Menetapkan grup keamanan ke Pod individual

Terjemahan Alamat Jaringan Sumber IPv4 - Untuk informasi lebih lanjut, lihat. Aktifkan akses internet keluar untuk Pod

Alamat IPv6 ke cluster, Pod, dan layanan - Untuk informasi selengkapnya, lihat. Pelajari tentang IPv6 alamat ke klaster, Pod, dan layanan

Membatasi lalu lintas menggunakan kebijakan jaringan Kubernetes - Untuk informasi selengkapnya, lihat. Batasi lalu lintas Pod dengan kebijakan jaringan Kubernetes

Grup keamanan untuk Pod tidak dapat digunakan dengan node Windows atau Mode Otomatis EKS.

Grup keamanan untuk Pod dapat digunakan dengan cluster yang dikonfigurasi untuk IPv6 keluarga yang berisi node Amazon EC2 dengan menggunakan plugin Amazon VPC CNI versi 1.16.0 atau yang lebih baru. Anda dapat menggunakan grup keamanan untuk Pod dengan cluster yang dikonfigurasi untuk IPv6 keluarga yang hanya berisi node Fargate dengan menggunakan plugin Amazon VPC CNI versi 1.7.7 atau yang lebih baru. Untuk informasi selengkapnya, lihat Pelajari tentang IPv6 alamat ke klaster, Pod, dan layanan

Grup keamanan untuk Pod didukung oleh sebagian besar keluarga instans Nitro-basedAmazon EC2, meskipun tidak oleh semua generasi keluarga. Misalnya, keluarga dan generasi m5 c5r5, m6gc6g,,,, dan r6g contoh didukung. Tidak ada jenis instance dalam t keluarga yang didukung. Untuk daftar lengkap jenis instans yang didukung, lihat file limits.go di. GitHub Node Anda harus menjadi salah satu jenis instance terdaftar yang ada IsTrunkingCompatible: true di file itu.

Jika Anda menggunakan jaringan kustom dan grup keamanan untuk Pod bersama-sama, grup keamanan yang ditentukan oleh grup keamanan untuk Pod akan digunakan sebagai ganti grup keamanan yang ditentukan dalamENIConfig.

Jika Anda menggunakan versi 1.10.2 atau versi sebelumnya dari plugin Amazon VPC CNI dan Anda menyertakan terminationGracePeriodSeconds pengaturan dalam spesifikasi Pod Anda, nilai untuk pengaturan tidak bisa nol.

Jika Anda menggunakan versi 1.10 atau sebelumnya dari plugin Amazon VPC CNI, atau versi 1.11 dengan POD_SECURITY_GROUP_ENFORCING_MODE =, yang merupakan pengaturan defaultstrict, maka layanan Kubernetes dari tipe NodePort dan LoadBalancer menggunakan target instans dengan externalTrafficPolicy set to Local tidak didukung dengan Pod yang Anda tetapkan ke grup keamanan. Untuk informasi selengkapnya tentang cara menggunakan penyeimbang beban dengan target instans, lihat Rute lalu lintas TCP dan UDP dengan Network Load Balancers.

Jika Anda menggunakan versi 1.10 atau versi sebelumnya dari plugin Amazon VPC CNI atau versi 1.11 dengan POD_SECURITY_GROUP_ENFORCING_MODE =strict, yang merupakan pengaturan default, NAT sumber dinonaktifkan untuk lalu lintas keluar dari Pod dengan grup keamanan yang ditetapkan sehingga aturan grup keamanan keluar diterapkan. Untuk mengakses internet, Pod dengan grup keamanan yang ditetapkan harus diluncurkan pada node yang digunakan dalam subnet pribadi yang dikonfigurasi dengan gateway atau instance NAT. Pod dengan grup keamanan yang ditugaskan dan di-deploy ke subnet publik tidak dapat mengakses internet.

Jika Anda menggunakan versi 1.11 atau versi yang lebih baru dari plugin dengan POD_SECURITY_GROUP_ENFORCING_MODE =standard, lalu lintas Pod yang ditujukan untuk di luar VPC diterjemahkan ke alamat IP antarmuka jaringan utama instans. Untuk lalu lintas ini, aturan dalam grup keamanan untuk antarmuka jaringan utama digunakan, bukan aturan dalam grup keamanan Pod.

Untuk menggunakan kebijakan jaringan Calico dengan Pod yang memiliki grup keamanan terkait, Anda harus menggunakan versi 1.11.0 atau yang lebih baru dari plugin Amazon VPC CNI dan set =. POD_SECURITY_GROUP_ENFORCING_MODE standard Jika tidak, arus lalu lintas ke dan dari Pod dengan grup keamanan terkait tidak dikenakan penegakan kebijakan jaringan Calico dan terbatas pada penegakan grup keamanan Amazon EC2 saja. Untuk memperbarui versi CNI VPC Amazon Anda, lihat Tetapkan IP ke Pod dengan Amazon VPC CNI

Pod yang berjalan di node Amazon EC2 yang menggunakan grup keamanan dalam cluster yang menggunakan NodeLocal DNSCache hanya didukung dengan versi atau yang lebih baru 1.11.0 dari plugin Amazon VPC CNI dan dengan =. POD_SECURITY_GROUP_ENFORCING_MODE standard Untuk memperbarui versi plugin Amazon VPC CNI Anda, lihat Tetapkan IP ke Pod dengan Amazon VPC CNI

Grup keamanan untuk Pod dapat menyebabkan latensi startup Pod yang lebih tinggi untuk Pod dengan churn tinggi. Ini karena pembatasan tingkat di pengontrol sumber daya.

Cakupan grup keamanan EC2 ada di Pod-level - Untuk informasi selengkapnya, lihat Grup keamanan.

Jika Anda menetapkan POD_SECURITY_GROUP_ENFORCING_MODE=standard danAWS_VPC_K8S_CNI_EXTERNALSNAT=false, lalu lintas yang ditujukan untuk titik akhir di luar VPC menggunakan grup keamanan node, bukan grup keamanan Pod.