Amazon EKS クラスター内の特定の IP アドレスへの API アクセスをロックダウンする方法を教えてください。

最終更新日: 2020 年 1 月 16 日

Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの特定の IP アドレスへの API アクセスをロックダウンしたいと考えています。

簡単な説明

次の 2 種類の Amazon EKS API サーバーアクセスエンドポイントへのアクセスをロックダウンできます。

  • パブリックアクセスエンドポイント。 API サーバーへのアクセスは、デフォルトでパブリックに公開されています。特定の CIDR ブロックと IP アドレスへのアクセスをロックダウンできます。
  • プライベートアクセスエンドポイント。 API サーバーには、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセス可能です。クラスターセキュリティグループを介して、特定の VPC CIDR ブロックへのアクセスをさらにロックダウンできます。

解決方法

API パブリックアクセスエンドポイントをロックダウンする

  1. Amazon EKS コンソール を開きます。
  2. ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
  3. Networking セクションで [Update] をクリックします。
  4. [Advanced Settings] を展開します。
    注: [Advanced Settings] オプションは、パブリックアクセスを有効にした場合にのみ表示されます。
  5. アクセスを許可する CIDR ブロックを入力します。
    注: たとえば、54.240.193.129 から 54.240.193.190 までの IP アドレス範囲を 54.240.193.129/26 と要約できます。/32 表記で、単一の IP アドレスを形成できます (たとえば、 54.240.193.130/32)。これらの CIDR ブロックには、予約済みアドレスを含めることはできません。
  6. (オプション) 追加のブロックを入力するには、[Add Source] を選択します。
  7. [Update] をクリックします。

以下に留意してください。

  • CIDR ブロックを指定しない場合、パブリック API サーバーエンドポイントはすべての (0.0.0.0/0) IP アドレスからリクエストを受け取ります。
  • ワーカーノードと (使用されている場合) AWS Fargate ポッドがプライベートエンドポイントを介してクラスターと通信できるように、プライベートエンドポイントアクセスを有効にすることをお勧めします。
  • プライベートエンドポイントが有効になっていない場合、パブリックアクセスエンドポイント CIDR ソースには Amazon VPC からのエグレスソースが含まれている必要があります。たとえば、NAT ゲートウェイを介してインターネットと通信するプライベートサブネットにワーカーノードがある場合、パブリックエンドポイントで許可されている CIDR ブロックの一部として NAT ゲートウェイのアウトバウンド IP アドレスを追加する必要があります。

API プライベートアクセスエンドポイントをロックダウンする

  1. Amazon EKS コンソール を開きます。
  2. ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
  3. Networking セクションにあるクラスターセキュリティグループと追加のセキュリティグループの名前をメモします。
  4. ステップ 3 でメモしたいずれかのセキュリティグループにイングレスルールを追加します。
    注: イングレスルールでは、プロトコルとして TCP を、アクセスを許可するポートおよびソース IP として 443 を設定します。

この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合