Amazon EKS đưa ra các chính sách bảo mật mạng nâng cao
Hôm nay, chúng tôi công bố khả năng chính sách mạng nâng cao trong Amazon Elastic Kubernetes Service (EKS), cho phép khách hàng cải thiện tình trạng bảo mật mạng cho khối lượng công việc Kubernetes của họ và tích hợp với các đích đến bên ngoài cụm. Bước cải tiến này được xây dựng dựa trên các tính năng phân đoạn mạng được hỗ trợ trước đây trong EKS. Giờ đây, bạn có thể thực thi một cách tập trung các bộ lọc quyền truy cập mạng trên toàn bộ cụm, cũng như tận dụng các chính sách dựa trên Hệ thống tên miền (DNS) để bảo mật lưu lượng truy cập đi ra khỏi môi trường cụm của bạn.
Khi khách hàng tiếp tục điều chỉnh quy mô môi trường ứng dụng của họ bằng cách sử dụng EKS, việc cách ly lưu lượng mạng ngày càng trở nên quan trọng để ngăn chặn truy cập trái phép vào các tài nguyên bên trong và bên ngoài cụm. Để giải quyết vấn đề này, EKS đã đưa ra sự hỗ trợ cho Kubernetes NetworkPolicies trong plugin Giao diện mạng bộ chứa của Amazon VPC (VPC CNI), cho phép bạn phân đoạn giao tiếp giữa các pod ở cấp không gian tên. Giờ đây, bạn có thể tăng cường hơn nữa khả năng phòng thủ cho môi trường mạng Kubernetes của mình bằng cách quản lý tập trung các bộ lọc mạng cho toàn bộ cụm. Ngoài ra, quản trị viên cụm giờ sẽ có cách tiếp cận ổn định hơn và có thể dự đoán được để ngăn chặn truy cập trái phép vào các tài nguyên bên ngoài cụm trong đám mây hoặc tại chỗ bằng cách sử dụng các quy tắc đi ra để lọc lưu lượng truy cập đến các điểm cuối bên ngoài dựa trên Tên miền đủ điều kiện (FQDN) của họ.
Các tính năng bảo mật mạng mới này được cung cấp ở tất cả các Khu vực AWS thương mại cho các cụm EKS mới chạy Kubernetes phiên bản 1.29 trở lên, và sẽ hỗ trợ cho các cụm hiện có trong vòng vài tuần tới. ClusterNetworkPolicy hiện được cung cấp trong tất cả các chế độ khởi chạy cụm EKS sử dụng VPC CNI v1.21.1 trở lên. Các chính sách dựa trên DNS chỉ được hỗ trợ trong các phiên bản EC2 khởi chạy bằng Chế độ tự động của EKS. Để tìm hiểu thêm, hãy truy cập tài liệu về Amazon EKS hoặc đọc bài đăng trên blog ra mắt sản phẩm tại đây.