发布于: Aug 24, 2020
Amazon EKS 现在支持需要使用 IMDSv2 格式访问 EC2 实例元数据的容器化应用程序。
IMDSv2 是对实例元数据访问的增强功能,它需要面向会话的请求来增加深度防御能力,以防范未经授权的元数据访问。IMDSv2 需要 PUT 请求来启动实例元数据服务的会话并检索令牌。默认情况下,对 PUT 请求的响应的响应跳转限制(生存时间)在 IP 协议级别为 1。但是,Kubernetes 运行在来自实例的单独网络命名空间中,此限制与 Kubernetes 上的容器化应用程序不兼容。
现在,新启动和任何更新过的 EKS 托管节点组将配置为元数据令牌响应跳转限制为 2。对于自行管理的节点,CloudFormation 模板和 eksctl 已更新为默认情况下启动节点的跳转限制为 2。这样即可允许部署到 EKS 的应用程序开始使用 IMDSv2 进行实例元数据请求。如果客户的应用程序完全迁移到 IMDSv2,则他们可以选择使用托管节点组、eksctl 或 CloudFormation 禁用 IMDSv1。