投稿日: Aug 29, 2023
Amazon VPC Container Networking Interface (CNI) プラグインが Kubernetes NetworkPolicy リソースをサポートするようになりました。お客様は、同じオープンソースの Amazon VPC CNI を使用してポッドネットワークポリシーとネットワークポリシーの両方を実装し、Kubernetes クラスター内のトラフィックを保護できます。これにより、ネットワークアクセス制御のために追加のソフトウェアを実行する必要性が減り、既存のすべての VPC CNI 機能と並行して動作します。
デフォルトでは、Kubernetes で、どのポッドもクラスター内の他のポッドと制限なく通信できます。ネットワークの分離性を高めるため、Kubernetes NetworkPolicy では、あるポッドがどのエンティティと通信できるか、また、あるエンティティがどのポッドと通信できるかを定義することで、クラスター管理者がアプリケーションとのアクセスを保護できます。ただし、その場合、お客様は追加のソフトウェアを使用して NetworkPolicy を実装する必要があり、多くの場合、サードパーティのプラグインをインストールして保守するための運用上のオーバーヘッドとコストが発生します。
Amazon VPC CNI における NetworkPolicy のサポートにより、AWS で Kubernetes を実行しているお客様は、最小限のオーバーヘッドで、ラベルセレクター、名前空間、IP ブロック、ポートに基づいてポッド間のトラフィックを許可または拒否できるようになりました。ネイティブ VPC 統合により、追加の多層防御対策の一環として、セキュリティグループやネットワークアクセスコントロールリスト (ACL) などの標準コンポーネントを使用してアプリケーションを保護できます。さらに、お客様は Amazon VPC CNI プラグインを使用して、設定したポリシーをクラスターレベルおよびノードレベルで追跡およびトラブルシューティングできます。VPC CNI v1.14 以降、NetworkPolicy サポートは Kubernetes バージョン 1.25 以降を実行する新しいクラスターで利用できるようになりましたが、起動時にはデフォルトでオフになっています。