Amazon EKS ขอแนะนำนโยบายความปลอดภัยเครือข่ายที่ได้รับการปรับปรุง
วันนี้เราขอประกาศความสามารถด้านนโยบายเครือข่ายที่ได้รับการปรับปรุงใน Amazon Elastic Kubernetes Service (EKS) ซึ่งช่วยให้ลูกค้าสามารถปรับปรุง Security Posture ของเครือข่ายสำหรับเวิร์กโหลด Kubernetes และการผสานรวมกับปลายทางภายนอกของคลัสเตอร์ได้ การปรับปรุงนี้สร้างขึ้นบนฟีเจอร์การแบ่งส่วนเครือข่ายที่ได้รับการสนับสนุนก่อนหน้านี้ใน EKS ตอนนี้คุณสามารถบังคับใช้ตัวกรองการเข้าถึงเครือข่ายทั่วทั้งคลัสเตอร์ได้แล้ว รวมทั้งใช้ประโยชน์จากนโยบายตามระบบชื่อโดเมน (DNS) เพื่อรักษาความปลอดภัยในการรับส่งข้อมูลออกจากสภาพแวดล้อมของคลัสเตอร์ของคุณ
เนื่องจากลูกค้ามีการปรับขนาดสภาพแวดล้อมแอปพลิเคชันของตนเองโดยใช้ EKS อย่างต่อเนื่อง ทำให้การแยกการรับส่งข้อมูลเครือข่ายจึงจำเป็นมากขึ้นเพื่อป้องกันการเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาตภายในและภายนอกคลัสเตอร์ เพื่อแก้ไขปัญหานี้ EKS ได้แนะนำการสนับสนุน Kubernetes NetworkPolicies ใน ปลั๊กอิน Amazon VPC Container Network Interface (VPC CNI) ซึ่งช่วยให้คุณแบ่งส่วนการสื่อสารแบบพ็อดต่อพ็อดในระดับ Namespace ขณะนี้คุณสามารถเสริมสร้างท่าทางการป้องกันให้กับสภาพแวดล้อมเครือข่าย Kubernetes ของคุณได้โดยการจัดการตัวกรองเครือข่ายจากส่วนกลางสำหรับคลัสเตอร์ทั้งหมด นอกจากนี้ ผู้ดูแลระบบคลัสเตอร์ยังมีแนวทางที่มั่นคงและคาดการณ์ได้แม่นยำมากขึ้นเพื่อป้องกันการเข้าถึงทรัพยากรภายนอกของคลัสเตอร์โดยไม่ได้รับอนุญาตในระบบคลาวด์หรือในองค์กร โดยใช้กฎการออกที่จะกรองปริมาณการใช้งานไปยังตำแหน่งข้อมูลภายนอกตามชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ของพวกเขา
ฟีเจอร์ความปลอดภัยเครือข่ายใหม่เหล่านี้มีให้บริการใน AWS Region เชิงพาณิชย์ทั้งหมดสำหรับคลัสเตอร์ EKS ใหม่ที่ใช้ Kubernetes เวอร์ชัน 1.29 หรือใหม่กว่า พร้อมรองรับคลัสเตอร์ที่มีอยู่ที่จะตามมาในอีกไม่กี่สัปดาห์ข้างหน้า ClusterNetworkPolicy มีให้ใช้งานในโหมดเปิดตัวคลัสเตอร์ EKS ทั้งหมดโดยใช้ VPC CNI v1.21.1 หรือใหม่กว่า นโยบายที่ใช้ DNS ได้รับการสนับสนุนเฉพาะในอินสแตนซ์ EC2 ที่เปิดตัว EKS Auto Mode เท่านั้น หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่เอกสารประกอบ Amazon EKS และโพสต์บนบล็อกการเปิดตัวที่นี่