Amazon EKS クラスター内の特定の IP アドレスへの API アクセスをロックダウンする方法を教えてください。
最終更新日: 2020 年 1 月 16 日
Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの特定の IP アドレスへの API アクセスをロックダウンしたいと考えています。
簡単な説明
次の 2 種類の Amazon EKS API サーバーアクセスエンドポイントへのアクセスをロックダウンできます。
- パブリックアクセスエンドポイント。 API サーバーへのアクセスは、デフォルトでパブリックに公開されています。特定の CIDR ブロックと IP アドレスへのアクセスをロックダウンできます。
- プライベートアクセスエンドポイント。 API サーバーには、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセス可能です。クラスターセキュリティグループを介して、特定の VPC CIDR ブロックへのアクセスをさらにロックダウンできます。
解決方法
API パブリックアクセスエンドポイントをロックダウンする
- Amazon EKS コンソール を開きます。
- ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
- Networking セクションで [Update] をクリックします。
- [Advanced Settings] を展開します。
注: [Advanced Settings] オプションは、パブリックアクセスを有効にした場合にのみ表示されます。 - アクセスを許可する CIDR ブロックを入力します。
注: たとえば、54.240.193.129 から 54.240.193.190 までの IP アドレス範囲を 54.240.193.129/26 と要約できます。/32 表記で、単一の IP アドレスを形成できます (たとえば、 54.240.193.130/32)。これらの CIDR ブロックには、予約済みアドレスを含めることはできません。 - (オプション) 追加のブロックを入力するには、[Add Source] を選択します。
- [Update] をクリックします。
以下に留意してください。
- CIDR ブロックを指定しない場合、パブリック API サーバーエンドポイントはすべての (0.0.0.0/0) IP アドレスからリクエストを受け取ります。
- ワーカーノードと (使用されている場合) AWS Fargate ポッドがプライベートエンドポイントを介してクラスターと通信できるように、プライベートエンドポイントアクセスを有効にすることをお勧めします。
- プライベートエンドポイントが有効になっていない場合、パブリックアクセスエンドポイント CIDR ソースには Amazon VPC からのエグレスソースが含まれている必要があります。たとえば、NAT ゲートウェイを介してインターネットと通信するプライベートサブネットにワーカーノードがある場合、パブリックエンドポイントで許可されている CIDR ブロックの一部として NAT ゲートウェイのアウトバウンド IP アドレスを追加する必要があります。
API プライベートアクセスエンドポイントをロックダウンする
- Amazon EKS コンソール を開きます。
- ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
- Networking セクションにあるクラスターセキュリティグループと追加のセキュリティグループの名前をメモします。
- ステップ 3 でメモしたいずれかのセキュリティグループにイングレスルールを追加します。
注: イングレスルールでは、プロトコルとして TCP を、アクセスを許可するポートおよびソース IP として 443 を設定します。