Groupe de sécurité par défaut du cluster Restriction du trafic de cluster Groupes de sécurité partagés

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters

Cette rubrique décrit les exigences de groupe de sécurité d'un cluster Amazon EKS.

Groupe de sécurité par défaut du cluster

Lorsque vous créez un cluster, Amazon EKS crée un groupe de sécurité nommé eks-cluster-sg-my-cluster-uniqueID. Ce groupe de sécurité dispose des règles par défaut suivantes :

Type de règle	Protocole	Ports	Source	Destination
Entrant	Tous	Tous	Self
Sortant	Tous	Tous		0.0.0.0/0(`IPv4`) ou ::/0 (`IPv6`)
Sortant	Tous	Tous		Self (pour le trafic EFA)

Le groupe de sécurité par défaut comprend une règle sortante qui autorise le trafic Elastic Fabric Adapter (EFA) vers la même destination que le groupe de sécurité. Cela permet d'activer le trafic EFA au sein du cluster, ce qui est bénéfique pour AI/ML les charges de travail de calcul à haute performance (HPC). Pour plus d'informations, consultez Elastic Fabric Adapter pour AI/ML les charges de travail HPC sur Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Important

Si votre cluster n'a pas besoin de la règle sortante pour 0.0.0.0/0 (IPv4), ::/0 (IPv6), vous pouvez la supprimer. Si vous la supprimez, vous devez toujours avoir les règles minimales énumérées dans la section Restriction du trafic du cluster. Si vous supprimez les règles entrantes ou sortantes qui autorisent to/from le trafic vers le groupe de sécurité du cluster lui-même, Amazon EKS le recrée chaque fois que le cluster est mis à jour.

Amazon EKS ajoute les balises suivantes au groupe de sécurité. Si vous supprimez les balises, Amazon EKS les ajoute à nouveau au groupe de sécurité à chaque fois que le cluster est mis à jour.

Clé	Valeur
`kubernetes.io/cluster/my-cluster`	`owned`
`aws:eks:cluster-name`	`my-cluster`
`Name`	`eks-cluster-sg-my-cluster-uniqueid`

Amazon EKS associe automatiquement ce groupe de sécurité aux ressources suivantes qu'il crée également :

2 à 4 interfaces réseau élastiques (désignées pour le reste de ce document sous le nom d'interface réseau) créés lors de la création de votre cluster.
Interfaces réseau des nœuds dans n'importe quel groupe de nœuds géré que vous créez.

Les règles par défaut permettent à tout le trafic de circuler librement entre votre cluster et vos nœuds, et autorise tout le trafic sortant vers n'importe quelle destination. Lorsque vous créez un cluster, spécifiez (éventuellement) vos propres groupes de sécurité. Si c'est le cas, Amazon EKS associe également les groupes de sécurité que vous spécifiez aux interfaces réseau qu'il crée pour votre cluster. Cependant, cela ne les associe à aucun groupe de nœuds que vous créez.

Vous pouvez déterminer l'ID du groupe de sécurité de votre cluster dans la AWS Management Console section Mise en réseau du cluster. Vous pouvez également le faire en exécutant la commande AWS CLI suivante.


aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Restriction du trafic de cluster

Si vous devez limiter les ports ouverts entre le plan de contrôle EKS et les nœuds, vous pouvez supprimer la règle de sortie par défaut à 0.0.0.0/0 ::/0 (IPv4IPv6)/() et ajouter les règles minimales suivantes requises pour le cluster.

Si vous supprimez la règle entrante par défaut qui autorise tout le trafic pour la source self (trafic provenant du groupe de sécurité du cluster), Amazon EKS la recrée lors de la mise à jour du cluster.

Si vous supprimez la règle de trafic sortant par défaut qui autorise tout le trafic à destination (trafic vers le groupe de sécurité du cluster), Amazon EKS la recrée lors de la mise à jour du cluster.

Type de règle	Protocole	Port	Destination
Sortant	TCP	443	Groupe de sécurité du cluster
Sortant	TCP	10250	Groupe de sécurité du cluster
Sortant (DNS)	TCP et UDP	53	Groupe de sécurité du cluster

Vous devez également ajouter des règles pour le trafic suivant :

Tout protocole et port que vos nœuds peuvent utiliser pour la communication entre les nœuds.
Accès Internet sortant permettant aux nœuds d'accéder à Amazon EKS APIs pour l'introspection du cluster et l'enregistrement des nœuds au moment du lancement. Si vos nœuds n’ont pas accès à Internet, consultez Déployer des clusters privés avec un accès Internet limité pour obtenir des informations supplémentaires.
Accès aux nœuds pour extraire des images de conteneurs depuis Amazon ECR ou d'autres registres de conteneurs APIs dont ils ont besoin pour extraire des images, tels que. DockerHub Pour plus d'informations, consultez la section Plages d'adresses AWS IP dans le manuel de référence AWS général.
Accès au nœud Amazon S3.
Des règles distinctes sont requises pour les adresses IPv4 et IPv6.
Si vous utilisez des nœuds hybrides, vous devez ajouter un groupe de sécurité supplémentaire à votre cluster pour permettre la communication avec vos nœuds et pods sur site. Pour de plus amples informations, veuillez consulter Préparer la mise en réseau pour les nœuds hybrides.

Si vous envisagez de limiter les règles, nous vous recommandons de tester minutieusement tous vos pods avant d’appliquer vos règles modifiées à un cluster de production.

Si vous avez initialement déployé un cluster avec Kubernetes 1.14 et une version plateforme eks.3 ou antérieure, prenez en considération les éléments suivants :

Vous pouvez également disposer de groupes de sécurité de nœud et de plan de contrôle. Lorsque ces groupes ont été créés, ils incluaient les règles restreintes répertoriées dans le tableau précédent. Ces groupes de sécurité ne sont plus nécessaires et peuvent être supprimés. Toutefois, vous devez vous assurer que le groupe de sécurité de votre cluster contient les règles que ces groupes contiennent.
Si vous avez déployé le cluster directement à l'aide de l'API ou si vous avez utilisé un outil tel que la AWS CLI ou AWS CloudFormation pour créer le cluster et que vous n'avez pas spécifié de groupe de sécurité lors de la création du cluster, le groupe de sécurité par défaut pour le VPC a été appliqué aux interfaces réseau du cluster créées par Amazon EKS.

Groupes de sécurité partagés

Amazon EKS prend en charge les groupes de sécurité partagés.

Les associations VPC de groupe de sécurité associent des groupes de sécurité à plusieurs VPCs groupes d'un même compte et d'une même région.
- Découvrez comment associer des groupes de sécurité à plusieurs VPCs dans le guide de l'utilisateur Amazon VPC.
Les groupes de sécurité partagés vous permettent de partager des groupes de sécurité avec d'autres AWS comptes. Les comptes doivent appartenir à la même AWS organisation.
- Découvrez comment partager des groupes de sécurité avec des organisations dans le Guide de l’utilisateur Amazon VPC.
Les groupes de sécurité sont toujours limités à une seule AWS région.

Considérations relatives à Amazon EKS

EKS a les mêmes exigences que les groupes de sécurité standard en matière de groupes de sécurité partagés ou multi-VPC.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d’un VPC

Gérer les modules complémentaires de mise en réseau