Standard-Cluster-Sicherheitsgruppe Einschränken des Clusterverkehrs Freigegebene Sicherheitsgruppen

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen

In diesem Thema geht es um die Anforderungen an Sicherheitsgruppen in einem Amazon-EKS-Cluster.

Standard-Cluster-Sicherheitsgruppe

Wenn Sie einen Cluster erstellen, erstellt Amazon EKS eine Sicherheitsgruppe mit dem Namen eks-cluster-sg-my-cluster-uniqueID. Diese Sicherheitsgruppe hat die folgenden Standardregeln:

Regeltyp	Protocol (Protokoll)	Ports	Quelle	Ziel
Eingehend	Alle	Alle	Selbst
Ausgehend	Alle	Alle		0.0.0.0/0 (`IPv4`) oder: :/0 () `IPv6`
Ausgehend	Alle	Alle		Selbst (für EFA-Datenverkehr)

Die Standard-Sicherheitsgruppe enthält eine ausgehende Regel, die den Datenverkehr des Elastic Fabric Adapters (EFA) mit dem Ziel derselben Sicherheitsgruppe zulässt. Dadurch wird EFA-Verkehr innerhalb des Clusters ermöglicht, was sich positiv auf HPC-Workloads (High Performance AI/ML Computing) auswirkt. Weitere Informationen finden Sie unter Elastic Fabric Adapter für AI/ML und HPC-Workloads auf Amazon EC2 im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Wichtig

Wenn Ihr Cluster die ausgehende Regel für (), 0.0.0.0/0 (IPv4) nicht benötigt, ::/0 können Sie sie entfernen. IPv6 Wenn Sie es entfernen, müssen Sie immer noch über die Mindestregeln verfügen, die unter Einschränkung des Cluster-Datenverkehrs aufgeführt sind. Wenn Sie die Regeln für eingehenden oder ausgehenden Datenverkehr entfernen, die to/from den Datenverkehr mit der Cluster-Sicherheitsgruppe selbst zulassen, erstellt Amazon EKS sie bei jeder Aktualisierung des Clusters neu.

Amazon EKS fügt der Sicherheitsgruppe die folgenden Tags hinzu. Wenn Sie die Tags entfernen, fügt Amazon EKS sie bei jeder Aktualisierung Ihres Clusters wieder zur Sicherheitsgruppe hinzu.

Key (Schlüssel)	Wert
`kubernetes.io/cluster/my-cluster`	`owned`
`aws:eks:cluster-name`	`my-cluster`
`Name`	`eks-cluster-sg-my-cluster-uniqueid`

Amazon EKS verknüpft die Sicherheitsgruppe automatisch mit den folgenden Ressourcen, die es ebenfalls erstellt:

2 bis 4 Elastic-Network-Schnittstellen (für den Rest dieses Dokuments als Netzwerkschnittstelle bezeichnet), die beim Anlegen des Clusters erstellt werden.
Netzwerkschnittstellen der Knoten in jeder verwalteten Knotengruppe, die Sie erstellen.

Die Standardregeln ermöglichen es, dass der gesamte Datenverkehr frei zwischen Ihrem Cluster und Ihren Knoten fließt. Außerdem lassen sie den gesamten ausgehenden Datenverkehr zu jedem Ziel zu. Beim Erstellen eines Clusters können Sie (optional) Ihre eigenen Sicherheitsgruppen angeben. Wenn Sie das tun, verknüpft Amazon EKS auch die von Ihnen angegebenen Sicherheitsgruppen mit den Netzwerkschnittstellen, die es für Ihren Cluster erstellt. Er verknüpft sie jedoch mit keiner der Knotengruppen, die Sie erstellen.

Sie können die ID Ihrer Cluster-Sicherheitsgruppe im Abschnitt Netzwerk des AWS-Managementkonsole Clusters ermitteln. Sie können dies auch tun, indem Sie den folgenden AWS CLI-Befehl ausführen.


aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Einschränken des Clusterverkehrs

Wenn Sie die offenen Ports zwischen der EKS-Steuerebene und den Knoten einschränken möchten, können Sie die Standardregel für ausgehenden Datenverkehr auf 0.0.0.0/0 (IPv4)/::/0(IPv6) entfernen und die folgenden Mindestregeln hinzufügen, die für den Cluster erforderlich sind.

Wenn Sie die Standardregel für eingehenden Datenverkehr entfernen, die den gesamten Datenverkehr für die Quelle selbst (Datenverkehr aus der Cluster-Sicherheitsgruppe) zulässt, erstellt Amazon EKS sie neu, wenn der Cluster aktualisiert wird.

