Amazon EKS представляет усовершенствованные политики сетевой безопасности
Сегодня мы объявляем об улучшенных возможностях сетевой политики в Amazon Elastic Kubernetes Service (EKS), которые позволяют клиентам повысить уровень сетевой безопасности рабочих нагрузок Kubernetes и интеграций с внешними адресатами кластера. Это усовершенствование основано на функциях сегментации сети, уже поддерживаемых EKS. Теперь можно централизованно применять фильтры сетевого доступа ко всему кластеру, а также использовать политики на основе системы доменных имен (DNS) для защиты исходящего трафика из среды кластера.
По мере того как клиенты продолжают масштабировать среды приложений с использованием EKS, изоляция сетевого трафика становится все более важной для предотвращения несанкционированного доступа к ресурсам внутри и за пределами кластера. Для решения этой задачи в EKS внедрена поддержка Kubernetes NetworkPolicies в плагине Amazon VPC Container Network Interface (VPC CNI), что позволяет сегментировать обмен данными между подами на уровне пространства имен. Теперь можно дополнительно усилить защиту сетевой среды Kubernetes, централизованно управляя сетевыми фильтрами для всего кластера. Кроме того, администраторы кластера теперь располагают более стабильным и предсказуемым механизмом предотвращения несанкционированного доступа к внешним ресурсам кластера в облаке или локальной среде с помощью правил исходящего трафика, фильтрующих обращения к внешним адресам на основе их полных доменных имен (FQDN).
Эти новые функции сетевой безопасности доступны во всех коммерческих регионах AWS для новых кластеров EKS под управлением Kubernetes 1.29 или более поздней версии, а поддержка существующих кластеров появится в ближайшие недели. Политика ClusterNetworkPolicy доступна во всех режимах запуска кластера EKS при использовании VPC CNI 1.21.1 и более поздних версий. Политики на основе DNS поддерживаются только в инстансах EC2, запущенных в автоматическом режиме EKS. Чтобы узнать больше, ознакомьтесь с документацией по Amazon EKS или прочтите публикацию в блоге о запуске здесь.