Gruppo di sicurezza del cluster predefinito Limitazione del traffico cluster Gruppi di sicurezza condivisi

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster

In questo argomento vengono descritti i requisiti relativi al gruppo di sicurezza per un cluster Amazon EKS.

Gruppo di sicurezza del cluster predefinito

Quando si crea un cluster, Amazon EKS crea un gruppo di sicurezza denominato eks-cluster-sg-my-cluster-uniqueID. Questo gruppo di sicurezza presenta le regole predefinite seguenti:

Tipo di regola	Protocollo	Porte	Origine	Destinazione
In entrata	Tutti	Tutti	Personale
In uscita	Tutti	Tutti		0.0.0.0/0(`IPv4`) o ::/0 (`IPv6`)
In uscita	Tutti	Tutti		Self (per il traffico EFA)

Il gruppo di sicurezza predefinito include una regola in uscita che consente il traffico di Elastic Fabric Adapter (EFA) con la destinazione dello stesso gruppo di sicurezza. Ciò consente il traffico EFA all'interno del cluster, il che è vantaggioso per i AI/ML carichi di lavoro HPC (High Performance Computing). Per ulteriori informazioni, consulta Elastic Fabric Adapter per AI/ML carichi di lavoro HPC su Amazon EC2 nella Amazon Elastic Compute Cloud User Guide.

Importante

Se il tuo cluster non necessita della regola in uscita per 0.0.0.0/0 (IPv4), ::/0 (IPv6), puoi rimuoverla. Se la rimuovi, dovrai comunque avere le regole minime elencate in Limitazione del traffico del cluster. Se rimuovi le regole in entrata o in uscita che consentono to/from il traffico verso il gruppo di sicurezza del cluster stesso, Amazon EKS le ricrea ogni volta che il cluster viene aggiornato.

Amazon EKS aggiunge i seguenti tag al gruppo di sicurezza. Se rimuovi i tag, Amazon EKS li aggiunge nuovamente al gruppo di sicurezza ogni volta che il cluster viene aggiornato.

Chiave	Valore
`kubernetes.io/cluster/my-cluster`	`owned`
`aws:eks:cluster-name`	`my-cluster`
`Name`	`eks-cluster-sg-my-cluster-uniqueid`

Amazon EKS crea le risorse riportate di seguito e le associa automaticamente a questo gruppo di sicurezza:

2-4 interfacce di rete elastiche (indicate nel resto del documento come interfacce di rete) create insieme al cluster.
Interfacce di rete dei nodi in qualsiasi gruppo di nodi gestito creato.

Le regole predefinite consentono il flusso del traffico tra il cluster e i nodi e il traffico in uscita verso qualsiasi destinazione. Quando crei un cluster, puoi specificare i gruppi di sicurezza personali se lo desideri. In tal caso, Amazon EKS associa i gruppi di sicurezza specificati alle interfacce di rete create per il cluster, Tuttavia, non li associa ai gruppi di nodi che crei.

Puoi determinare l'ID del gruppo di sicurezza del cluster nella Console di gestione AWS sezione Rete del cluster. In alternativa, puoi farlo eseguendo il seguente comando AWS CLI.


aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

Limitazione del traffico cluster

Se è necessario limitare le porte aperte tra il piano di controllo EKS e i nodi, è possibile rimuovere la regola di uscita predefinita a 0.0.0.0/0 (IPv4)/::/0(IPv6) e aggiungere le seguenti regole minime necessarie per il cluster.

Se rimuovi la regola in entrata predefinita che consente tutto il traffico per l'origine autonoma (traffico proveniente dal gruppo di sicurezza del cluster), Amazon EKS la ricrea quando il cluster viene aggiornato.

Se rimuovi la regola in uscita predefinita che consente tutto il traffico per la destinazione automatica (traffico verso il gruppo di sicurezza del cluster), Amazon EKS la ricrea quando il cluster viene aggiornato.

Tipo di regola	Protocollo	Porta	Destinazione
In uscita	TCP	443	Gruppo di sicurezza del cluster
In uscita	TCP	10250	Gruppo di sicurezza del cluster
In uscita (DNS)	TCP e UDP	53	Gruppo di sicurezza del cluster

È inoltre necessario aggiungere regole per il traffico seguente:

Qualsiasi protocollo e porta che si prevede di utilizzare per la comunicazione tra i nodi.
Accesso a Internet in uscita in modo che i nodi possano accedere ad Amazon EKS APIs per l'introspezione dei cluster e la registrazione dei nodi al momento del lancio. Se i nodi non hanno accesso a Internet, consulta Implementazione di cluster privati con accesso Internet limitato per ulteriori considerazioni.
Accesso al nodo per estrarre immagini di container da Amazon ECR o da altri registri di container da APIs cui devono estrarre immagini, ad esempio. DockerHub Per ulteriori informazioni, consulta Intervalli di indirizzi AWS IP nella AWS Guida generale.
Accesso dei nodi ad Amazon S3.
Sono necessarie regole separate per gli indirizzi IPv4 e IPv6.
Se utilizzi nodi ibridi, devi aggiungere un gruppo di sicurezza aggiuntivo al cluster per consentire la comunicazione con i nodi on-premises e i pod. Per ulteriori informazioni, consulta Preparazione della rete per i nodi ibridi.

Se stai pianificando una limitazione delle regole, ti consigliamo di testare accuratamente tutti i pod prima di applicare le regole modificate a un cluster di produzione.

Se precedentemente hai implementato un cluster con Kubernetes 1.14 e una versione della piattaforma eks.3 o precedente, considera quanto segue:

È probabile che siano presenti anche piani di controllo (control-plane) e gruppi di sicurezza dei nodi. Al momento della creazione, questi gruppi contenevano le regole con restrizioni elencate nella tabella precedente, che adesso possono essere rimosse in quanto non più necessarie. Tuttavia, è necessario assicurarsi che il gruppo di sicurezza del cluster contenga le regole incluse in tali gruppi.
Se hai distribuito il cluster utilizzando direttamente l'API o hai utilizzato uno strumento come la AWS CLI AWS CloudFormation o per creare il cluster e non hai specificato un gruppo di sicurezza al momento della creazione del cluster, il gruppo di sicurezza predefinito per il VPC è stato applicato alle interfacce di rete del cluster create da Amazon EKS.

Gruppi di sicurezza condivisi

Amazon EKS supporta gruppi di sicurezza condivisi.

Le associazioni VPC dei gruppi di sicurezza associano i gruppi di sicurezza VPCs a più gruppi nello stesso account e nella stessa regione.
- Scopri come associare gruppi di sicurezza a più gruppi di sicurezza VPCs nella Amazon VPC User Guide.
I gruppi di sicurezza condivisi consentono di condividere gruppi di sicurezza con altri AWS account. Gli account devono appartenere alla stessa AWS organizzazione.
- Scopri come condividere i gruppi di sicurezza con le organizzazioni nella Guida per l’utente di Amazon VPC.
I gruppi di sicurezza sono sempre limitati a una singola AWS regione.

Considerazioni per Amazon EKS

EKS ha gli stessi requisiti dei gruppi di sicurezza condivisi o multi-VPC dei gruppi di sicurezza standard.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea un VPC

Gestione di componenti aggiuntivi di rete