Ansichten:
Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
AmazonEKSNetworkingPolicy ist ein von AWS verwaltetes Add-on, das native Unterstützung für die Durchsetzung von Kubernetes NetworkPolicy innerhalb von Amazon Elastic Kubernetes Service (EKS) Clustern bietet. Es ermöglicht Organisationen, feingranulierte, pod-basierte Netzwerkzugriffskontrollen zu definieren und anzuwenden, die den Datenverkehr zwischen Workloads und externen Endpunkten regulieren. Basierend auf einer AWS-optimierten Implementierung von Calico integriert sich das Add-on nahtlos in die EKS-Steuerebene, um einen sicheren und skalierbaren Ansatz zur Netzwerksegmentierung zu bieten, ohne dass eine manuelle Installation des CNI-Plugins erforderlich ist. Durch die Nutzung von AmazonEKSNetworkingPolicy können Unternehmen ihre Cluster-Sicherheitslage stärken, Zero-Trust-Netzwerkprinzipien durchsetzen und die Einhaltung von organisatorischen und regulatorischen Zugriffskontrollstandards gewährleisten.
Standardmäßig ist der gesamte Pod-zu-Pod-Verkehr innerhalb eines Clusters erlaubt. Die Netzwerkrichtlinie erstellt eine Pod-Ebene-Firewall, die verwendet werden kann, um den Verkehr zwischen Quellen einzuschränken. Der Pod-Verkehr wird eingeschränkt, indem eine Netzwerkrichtlinie ihn auswählt (durch die Verwendung von Labels). Sobald eine Netzwerkrichtlinie in einem Namespace einen bestimmten Pod auswählt, wird dieser Pod alle Verbindungen ablehnen, die nicht durch eine Netzwerkrichtlinie erlaubt sind. Andere Pods im Namespace, die nicht von einer Netzwerkrichtlinie ausgewählt werden, akzeptieren weiterhin den gesamten Verkehr.
Die Implementierung der AmazonEKSNetworkingPolicy bietet erhebliche Sicherheits- und betriebliche Vorteile für Amazon EKS-Umgebungen, indem sie eine native, von AWS verwaltete Durchsetzung von Kubernetes NetworkPolicies einführt. Diese Fähigkeit ermöglicht es Organisationen, eine feingranulare, pod-basierte Netzwerksegmentierung zu implementieren, wodurch das Risiko seitlicher Bewegungen und unbefugter Kommunikation innerhalb von Clustern verringert wird.
Durch die Nutzung eines für AWS optimierten Calico-Engines beseitigt AmazonEKSNetworkingPolicy die Komplexität der manuellen Bereitstellung und Verwaltung von Drittanbieter-CNIs und gewährleistet gleichzeitig eine konsistente Policy enforcement im Einklang mit Kubernetes-Standards.
Das Add-on verbessert die Einhaltung der Zero-Trust-Netzwerkprinzipien, unterstützt regulatorische Rahmenbedingungen, die Netzwerkisolierung erfordern, und bietet zentrale Sichtbarkeit und Kontrolle über die Kommunikation innerhalb des Clusters. Letztendlich hilft es Organisationen, ihre Sicherheitslage zu verbessern, den betrieblichen Aufwand zu reduzieren und die Governance in modernen containerisierten Umgebungen zu vereinfachen.
Hinweis
Hinweis
Standardmäßig ist die Netzwerkrichtlinie deaktiviert.

Auswirkung

Die Implementierung der AmazonEKSNetworkingPolicy hat einen erheblichen Einfluss auf die allgemeine Sicherheit, Compliance und Betriebseffizienz von Amazon EKS-Umgebungen. Durch die native Durchsetzung von Kubernetes NetworkPolicies wird die Defense-in-Depth-Strategie des Clusters durch präzise Kontrolle der Kommunikation von Pod zu Pod und von Pod zu externen Systemen gestärkt.
Dies reduziert die Angriffsfläche, mindert das Risiko seitlicher Bewegungen und stellt sicher, dass nur ausdrücklich autorisierter Datenverkehr innerhalb des Clusters zugelassen wird. Aus Compliance-Sicht unterstützt es die Einhaltung von Zero-Trust-Sicherheitsrahmen und organisatorischen Richtlinien, die Netzwerksegmentierung und Isolation vorschreiben.
Betrieblich vereinfacht die AmazonEKSNetworkingPolicy die Verwaltung der Netzwerksicherheit, indem sie eine von AWS verwaltete, skalierbare und vollständig integrierte Lösung bietet—dadurch können Teams sich auf die Innovation von Anwendungen konzentrieren, anstatt auf komplexe Netzwerkkonfigurationen.
Hinweis
Hinweis
Das Aktivieren der Network Policy enforcement verbraucht zusätzliche Ressourcen in den Knoten. Insbesondere erhöht es den Speicherbedarf des kube-system-Prozesses um etwa 128 MB und erfordert ungefähr 300 Millikern der CPU.

Prüfung

Prüfen Sie, ob das Folgende zutrifft:
export CLUSTER_NAME=<your cluster name>
aws eks describe-addon --cluster-name ${CLUSTER_NAME} --addon-name vpc-cni --query addon.configurationValues
Ausgabe sollte lauten:
"{\"enableNetworkPolicy\":\"true\"}"

Wiederherstellung

Stellen Sie sicher, dass Amazon VPC CNI hinzugefügt wurde und vpc-cni aktiv ist und auf die entsprechende Version in den Cluster-Add-Ons aktualisiert wurde. Um das Add-On zu aktualisieren, führen Sie die folgende Anweisung in der AWS CLI aus:
aws eks update-addon --cluster-name $CLUSTER_NAME --addon-name vpc-cni --configuration-values '{"enableNetworkPolicy":"true"}'