設定檔適用性:等級 1 - 叢集 / 控制平面
AmazonEKSNetworkingPolicy 是一個由 AWS 管理的附加元件,提供對 Kubernetes NetworkPolicy 的原生支援,適用於 Amazon Elastic Kubernetes
Service (EKS) 叢集。它使組織能夠定義和應用細緻的 Pod 級別網路存取控制,以調節工作負載與外部端點之間的流量。此附加元件基於 AWS 優化的 Calico
實作,無需手動安裝 CNI 插件,即可與 EKS 控制平面無縫整合,提供安全且可擴展的網路分段方法。透過利用 AmazonEKSNetworkingPolicy,企業可以加強其叢集的安全狀況,實施零信任網路原則,並確保符合組織和法規的存取控制標準。預設情況下,叢集中所有 Pod 之間的流量都是允許的。網路政策會建立一個 Pod 級別的防火牆,用於限制來源之間的流量。Pod 流量的限制是透過使用標籤選擇的網路政策來實現的。一旦在命名空間中有任何網路政策選擇了特定的
Pod,該 Pod 將拒絕任何不被任何網路政策允許的連接。命名空間中未被任何網路政策選擇的其他 Pod 將繼續接受所有流量。
實施
AmazonEKSNetworkingPolicy 為 Amazon EKS 環境提供顯著的安全性和操作效益,透過引入原生、AWS 管理的 Kubernetes NetworkPolicies 強制執行。此功能使組織能夠實施細緻的
Pod 級網路分段,降低集群內橫向移動和未授權通信的風險。透過利用 AWS 優化的 Calico 引擎,
AmazonEKSNetworkingPolicy 消除了手動部署和管理第三方 CNI 的複雜性,同時確保符合 Kubernetes 標準的一致性 Policy enforcement。此附加元件增強了對零信任網路原則的合規性,支持需要網路隔離的法規框架,並提供對集群內部通信的集中可見性和控制。最終,它幫助組織改善其安全狀況,減少運營負擔,並簡化現代容器化環境中的治理。
 |
注意預設情況下,網路政策是停用的。
|
影響
AmazonEKSNetworkingPolicy 的實施對 Amazon EKS 環境的整體安全性、合規性和運營效率有重大影響。透過啟用 Kubernetes NetworkPolicies 的原生強制執行,它透過精確控制
pod 與 pod 及 pod 與外部的通信來加強集群的深度防禦策略。這減少了攻擊面,降低了橫向移動的風險,並確保只有明確授權的流量被允許進入集群內部。從合規的角度來看,它支持遵循零信任安全框架和要求網路分段及隔離的組織政策。
在操作上,AmazonEKSNetworkingPolicy 透過提供一個由 AWS 管理、可擴展且完全整合的解決方案,簡化了網路安全管理,讓團隊能專注於應用程式創新,而非複雜的網路配置。
|
注意啟用網路 Policy enforcement 會消耗節點的額外資源。具體來說,它會使 kube-system 進程的記憶體佔用增加約 128MB,並需要大約 300
毫核的 CPU。
|
稽核
檢查下列是否為真:
export CLUSTER_NAME=<your cluster name>
aws eks describe-addon --cluster-name ${CLUSTER_NAME} --addon-name vpc-cni --query addon.configurationValues
輸出應顯示:
"{\"enableNetworkPolicy\":\"true\"}"
補救
確保已添加 Amazon VPC CNI 並且
vpc-cni 在叢集附加元件中處於啟用狀態並升級到適當版本。要更新附加元件,請在 AWS CLI 中執行以下語句:aws eks update-addon --cluster-name $CLUSTER_NAME --addon-name vpc-cni --configuration-values '{"enableNetworkPolicy":"true"}'