Amazon VPC CNI obsługuje teraz egzekwowanie zasad Kubernetes NetworkPolicy

Wtyczka Amazon VPC Container Networking Interface (CNI) obsługuje teraz zasób Kubernetes NetworkPolicy.

Klienci mogą używać tego samego oprogramowania Amazon VPC CNI typu open source do wdrażania zasad sieciowych w celu zabezpieczenia ruchu w swoich klastrach Kubernetes. Zmniejsza to potrzebę uruchamiania dodatkowego oprogramowania do kontroli dostępu do sieci i jednocześnie będzie współpracować ze wszystkimi istniejącymi funkcjami VPC CNI.

Domyślnie w Kubernetes każdy pod może rozmawiać z dowolnym innym podem w klastrze bez ograniczeń. Aby zapewnić lepszą izolację sieci, Kubernetes NetworkPolicy umożliwia administratorom klastrów zabezpieczanie dostępu do i z aplikacji poprzez zdefiniowanie, z którymi jednostkami może komunikować się pod i odwrotnie. Wymaga to jednak od klientów korzystania z dodatkowego oprogramowania w celu wdrożenia NetworkPolicy, co często skutkuje narzutami operacyjnymi i kosztami instalacji i konserwacji wtyczek stron trzecich.

Dzięki obsłudze NetworkPolicy w Amazon VPC CNI klienci korzystający z Kubernetes na platformie AWS mogą teraz zezwalać na ruch między swoimi podami lub go blokować w oparciu o selektory etykiet, przestrzenie nazw, bloki IP i porty przy minimalnym obciążeniu. Dzięki natywnej integracji z VPC mogą zabezpieczać swoje aplikacje przy użyciu standardowych komponentów, w tym grup zabezpieczeń i list kontroli dostępu do sieci (ACL), w ramach dodatkowych środków zapewniających dogłębną ochronę. Ponadto klienci mogą śledzić i rozwiązywać skonfigurowane zasady na poziomie klastra i węzła za pomocą wtyczki Amazon VPC CNI. Począwszy od VPC CNI v1.14, obsługa NetworkPolicy jest dostępna w nowych klastrach z Kubernetesem w wersji 1.25 lub nowszej, ale domyślnie wyłączona przy uruchomieniu.

Aby rozpocząć, zapoznaj się z dokumentacją Amazon EKS. Aby dowiedzieć się więcej, sprawdź artykuł na blogu AWS dotyczący premiery.

źródło: AWS