发布于: Aug 29, 2023
Amazon VPC Container 联网接口 (CNI) 插件现在支持 Kubernetes NetworkPolicy 资源。客户可以使用相同的开源 Amazon VPC CNI 来实施容器组 (pod) 联网和网络策略,以保护其 Kubernetes 集群中的流量。这减少了运行其他软件进行网络访问控制的需求,并且可以与所有现有的 VPC CNI 功能配合使用。
默认情况下,在 Kubernetes 中,任何容器组 (pod) 都可以不受限制地与集群中的任何其他容器组 (pod) 通信。为了实现更好的网络隔离,Kubernetes NetworkPolicy 允许集群管理员通过定义容器组 (pod) 可以与哪些实体通信来保护对应用程序的访问和来自应用程序的访问,反之亦然。但是,这要求客户使用其他软件来实施 NetworkPolicy,这通常会导致安装和维护这些第三方插件的运营开销和成本。
由于在 Amazon VPC CNI 中支持 NetworkPolicy,在 AWS 上运行 Kubernetes 的客户现在可以根据标签选择器、命名空间、IP 数据块和端口来允许或拒绝其容器组 (pod) 之间的流量,而开销最小。通过原生 VPC 集成,他们可以使用标准组件(包括安全组和网络访问控制列表 (ACL))来保护其应用程序,这是其他深度防御措施的一部分。此外,客户可以使用 Amazon VPC CNI 插件在集群和节点级别跟踪已配置的策略并对其进行故障排除。从 VPC CNI v1.14 开始,NetworkPolicy 支持适用于运行 Kubernetes 1.25 及更高版本但在启动时默认处于关闭状态的新集群。