使用 Kubernetes 網路政策限制 Pod 流量

叢集上安裝版本為 1.14 或更高版本的 Kubernetes 專用 Amazon VPC CNI 外掛程式。

設定為 IPv4 或 IPv6 地址的叢集。

您可以搭配 Pod 的安全群組來使用網路政策。有了網路政策，您就可以控制所有叢集內通訊。搭配 Pod 的安全群組，您就可以從 Pod 中的應用程式控制對 AWS 的存取。

您可以搭配自訂聯網和字首委派來使用網路政策。

使用 Kubernetes 專用 Amazon VPC CNI 外掛程式將 Kubernetes 專用 Amazon VPC CNI 外掛程式網路政策套用至您的叢集時，您只能將這些政策套用至 Amazon EC2 Linux 節點。您無法將這些政策套用至 Fargate 或 Windows 節點。

網路政策只會套用 IPv4 或 IPv6 位址，但不能同時套用兩者。在 IPv4 叢集中，VPC CNI 會將 IPv4 位址指派給 Pod 並套用 IPv4 政策。在 IPv6 叢集中，VPC CNI 會將 IPv6 位址指派給 Pod 並套用 IPv6 政策。套用至 IPv6 叢集的任何 IPv4 網路政策規則都會遭到忽略。套用至 IPv4 叢集的任何 IPv6 網路政策規則都會遭到忽略。

網路政策僅會套用至屬於部署一部分的 Pod。沒有 metadata.ownerReferences 集合的獨立 Pod 無法套用網路政策。

您可以將多個網路政策套用至相同的 Pod。當設定了兩個以上選取相同 Pod 的政策，所有政策皆會套用至 Pod。

在所有網路政策中，單一 IP 位址範圍 (CIDR) 的連接埠和通訊協定組合數目上限為 24。選取器，如 namespaceSelector 解析為一或多個 CIDRs。如果多個選擇器解析為單一 CIDR，或者您在相同或不同的網路政策中多次指定相同的直接 CIDR，這些都會計入此限制。

對於任何一種您的 Kubernetes 服務，服務連接埠必須與容器連接埠相同。如果您使用的是已命名連接埠，請也要在服務規格中使用相同的名稱。

如果您的叢集目前正在使用第三方解決方案來管理 Kubernetes 網路政策，您可以搭配 Kubernetes 專用 Amazon VPC CNI 外掛程式來使用那些相同的政策。然而，您必須移除現有的解決方案，如此才不會管理相同的政策。

網路政策功能會建立且需要稱為 policyendpoints.networking.k8s.aws 的 PolicyEndpoint 自訂資源定義 (CRD)。自訂資源的 PolicyEndpoint 物件是由 Amazon EKS 管理。您不應修改或刪除這些資源。

如果您執行使用執行個體角色 IAM 憑證的 Pod 或連線至 EC2 IMDS，請小心檢查是否有會封鎖 EC2 IMDS 存取的網路政策。您可能需要新增網路政策以允許 EC2 IMDS 的存取權。如需詳細資訊，請參閱《Amazon EC2 使用者指南》中的執行個體中繼資料和使用者資料。

使用服務帳戶的 IAM 角色或 EKS Pod 身分識別的 Pod 不會存取 EC2 IMDS。

Kubernetes 專用 Amazon VPC CNI 外掛程式不會將網路政策套用至每個 Pod 的其他網路介面，而只會套用每個 Pod 的主要介面 (eth0)。這會影響下列架構：