設定檔適用性:等級 1 - 叢集 / 控制平面
在建立 Amazon EKS 叢集時,請確保網路政策已啟動並適當設定,因為在建立時選擇的網路政策選項之後無法更改。Amazon EKS 支援 Calico 網路政策,這是一個使用
Linux IPTables 來執行網路安全政策的開源解決方案。這些政策被轉換成允許或禁止 IP 對之間流量的規則,有效地充當叢集內部來源之間流量的 Pod 級防火牆。預設情況下,除非實施使用標籤選擇特定
Pod 的網路政策,否則叢集內的 Pod 到 Pod 流量是不受限制的。
一旦政策應用於 pod,將封鎖任何未被政策明確允許的連接,而未被任何網路政策選擇的 pod 將繼續接受所有流量。網路政策是通過 Kubernetes 網路政策 API
管理的,必須由相容的網路插件強制執行;否則僅創建資源將無效。啟用網路政策需要網路政策附加元件,當新集群設置網路政策時會自動包含,但必須手動添加到現有集群。啟用或禁用網路政策的過程會觸發所有集群節點的滾動更新,這是一個長時間的操作,會封鎖其他集群操作直到完成。此外,強制執行網路政策會消耗額外的節點資源,增加
kube-system 進程的記憶體佔用約 128MB,並需要約 300 millicores 的 CPU。
影響
網路政策需要網路政策附加元件。當建立具有網路政策的叢集時,該附加元件會自動包含,但對於現有的叢集,則需要在啟用網路政策之前添加。
啟用或停用網路政策會導致所有叢集節點進行滾動更新,類似於執行叢集升級。此操作耗時較長,並且會封鎖叢集上的其他操作(包括刪除)直到完成。
啟用網路 Policy enforcement 會消耗節點的額外資源,增加 kube-system 進程的記憶體佔用約 128MB,並需要約 300 millicores
的 CPU。
稽核
檢查以下項目是否不為空並設定適當的群組 ID:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.clusterSecurityGroupId"
補救
使用 Calico 或其他網路策略引擎來分段和隔離您的流量。