Wenn Sie die Standardregel für ausgehenden Datenverkehr entfernen, die den gesamten Datenverkehr für das Ziel Self (Datenverkehr zur Cluster-Sicherheitsgruppe) zulässt, erstellt Amazon EKS sie neu, wenn der Cluster aktualisiert wird.

Art der Regel	Protocol (Protokoll)	Port	Ziel
Ausgehend	TCP	443	Cluster-Sicherheitsgruppe
Ausgehend	TCP	10250	Cluster-Sicherheitsgruppe
Ausgehend (DNS)	TCP und UDP	53	Cluster-Sicherheitsgruppe

Sie müssen auch Regeln für den folgenden Datenverkehr hinzufügen:

Jedes Protokoll und alle Ports, von dem Sie erwarten, dass Ihre Knoten für die Kommunikation zwischen Knoten verwenden
Ausgehender Internetzugang, sodass Knoten zur Cluster-Introspektion und Knotenregistrierung beim Start auf Amazon EKS APIs zugreifen können. Wenn Ihre Knoten keinen Internetzugang haben, lesen Sie den Abschnitt Bereitstellung privater Cluster mit eingeschränktem Internetzugang, um weitere Überlegungen zu berücksichtigen.
Knotenzugriff zum Abrufen von Container-Images aus Amazon ECR oder anderen Container-Registern APIs , aus denen sie Bilder abrufen müssen, wie z. DockerHub Weitere Informationen finden Sie in der AWS Allgemeinen AWS Referenz unter IP-Adressbereiche.
Knotenzugriff auf Amazon S3.
Für IPv4- und IPv6-Adressen sind separate Regeln erforderlich
Wenn Sie Hybridknoten verwenden, müssen Sie Ihrem Cluster eine zusätzliche Sicherheitsgruppe hinzufügen, um die Kommunikation mit Ihren On-Premises-Knoten und Pods zu ermöglichen. Weitere Informationen finden Sie unter Vorbereitung der Vernetzung für Hybridknoten.

Wenn Sie Regelbeschränkungen planen, empfehlen wir, alle Pods gründlich zu testen, bevor Sie Ihre geänderten Regeln auf einen Produktions-Cluster anwenden.

Wenn Sie ursprünglich einen Cluster mit Kubernetes 1.14 und der Plattformversion eks.3 oder älter bereitgestellt haben, dann bedenken Sie Folgendes:

Möglicherweise gibt es Sicherheitsgruppen für die Steuerebene und Knoten. Als diese Gruppen erstellt wurden, enthielten sie die in der vorherigen Tabelle aufgeführten eingeschränkten Regeln. Diese Sicherheitsgruppen sind nicht mehr erforderlich und können entfernt werden. Sie müssen jedoch sicherstellen, dass Ihre Cluster-Sicherheitsgruppe die Regeln enthält, die diese Gruppen enthalten.
Wenn Sie den Cluster direkt über die API bereitgestellt oder ein Tool wie die AWS CLI oder AWS CloudFormation zum Erstellen des Clusters verwendet haben und bei der Clustererstellung keine Sicherheitsgruppe angegeben haben, wurde die Standardsicherheitsgruppe für die VPC auf die Cluster-Netzwerkschnittstellen angewendet, die Amazon EKS erstellt hat.

Freigegebene Sicherheitsgruppen

Amazon EKS unterstützt freigegebene Sicherheitsgruppen.

Sicherheitsgruppen-VPC-Zuordnungen ordnen Sicherheitsgruppen mehreren Gruppen VPCs in demselben Konto und derselben Region zu.
- Erfahren Sie VPCs im Amazon VPC-Benutzerhandbuch, wie Sie Sicherheitsgruppen mehreren zuordnen.
Gemeinsam genutzte Sicherheitsgruppen ermöglichen es Ihnen, Sicherheitsgruppen mit anderen AWS Konten gemeinsam zu nutzen. Die Konten müssen sich in derselben AWS Organisation befinden.
- Erfahren Sie im Amazon-VPC-Benutzerhandbuch, wie Sie Sicherheitsgruppen mit Organisationen freigeben können.
Sicherheitsgruppen sind immer auf eine einzelne AWS Region beschränkt.

Überlegungen zu Amazon EKS

EKS stellt dieselben Anforderungen an freigegebene oder Multi-VPC-Sicherheitsgruppen wie an Standard-Sicherheitsgruppen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen einer VPC

Netzwerk-Add-Ons verwalten