Publicado: Aug 29, 2023
Agora, o plug-in Container Networking Interface (CNI – Interface de rede de contêiner) da Amazon VPC oferece suporte ao recurso NetworkPolicy do Kubernetes. Os clientes podem usar o mesmo CNI de código aberto da Amazon VPC para implementar políticas de rede de pods e políticas de rede para proteger o tráfego em clusters do Kubernetes. Esse recurso reduz a necessidade de executar software adicional para controlar o acesso à rede e é compatível com todas as funcionalidades existentes de CNI da VPC.
Por padrão, dois pods de um cluster do Kubernetes podem se comunicar entre si sem restrições. Para melhorar o isolamento da rede, o NetworkPolicy do Kubernetes permite que os administradores de cluster protejam o acesso de/para aplicações definindo com quais entidades um pod pode se comunicar e vice-versa. No entanto, isso exige que os clientes usem software adicional para implementar o NetworkPolicy, o que normalmente resulta em sobrecarga operacional e de custo para instalar e manter esses plug-ins de terceiros.
Com o suporte do CNI da Amazon VPC ao NetworkPolicy, clientes que executam Kubernetes na AWS já podem permitir ou negar tráfego entre pods com base em seletores de rótulos, namespaces, blocos de IP e portas, com o mínimo de sobrecarga. A integração nativa com a VPC permite proteger aplicações usando componentes padrão, incluindo grupos de segurança e listas de controle de acesso (ACLs) à rede, como parte de medidas adicionais de defesa avançada. Além disso, os clientes podem rastrear e solucionar problemas de políticas configuradas por cluster e nó usando o plug-in CNI da Amazon VPC. A partir do CNI da VPC v1.14, o suporte à NetworkPolicy está disponível em novos clusters que executam o Kubernetes versão 1.25 e superior. Por padrão, o recurso está desativado na inicialização.
Para começar a usar, acesse a documentação do Amazon EKS. Para saber mais, confira o blog de lançamento.