将安全组分配给各个容器组(pod) - Amazon EKS
与适用于 Kubernetes 的 Amazon VPC CNI 插件功能的兼容性注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

将安全组分配给各个容器组(pod)

适用于:带有 Amazon EC2 实例的 Linux 节点

适用于:私有子网

容器组(pod)的安全组将 Amazon EC2 安全组与 Kubernetes Pod 集成在一起。您可以使用 Amazon EC2 安全组定义允许流向和来自于容器组(pod)的入站和出站网络流量的规则,而这些容器组(pod)将部署到在许多 Amazon EC2 实例类型和 Fargate 上运行的节点。有关此功能的详细说明,请参阅容器组(pod)的安全组介绍博客文章。

与适用于 Kubernetes 的 Amazon VPC CNI 插件功能的兼容性

您可以将容器组(pod)的安全组与以下功能结合使用:

注意事项

在部署容器组(pod)的安全组之前,请考虑以下限制和条件:

  • 容器组(pod)的安全组不能与 Windows 节点一起使用。

  • 通过使用版本 1.16.0 或更高版本的 Amazon VPC CNI 插件,容器组(pod)的安全组可以与为包含 Amazon EC2 节点的 IPv6 系列配置的集群一起使用。通过使用版本 1.7.7 或更高版本的 Amazon VPC CNI 插件,容器组(pod)的安全组可以与为仅包含 Fargate 节点的 IPv6 系列配置的集群一起使用。有关更多信息,请参阅 了解如何将 IPv6 地址分配给集群、容器组(pod)和服务

  • 大多数基于 Nitro 的 Amazon EC2 实例系列都支持容器组(pod)的安全组,但并非所有实例代的系列都支持安全组。例如,支持 m5c5r5m6gc6gr6g 实例系列和实例代。但不支持 t 系列中的实例类型。有关支持的实例类型的完整列表,请参阅 GitHub 上的 limits.go 文件。您的节点必须是在该文件中拥有 IsTrunkingCompatible: true 的所列出的实例类型之一。

  • 如果您还使用容器组(pod)安全策略来限制对容器组(pod)变更的访问权限,则必须在 Kubernetes ClusterRoleBinding 中为分配给 psprole 指定 eks:vpc-resource-controller Kubernetes 用户。如果您使用的是默认 Amazon EKS psproleClusterRoleBinding,则此命令为 eks:podsecuritypolicy:authenticated ClusterRoleBinding。例如,您将用户添加到 subjects: 部分,如以下示例所示:

    [...]
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: eks:vpc-resource-controller
  - kind: ServiceAccount
    name: eks-vpc-resource-controller

  • 如果要将自定义联网和容器组(pod)的安全组一起使用,则请使用容器组(pod)的安全组所指定的安全组,不要使用 ENIConfig 中指定的安全组。

  • 如果您使用的是版本 1.10.2 或更低版本的 Amazon VPC CNI 插件,并且将 terminationGracePeriodSeconds 设置包括在您的容器组(pod)规范中,该设置的值不能为零。

  • 如果您使用的是版本 1.10 或更低版本的 Amazon VPC CNI 插件或 POD_SECURITY_GROUP_ENFORCING_MODE=strict 的版本 1.11(默认设置),则您向其分配安全组的容器组(pod)将不支持使用实例目标(externalTrafficPolicy 设置为 Local)的 NodePortLoadBalancer 型 Kubernetes 服务。有关将负载均衡器与实例目标一起使用的更多信息,请参阅 使用网络负载均衡器路由 TCP 和 UDP 流量

  • 如果您使用的是版本 1.10 或更低版本的 Amazon VPC CNI 插件或 POD_SECURITY_GROUP_ENFORCING_MODE=strict 的版本 1.11(默认设置),对于来自分配有安全组的容器组(pod)的出站流量,禁用源 NAT,以便应用出站安全组规则。要访问 Internet,必须在配置了 NAT 网关或实例的私有子网中部署的节点上启动具有已分配安全组的容器组(pod)。部署到公有子网的已分配安全组的 Pod 无法访问 Internet。

    如果您使用的是 POD_SECURITY_GROUP_ENFORCING_MODE=standard 的版本 1.11 或者更高版本的插件,则发往 VPC 之外的容器组(pod)流量将转换为实例主网络接口的 IP 地址。对于此流量,将使用主网络接口的安全组中的规则,而不是容器组(pod)安全组中的规则。

  • 要将 Calico 网络策略用于具有关联安全组的容器组(pod),您必须使用版本 POD_SECURITY_GROUP_ENFORCING_MODE 或更高版本的 Amazon VPC CNI 插件并设置 1.11.0=standard。否则,流向和来自具有关联安全组的容器组(pod)的流量不受 Calico 网络策略执行的限制,并且仅受限于 Amazon EC2 安全组执行。要更新 Amazon VPC CNI 版本,请参阅 使用 Amazon VPC CNI 将 IP 分配给容器组(pod)

  • 在使用集群中的安全组的 Amazon EC2 节点上运行且使用 NodeLocal DNSCache 的容器组(pod)仅支持版本 1.11.0 或更高版本的 Amazon VPC CNI 插件和 POD_SECURITY_GROUP_ENFORCING_MODE=standard。要更新 Amazon VPC CNI 插件版本,请参阅 使用 Amazon VPC CNI 将 IP 分配给容器组(pod)

  • 对于具有高流失率的容器组(pod)而言,容器组(pod)的安全组可能会导致更高的容器组(pod)启动延迟。这是由于资源控制器中的速率限制造成的。

  • EC2 安全组范围处于容器组(pod)级别。有关更多信息,请参阅安全组

    如果您设置了 POD_SECURITY_GROUP_ENFORCING_MODE=standardAWS_VPC_K8S_CNI_EXTERNALSNAT=false,则发往 VPC 外部端点的流量使用节点的安全组,而不是容器组(pod)的安全组。