設定檔適用性:等級 1 - 叢集 / 控制平面
確保在建立 Amazon EKS 叢集時已啟用並適當設置網路政策,因為在建立時選擇的網路政策選項之後無法更改。Amazon EKS 支援 Calico 網路政策,這是一種使用
Linux IPTables 來執行網路安全政策的開源解決方案。這些政策會被轉換成允許或禁止 IP 對之間流量的規則,有效地充當限制叢集內部來源之間流量的 pod
級防火牆。預設情況下,除非實施使用標籤選擇特定 pod 的網路政策,否則叢集內的 pod 對 pod 流量是不受限制的。
一旦將政策應用於 pod,它將封鎖任何未被政策明確允許的連接,而未被任何網路政策選中的 pod 將繼續接受所有流量。網路政策通過 Kubernetes 網路政策 API
進行管理,並且必須由兼容的網路插件強制執行;否則,僅創建資源將無效。啟用網路政策需要網路政策附加元件,該元件在設置具有網路政策的新叢集時會自動包含,但必須手動添加到現有叢集中。啟用或禁用網路政策的過程會觸發所有叢集節點的滾動更新,這是一個長時間的操作,在完成之前會封鎖其他叢集操作。此外,強制執行網路政策會消耗額外的節點資源,增加
kube-system 進程約 128MB 的內存佔用,並需要約 300 millicores 的 CPU。
影響
網路政策需要網路政策附加元件。當建立具有網路政策的叢集時,該附加元件會自動包含在內,但對於現有的叢集,需在啟用網路政策之前添加該附加元件。
啟用或停用網路政策會導致所有叢集節點進行滾動更新,類似於執行叢集升級。此操作需要較長時間,並且在完成之前會封鎖叢集上的其他操作(包括刪除)。
啟用網路策略實施會消耗節點中的額外資源,增加 kube-system 進程約 128MB 的記憶體佔用,並需要約 300 毫核的 CPU。
稽核
檢查以下項目是否不為空並設置適當的群組 ID:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.clusterSecurityGroupId"
補救措施
利用 Calico 或其他網路策略引擎來分段和隔離您的流量。