投稿日: Mar 19, 2019
Amazon Elastic Container Service for Kubernetes (EKS) が管理する Kubernetes API サーバーエンドポイントへのアクセスを制御できるようになりました。Kubernetes ワーカーノード、Kubernetes コマンドラインツール、EKS によって管理されている Kubernetes API サーバー間のトラフィックは Amazon Virtual Private Cloud (VPC) 内に留まります。これにより、VPC 内で Kubernetes コントロールプレーンとワーカーノードを分離できるようになり、悪意のある攻撃や偶発的な露出に対してのクラスターの保護が一層強化されます。
以前は、Kubernetes API エンドポイントは VPC 外からアクセスできました。ワーカーノードは、API サーバーに接続するための正しい IP アドレスを取得するために VPC の外部にコールする必要があり、API サーバーへのアクセスはセキュリティグループを使用して制限されていました。
これからはエンドポイントへのアクセスを制御できるので、すべての API サーバーへのトラフィックが VPC 内に留まります。これによって、EKS によって管理されている Kubernetes クラスターのセキュリティとコントロールが一層強化されます。
詳細については、Amazon EKS ドキュメントをご覧ください。