게시된 날짜: Aug 24, 2020
Amazon EKS가 이제 IMDSv2 형식을 사용하여 EC2 인스턴스 메타데이터에 액세스해야 하는 컨테이너식 애플리케이션을 지원합니다..
IMDSv2는 무단 메타데이터 액세스에 대한 심층적인 방어를 강화하기 위해 세션 기반 인스턴스 메타데이터 액세스 요청에 대한 향상된 기능을 도입했습니다. IMDSv2는 인스턴스 메타데이터 서비스에 세션을 시작하고 토큰을 검색하기 위한 PUT 요청을 요구합니다. 기본적으로, PUT 요청에 대한 응답은 IP 프로토콜 수준에서 1의 응답 홉 제한(수명 시간)을 가집니다. 그러나, 이러한 제한은 인스턴스와 별도의 네트워크 네임스페이스에서 실행되는 Kubernetes 컨테이너식 애플리케이션과는 호환되지 않습니다.
이제, 새로 시작되고 업데이트되는 모든 EKS 관리 노드 그룹은 메타데이터 토큰 응답 홉 제한을 2로 설정하여 구성됩니다. 자체 관리형 노드의 경우, CloudFormation 템플릿 및 eksctl이 업데이트되어 노드 시작 시 기본 홉 제한이 2로 설정됩니다. 이를 통하여 EKS에 배포된 애플리케이션에서 인스턴스 메타데이터 요청에 IMDSv2 사용이 가능하게 됩니다. IMDSv2로 완전히 마이그레이션된 애플리케이션을 사용하는 고객들은 관리 노드 그룹, eksctl 또는 CloudFormation을 사용하여 IMDSv1을 비활성화하도록 선택할 수 있습니다.