Veröffentlicht am: Aug 29, 2023
Das Container Networking Interface (CNI)-Plugin von Amazon VPC unterstützt jetzt die NetworkPolicy-Ressource von Kubernetes. Kunden können dieselbe Open-Source-CNI von Amazon VPC verwenden, um sowohl Pod-Netzwerke als auch Netzwerkrichtlinien zur Sicherung des Datenverkehrs in ihren Kubernetes-Cluster zu implementieren. Dies reduziert den Bedarf an zusätzlicher Software für die Netzwerkzugangskontrolle und funktioniert mit allen bestehenden VPC-CNI-Funktionen.
Standardmäßig kann in Kubernetes jeder Pod mit jedem anderen Pod innerhalb eines Clusters ohne Einschränkungen kommunizieren. Für eine bessere Netzwerkisolierung können Cluster-Administratoren mit Kubernetes NetworkPolicy den Zugang zu und von Anwendungen sichern. Dazu legen sie fest, mit welchen Entitäten ein Pod kommunizieren darf und umgekehrt. Dies erfordert jedoch, dass Kunden zusätzliche Software zur Implementierung von NetworkPolicy verwenden, was häufig zu einem betrieblichen Mehraufwand und zu Kosten für die Installation und Wartung dieser Plugins von Drittanbietern führt.
Mit dem Support für NetworkPolicy in Amazon VPC CNI können Kunden, die Kubernetes auf AWS ausführen, jetzt den Datenverkehr zwischen ihren Pods anhand von Markierungsselektoren, Namespaces, IP-Blöcken und Ports mit minimalem Overhead zulassen oder ablehnen. Mithilfe der nativen VPC-Integration können sie ihre Anwendungen mit Standardkomponenten wie Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (ACL) als Teil zusätzlicher Defense-in-Depth-Maßnahmen schützen. Darüber hinaus können Kunden mit dem Amazon VPC CNI-Plugin konfigurierte Richtlinien auf Cluster- und Knotenebene nachverfolgen und Fehler beheben. Ab VPC CNI V1.14 ist der NetworkPolicy-Support auf neuen Clustern mit Kubernetes Version 1.25 und höher verfügbar. Beim Start ist er jedoch standardmäßig deaktiviert.
Erste Schritte finden Sie in der Dokumentation zu Amazon EKS. Weitere Informationen finden Sie im Blog zur Einführung.