la rete per i nodi ibridi.

Se stai pensando di limitare le regole, ti consigliamo di testare a fondo tutti i tuoi Pod prima di applicare le regole modificate a un cluster di produzione.

Se precedentemente hai implementato un cluster con Kubernetes 1.14 e una versione della piattaforma eks.3 o precedente, considera quanto segue:

È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.
Se hai distribuito il cluster utilizzando direttamente l'API o hai utilizzato uno strumento come la AWS CLI AWS CloudFormation o per creare il cluster e non hai specificato un gruppo di sicurezza al momento della creazione del cluster, il gruppo di sicurezza predefinito per il VPC è stato applicato alle interfacce di rete del cluster create da Amazon EKS.

Gruppi di sicurezza condivisi

Amazon EKS supporta gruppi di sicurezza condivisi.

Le associazioni VPC dei gruppi di sicurezza associano i gruppi di sicurezza VPCs a più gruppi nello stesso account e nella stessa regione.
- Scopri come associare gruppi di sicurezza a più gruppi di sicurezza VPCs nella Amazon VPC User Guide.
I gruppi di sicurezza condivisi consentono di condividere gruppi di sicurezza con altri AWS account. Gli account devono appartenere alla stessa AWS organizzazione.
- Scopri come condividere i gruppi di sicurezza con le organizzazioni nella Amazon VPC User Guide.
I gruppi di sicurezza sono sempre limitati a una singola AWS regione.

Considerazioni per Amazon EKS

EKS ha gli stessi requisiti dei gruppi di sicurezza condivisi o multi-VPC dei gruppi di sicurezza standard.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea un VPC

Gestisci i componenti aggiuntivi di rete