Question

В ECS с Fargate мы можем управлять изоляцией сервиса через группу безопасности. Однако это уже не относится к EKS на Fargate.

Есть ли способ изолировать поды в одном кластере друг от друга, как сетевая политика? Я знаю, что это возможно с кубернетами, но это должно быть реализовано сетевым плагином. Пытался установить сетевого провайдера, указанного здесь , но безуспешно, так как ему нужен daemonset (ограничение eks fargate: Cannot run Daemonsets, Privileged pods, or pods that use HostNetwork or HostPort.)

mreferre · Answer 1 · 10 августа 2020

Это то, что мы отслеживаем в этом элементе дорожной карты . На данный момент жизнеспособного обходного пути нет. Как вы указали при использовании EC2, мы бы предложили использовать механизм сетевой политики Calico , но с Fargate нет поддержки DaemonSet, и его нельзя использовать.

Учитывая связанный SG к поду определяется на уровне кластера, один из способов смягчить это - распространить подобные поды по разным кластерам, где SG пода настроен для этого конкретного типа c рабочей нагрузки, НО это будет означать больше работы и выше Затраты на самолет управления.

Изоляция капсулы EKS Fargate

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Изоляция капсулы EKS Fargate

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы