プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
Amazon EKSクラスタを作成する際には、ネットワークポリシーが有効になっており、適切に設定されていることを確認してください。作成時に選択したネットワークポリシーオプションは後で変更できません。Amazon
EKSはCalico Network Policiesをサポートしており、Linux IPTablesを使用してネットワークセキュリティポリシーを強制するオープンソースのソリューションです。これらのポリシーは、IPペア間のトラフィックを許可または拒否するルールに変換され、クラスタ内のソース間のトラフィックを制限するポッドレベルのファイアウォールとして機能します。デフォルトでは、クラスタ内のポッド間トラフィックは制限されませんが、特定のポッドを選択するラベルを使用するネットワークポリシーが実装されている場合は制限されます。
ポッドにポリシーが適用されると、ポリシーに明示的に許可されていない接続はブロックされ、ネットワークポリシーに選択されていないポッドは引き続きすべてのトラフィックを受け入れます。ネットワークポリシーは、KubernetesネットワークポリシーAPIを介して管理され、互換性のあるネットワークプラグインによって強制される必要があります。これがない場合、リソースを作成するだけでは効果がありません。ネットワークポリシーを有効にするには、ネットワークポリシーアドオンが必要であり、新しいクラスタがネットワークポリシーで設定された場合には自動的に含まれますが、既存のクラスタには手動で追加する必要があります。ネットワークポリシーの有効化または無効化のプロセスは、すべてのクラスタノードのローリングアップデートをトリガーし、完了するまで他のクラスタ操作をブロックする長時間の操作です。さらに、ネットワークポリシーの強制には、追加のノードリソースが必要で、kube-systemプロセスのメモリフットプリントが約128MB増加し、約300ミリコアのCPUが必要です。