投稿日: Dec 20, 2019
Amazon Elastic Kubernetes Service (EKS) では、許可された IPv4 アドレス範囲を CIDR 表記で指定することにより、Kubernetes クラスターのパブリックエンドポイントへのアクセスを制限できるようになりました。これにより、パブリックエンドポイントへのネットワークベースのアクセスコントロールを実装できます。
Amazon EKS は、Kubernetes API サーバーのパブリックエンドポイントとプライベートエンドポイントをサポートします。これは、AWS Identity and Access Management (IAM) とネイティブ Kubernetes Role Based Access Control (RBAC) の組み合わせを使用して保護されます。プライベートエンドポイントには、クラスターの VPC 内からのみアクセスできます。以前は、パブリックエンドポイントはインターネットに対してオープンされていました。そのため、クライアントを無効にすることなく、パブリックエンドポイントへのリクエストを制限する方法はありませんでした。
現在、パブリックエンドポイントが有効になっている場合、接続リクエストの送信元となる IPv4 アドレス範囲を指定することにより、アクセスをさらに制限することを選択できます。この範囲外の IP アドレスを持つクライアントは、パブリックエンドポイントに接続できません。このアクセスコントロールは、AWS コンソール、AWS SDK、または eksctl を使用して設定できます。