プロファイル適用性: レベル 1 - クラスター / コントロールプレーン
Amazon EKSクラスターを作成する際には、ネットワークポリシーが有効で適切に設定されていることを確認してください。作成時に選択したネットワークポリシーオプションは後で変更できません。Amazon
EKSは、Linux IPTablesを使用してネットワークセキュリティポリシーを強制するオープンソースソリューションであるCalico Network Policiesをサポートしています。これらのポリシーは、IPペア間のトラフィックを許可または禁止するルールに変換され、クラスター内のソース間のトラフィックを制限するポッドレベルのファイアウォールとして効果的に機能します。デフォルトでは、特定のポッドを選択するラベルを使用するネットワークポリシーが実装されない限り、クラスター内のポッド間のトラフィックは制限されません。
ポリシーがポッドに適用されると、そのポリシーで明示的に許可されていない接続はすべてブロックされますが、ネットワークポリシーによって選択されていないポッドはすべてのトラフィックを受け入れ続けます。ネットワークポリシーはKubernetesネットワークポリシーAPIを介して管理され、互換性のあるネットワークプラグインによって強制される必要があります。これがないと、リソースを作成するだけでは効果がありません。ネットワークポリシーを有効にするには、ネットワークポリシーアドオンが必要であり、新しいクラスターがネットワークポリシーでセットアップされると自動的に含まれますが、既存のクラスターには手動で追加する必要があります。ネットワークポリシーを有効または無効にするプロセスは、すべてのクラスターノードのローリングアップデートをトリガーし、完了するまで他のクラスター操作をブロックする長時間の操作です。さらに、ネットワークポリシーを強制すると、追加のノードリソースが消費され、kube-systemプロセスのメモリフットプリントが約128MB増加し、約300ミリコアのCPUが必要になります。
影響
ネットワークポリシーはネットワークポリシーアドオンを必要とします。このアドオンはネットワークポリシーを持つクラスターが作成されると自動的に含まれますが、既存のクラスターの場合、ネットワークポリシーを有効にする前に追加する必要があります。
ネットワークポリシーの有効化または無効化は、クラスタのアップグレードを行うのと同様に、すべてのクラスタノードのローリングアップデートを引き起こします。この操作は長時間実行され、完了するまでクラスタ上の他の操作
(削除を含む) をブロックします。
ネットワークポリシー適用を有効にすると、ノードの追加リソースが消費され、kube-systemプロセスのメモリ使用量が約128MB増加し、約300ミリコアのCPUが必要になります。
監査
次の項目がnullでなく、適切なグループIDが設定されていることを確認してください:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.clusterSecurityGroupId"
修復
Calicoまたは他のネットワークポリシーエンジンを利用して、トラフィックをセグメント化し、分離します。