Publicado en: Aug 29, 2023
El complemento de interfaz de red de contenedores (CNI) de Amazon VPC ahora es compatible con el recurso NetworkPolicy de Kubernetes. Los clientes pueden usar la misma CNI de Amazon VPC de código abierto para implementar políticas de red y redes de pods a fin de proteger el tráfico en sus clústeres de Kubernetes. Esto reduce la necesidad de ejecutar software adicional para los controles de acceso a la red y funcionará junto con todas las capacidades de la CNI de VPC existentes.
De forma predeterminada, en Kubernetes, cualquier pod puede comunicarse con cualquier otro pod de un clúster sin restricciones. Para lograr un mejor aislamiento de la red, NetworkPolicy de Kubernetes permite a los administradores de clústeres proteger el acceso a las aplicaciones y desde ellas definir con qué entidades puede comunicarse un pod y viceversa. Sin embargo, esto requiere que los clientes usen software adicional para implementar NetworkPolicy, lo que a menudo genera una sobrecarga operativa y un costo para instalar y mantener esos complementos de terceros.
Gracias a la compatibilidad con NetworkPolicy en la CNI de Amazon VPC, los clientes que ejecutan Kubernetes en AWS ahora pueden permitir o denegar el tráfico entre sus pods basándose en selectores de etiquetas, espacios de nombres, bloques de IP y puertos con una sobrecarga mínima. Con la integración de VPC nativa, pueden proteger sus aplicaciones mediante componentes estándar, incluidos grupos de seguridad y listas de control de acceso (ACL) a la red, como parte de medidas adicionales de defensa en profundidad. Además, los clientes pueden rastrear y solucionar problemas de las políticas configuradas a nivel de clúster y nodo mediante el complemento de la CNI de Amazon VPC. A partir de la CNI de VPC v1.14, la compatibilidad con NetworkPolicy está disponible en los nuevos clústeres que ejecutan Kubernetes versión 1.25 o superior, pero está desactivada de forma predeterminada en el momento de la ejecución.
Para comenzar, visite la documentación de Amazon EKS. Para obtener más información, consulte el blog de lanzamiento.