Comment verrouiller l'accès API à des adresses IP spécifiques de mon cluster Amazon EKS ?

Date de la dernière mise à jour : 16/01/2020

Je souhaite verrouiller l'accès API à des adresses IP spécifiques de mon cluster Amazon Elastic Kubernetes Service (Amazon EKS).

Brève description

Vous pouvez verrouiller l'accès à deux types de points de terminaison d'accès au serveur d'API Amazon EKS :

  • Points de terminaison en accès public. L'accès au serveur d'API est ouvert au public par défaut. Vous pouvez verrouiller l'accès à des blocs d'adresse CIDR et à des adresses IP spécifiques.
  • Points de terminaison en accès privé. Le serveur d'API est accessible uniquement depuis un Amazon Virtual Private Cloud (Amazon VPC). Vous pouvez encore verrouiller l'accès à des blocs d'adresse CIDR VPC spécifiques via les groupes de sécurité du cluster.

Solution

Verrouiller les points de terminaison en accès public de l'API

  1. Ouvrez la console Amazon EKS.
  2. Dans le volet de navigation, sélectionnez Clusters, puis votre cluster.
  3. Dans la section Mise en réseau choisissez Mettre à jour.
  4. Développez Paramètres avancés.
    Remarque : les options Paramètres avancés s'affichent uniquement lorsque vous activez l'accès public.
  5. Entrez un bloc d'adresse CIDR à partir duquel vous souhaitez autoriser l'accès.
    Remarque : par exemple, vous pouvez résumer une plage d'adresses IP de 54.240.193.129 à 54.240.193.190 en 54.240.193.129/26. Vous pouvez former une seule adresse IP avec une notation /32 (par exemple, 54.240.193.130/32). Ces blocs d'adresse CIDR ne peuvent pas inclure d'adresses réservées.
  6. (Facultatif) Pour saisir des blocs supplémentaires, choisissez Add Source.
  7. Choisissez Mettre à jour.

Tenez compte des points suivants :

  • Si vous ne spécifiez aucun bloc d'adresse CIDR, le point de terminaison du serveur d'API public reçoit les demandes de toutes les adresses IP (0.0.0.0/0).
  • Une bonne pratique consiste à activer l'accès au point de terminaison privé afin que les nœuds de travail et les pods AWS Fargate (s'ils sont utilisés) puissent communiquer avec le cluster via le point de terminaison privé.
  • Si le point de terminaison privé n'est pas activé, les sources CIDR de votre point de terminaison d'accès public doivent inclure les sources de sortie de votre Amazon VPC. Par exemple, si vous avez un nœud de travail dans un sous-réseau privé qui communique avec Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans un bloc d'adresse CIDR autorisé sur votre point de terminaison public.

Verrouiller les points de terminaison d'accès privés d'API

  1. Ouvrez la console Amazon EKS.
  2. Dans le volet de navigation, sélectionnez Clusters, puis votre cluster.
  3. Dans la section Mise en réseau, notez le nom du groupe de sécurité du cluster et tous les groupes de sécurité supplémentaires.
  4. Ajoutez des règles de trafic entrant à l'un des groupes de sécurité que vous avez notés à l'étape 3.
    Remarque : pour votre règle d'entrée, définissez TCP comme protocole et définissez 443 comme port et adresse IP source à partir desquels vous autorisez l'accès.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?