Kubernetes pod ограничил доступ к другим экземплярам EC2 с узлов AWS EKS

Question

У меня была база данных Elastic search, работающая на экземпляре EC2.Внутренние службы, которые подключаются к Elastic DB, работают на узлах AWS EKS.

Для того чтобы внутренние модули kubernetes могли обращаться к Elastic DB, я добавил разрешенные группы безопасности к узлам EKS, и все работает нормально.

Но у меня вопрос ко всем другим модулям (не к внутренним).), работающие в том же узле, имели возможный доступ к Elastic DB из-за базовых групп безопасности узла, существует ли более безопасный способ справиться с этим.

Answer 1

В этой ситуации вы могли бы дополнительно использовать сетевые политики Kubernetes для определения правил, которые определяют, какой трафик разрешен в Elastic DB от выбранных модулей.

Например, начните с создания по умолчанию запрета всей политики выходного трафикав пространстве имен для всех модулей, например:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Egress

и разрешить исходящий трафик от определенных модулей (удерживающая роль: db) до CIDR 10.0.0.0/24 на TCP-порту 5978

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

Пожалуйста, обратитесь к официальной документации для получения дополнительной информации о Сетевые политики .