Amazon EKS 中的基礎設施安全 - Amazon EKS

協助改進此頁面

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

Amazon EKS 中的基礎設施安全

作為受管服務,Amazon Elastic Kubernetes Service 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 AWS 如何保護基礎設施的相關資訊,請參閱 AWS 雲端安全。若要使用基礎設施安全性的最佳實務來設計您的 AWS 環境,請參閱安全支柱 AWS 架構良好的框架中的基礎設施保護

您可使用 AWS 發佈的 API 呼叫,透過網路存取 Amazon EKS。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以使用 AWS Security Token Service (AWS STS) 來產生暫時安全憑證,以簽署請求。

建立 Amazon EKS 叢集時,為要使用的叢集指定 VPC 子網路。Amazon EKS 需要至少兩個處於可用區域的子網路。我們建議使用具有公有和私有子網路的 VPC,以便 Kubernetes 在公有子網路中建立公有負載平衡器,以平衡在私有子網路中的節點上執行的 Pod 負載。

如需 VPC 考量的詳細資訊,請參閱 檢視 VPC 和子網路的 Amazon EKS 聯網需求

如果您透過 Amazon EKS 入門逐步解說提供的 AWS CloudFormation 範本建立 VPC 和節點群組,您的控制平面和節點安全群組將會設定為建議的設定。

如需安全群組考量的詳細資訊,請參閱 檢視叢集的 Amazon EKS 安全群組要求

建立新的叢集時,Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點 (使用 Kubernetes 管理工具,例如 kubectl)。根據預設,此 API 伺服器端點會在網際網路上公開,而其存取則受到 AWS Identity and Access Management (IAM) 及原生 Kubernetes 角色型存取控制 (RBAC) 的共同保護。

您可啟用 Kubernetes API 伺服器的私有存取,讓節點和 API 伺服器間的所有通訊都不會離開 VPC。您可以限制可以從網際網路存取 API 伺服器的 IP 地址,或完全停用對 API 伺服器的網際網路存取。

如需修改叢集端點存取的詳細資訊,請參閱 修改叢集端點存取

您可以搭配 Amazon VPC CNI 或第三方工具 (例如 Project Calico) 來實作 Kubernetes 網路政策。如需有關使用適用於網路政策的 Amazon VPC CNI 的詳細資訊,請參閱 使用 Kubernetes 網路政策限制 Pod 流量。Project Calico 是第三方開放原始碼專案。如需詳細資訊,請參閱 Project Calico 文件