EKS群集-api端点访问-公共/私有
我已经在AWS上配置了EKS集群,并且可以对api端点进行公共访问。这样做时,我仅使用来自特定IP的入口配置了SG。但是当从另一个IP访问群集时,我仍然可以对群集运行kubectl get svc。
我想对EKS群集进行IP限制访问。 ref-Terraform - Master cluster SG
如果启用了公共访问权限,是否意味着拥有群集名称的任何人都可以部署任何东西?
2 个答案:
答案 0 :(得分:3)
创建新集群时,Amazon EKS会为您用来与集群通信的托管Kubernetes API服务器创建一个终端节点(已使用kubectl之类的Kubernetes管理工具)。
默认情况下,此API服务器终端节点对互联网公开,并且结合使用AWS Identity and Access Management(IAM)和本机Kubernetes保护对API服务器的访问基于角色的访问控制(RBAC)。
因此,公共访问权限并不意味着拥有群集名称的任何人都可以部署任何东西。您可以在Amazon EKS Cluster Endpoint Access Control AWS文档中了解有关此内容的更多信息。
如果要使用Terraform来配置EKS并管理网络拓扑,请通过VPC(虚拟专用网络)进行。您可以选中此VPC Terraform Module以获取所有正确的设置。 希望会有所帮助。
答案 1 :(得分:1)
除了Claire Bellivier'answer关于如何使用IAM和RBAC通过身份验证保护EKS群集外,您还可以now将EKS群集配置为仅可从私有网络访问,例如群集所在的VPC或任何对等VPC。
此版本已经added在AWS提供程序的2.3.0版本中(尚未发布),可以被配置为aws_eks_cluster resource的vpc_options配置的一部分:
resource "aws_eks_cluster" "example" {
name = %[2]q
role_arn = "${aws_iam_role.example.arn}"
vpc_config {
endpoint_private_access = true
endpoint_public_access = false
subnet_ids = [
"${aws_subnet.example.*.id[0]}",
"${aws_subnet.example.*.id[1]}",
]
}
}
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?