Publié le: Aug 24, 2020
Amazon EKS prend désormais en charge les applications conteneurisées nécessitant un accès aux métadonnées d'instance EC2 utilisant le format IMDSv2.
IMDSv2 est une amélioration pour l'accès aux métadonnées d'instance qui requiert des demandes orientées session pour renforcer la protection contre l'accès non autorisé aux métadonnées. IMDSv2 exige une demande PUT pour démarrer une session au service de métadonnées d'instance et récupérer un jeton. Par défaut, la réponse aux demandes PUT possède une durée de vie (hop limit) de réponse de 1 au niveau du protocole IP. Cependant, cette durée s'avère incompatible avec les applications conteneurisées sur Kubernetes qui s'exécutent dans un espace de noms de réseau séparé de l'instance.
Dorénavant, tous les groupes de nœuds gérés EKS mis à jour et tout juste lancés seront configurés avec une hop limit de réponse de jeton de métadonnées de niveau 2. Pour les nœuds autogérés, les modèles CloudFormation et eksctl ont été mis à jour pour lancer des nœuds par défaut avec une hop limit de niveau 2. Cela permet aux applications déployées sur EKS de commencer à utiliser IMDSv2 pour les demandes de métadonnées d'instance. Les clients avec des applications entièrement migrées sur IMDSv2 peuvent choisir de désactiver IMDSv1 utilisant des groupes de nœuds gérés, eksctl ou CloudFormation.
Pour en savoir plus, consultez la documentation EKS. Pour plus d'informations sur IMDSv2, reportez-vous à la documentation EC2.