发布于: Sep 9, 2020
现在,Amazon Elastic Kubernetes Service (EKS) 客户可以利用 EC2 安全组来保护共享集群计算资源上具有不同网络安全要求的应用程序。
之前,一个节点上的所有 Pod 共享相同的安全组。虽然服务账户的 IAM 角色解决了身份验证层的 Pod 级安全挑战,但根据合规性要求,许多组织还需要分割网络来进一步加强防御。Kubernetes 网络策略提供了控制集群内网络流量的选项,但不支持控制对 亚马逊云科技资源(如集群外的 Amazon RDS)的访问。
现在,从 Pod 到 Pod 和从 Pod 到外部 亚马逊云科技服务流量的网络安全规则可以使用 EC2 安全组在一个位置进行定义,并通过 Kubernetes 原生 API 应用于各个 Pod 和应用程序。这使得可以通过在共享的计算资源池上运行具有不同网络安全要求的应用程序,轻松地在多租户集群中实现网络安全合规性。
大多数基于 亚马逊云科技Nitro 的实例都支持将安全组分配给 Pod,这些实例与运行 Kubernetes 1.17 及更高版本的新 EKS 集群一起启动。我们将在未来几周内提供对现有集群的支持。要开始使用,请访问 Amazon EKS 文档。