Amazon EKS 推出增強的網絡安全政策
我們今日宣佈 Amazon Elastic Kubernetes Service (EKS) 中的增強網路政策功能,讓客戶能夠改善 Kubernetes 工作負載的網路安全狀態,以及與叢集外部目的地的整合。此增強功能是以 EKS 之前支援的網路分隔功能為基礎建置而成。現在,您能夠在整個叢集中集中強制執行網路存取篩選,並利用網域名稱系統 (DNS) 型政策來保護叢集環境中的輸出流量。
在客戶繼續使用 EKS 擴展其應用程式環境的同時,網路流量隔離對於防止未經授權存取叢集內部和外部資源變得愈發重要。為了解決這個問題,EKS 在 Amazon VPC Container Network Interface (VPC CNI) 外掛程式中導入 Kubernetes NetworkPolicies 支援,讓您能夠在命名空間層級分隔 Pod 對 Pod 通訊。您現在能夠透過集中管理整個叢集的網路篩選來進一步加強 Kubernetes 網路環境的防禦態勢。此外,叢集管理員現在能夠使用輸出規則來根據其完整網域名稱 (FQDN) 篩選傳送至外部端點的流量,以更穩定且可預測的方法來防止對雲端或內部部署內叢集外部資源的未經授權存取。
這些新的網路安全功能在所有商業 AWS 區域推出,適用於執行 Kubernetes 1.29 版或更高版本的新 EKS 叢集,並將在未來幾週內堆出對現有叢集的支援。ClusterNetworkPolicy 適用於所有使用 VPC CNI v1.21.1 或更新版本的 EKS 叢集啟動模式。只有在 EKS 自動模式內啟動的 EC2 執行個體支援 DNS 型政策。若要進一步了解,請瀏覽 Amazon EKS 文件,或閱讀這裡的發佈部落格文章。