Publié le: Aug 29, 2023
Le plug-in Amazon VPC Container Networking Interface (CNI) prend désormais en charge la ressource Kubernetes NetworkPolicy. Les clients peuvent utiliser le même système open source Amazon VPC CNI pour implémenter à la fois la mise en réseau des pods et les politiques réseau afin de sécuriser le trafic dans leurs clusters Kubernetes. Cela réduit le besoin d'exécuter des logiciels supplémentaires pour les contrôles d'accès au réseau et fonctionnera parallèlement à toutes les fonctionnalités VPC CNI existantes.
Par défaut, dans Kubernetes, n'importe quel pod peut communiquer avec n'importe quel autre pod au sein d'un cluster sans aucune restriction. Pour une meilleure isolation du réseau, Kubernetes NetworkPolicy permet aux administrateurs de clusters de sécuriser l'accès vers et depuis les applications en définissant les entités avec lesquelles un pod est autorisé à communiquer et vice-versa. Toutefois, cela oblige les clients à utiliser des logiciels supplémentaires pour implémenter NetworkPolicy, ce qui entraîne souvent des frais d'exploitation et des coûts liés à l'installation et à la maintenance de ces plug-ins tiers.
Grâce à la prise en charge de NetworkPolicy dans Amazon VPC CNI, les clients exécutant Kubernetes sur AWS peuvent désormais autoriser ou refuser le trafic entre leurs pods en fonction des sélecteurs d'étiquettes, des espaces de noms, des blocs IP et des ports avec une surcharge minimale. Grâce à l'intégration native du VPC, ils peuvent sécuriser leurs applications à l'aide de composants standard, notamment des groupes de sécurité et des listes de contrôle d'accès réseau (ACL), dans le cadre de mesures de défense approfondies supplémentaires. En outre, les clients peuvent suivre et résoudre les problèmes liés aux politiques configurées au niveau du cluster et du nœud à l'aide du plug-in Amazon VPC CNI. À partir de VPC CNI v1.14, la prise en charge de NetworkPolicy est disponible sur les nouveaux clusters exécutant Kubernetes version 1.25 ou ultérieure, mais elle est désactivée par défaut au lancement.
Pour commencer, consultez la documentation d’Amazon EKS. Pour en savoir plus, consultez le blog de lancement.