プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
Amazon EKSクラスタを作成する際には、ネットワークポリシーが有効になっており、適切に設定されていることを確認してください。作成時に選択したネットワークポリシーオプションは後で変更できません。Amazon
EKSはCalico Network Policiesをサポートしており、Linux IPTablesを使用してネットワークセキュリティポリシーを強制するオープンソースのソリューションです。これらのポリシーは、IPペア間のトラフィックを許可または拒否するルールに変換され、クラスタ内のソース間のトラフィックを制限するポッドレベルのファイアウォールとして機能します。デフォルトでは、クラスタ内のポッド間トラフィックは制限されませんが、特定のポッドを選択するラベルを使用するネットワークポリシーが実装されている場合は制限されます。
ポッドにポリシーが適用されると、ポリシーに明示的に許可されていない接続はブロックされ、ネットワークポリシーに選択されていないポッドは引き続きすべてのトラフィックを受け入れます。ネットワークポリシーは、KubernetesネットワークポリシーAPIを介して管理され、互換性のあるネットワークプラグインによって強制される必要があります。これがない場合、リソースを作成するだけでは効果がありません。ネットワークポリシーを有効にするには、ネットワークポリシーアドオンが必要であり、新しいクラスタがネットワークポリシーで設定された場合には自動的に含まれますが、既存のクラスタには手動で追加する必要があります。ネットワークポリシーの有効化または無効化のプロセスは、すべてのクラスタノードのローリングアップデートをトリガーし、完了するまで他のクラスタ操作をブロックする長時間の操作です。さらに、ネットワークポリシーの強制には、追加のノードリソースが必要で、kube-systemプロセスのメモリフットプリントが約128MB増加し、約300ミリコアのCPUが必要です。
影響
Network Policy には Network Policy アドオンが必要です。このアドオンは Network Policy を使用するクラスターを作成する際に自動的に含まれますが、既存のクラスターの場合、Network
Policy を有効にする前に追加する必要があります。
ネットワークポリシーの有効化または無効化は、クラスタのアップグレードを実行するのと同様に、すべてのクラスタノードのローリングアップデートを引き起こします。この操作は長時間実行され、完了するまでクラスタ上の他の操作(削除を含む)をブロックします。
Network ポリシー適用を有効にすると、ノードの追加リソースを消費し、kube-system プロセスのメモリフットプリントが約128MB増加し、約300ミリコアのCPUが必要になります。
監査
以下の項目がnullでなく、適切なグループIDが設定されていることを確認してください:
export CLUSTER_NAME=<your cluster name> aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.clusterSecurityGroupId"
修復
Calico または他のネットワークポリシーエンジンを利用して、トラフィックをセグメント化および分離します。