AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Come posso bloccare l'accesso alle API a indirizzi IP specifici nel mio cluster Amazon EKS?
Desidero bloccare l'accesso alle API a indirizzi IP specifici nel mio cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Risoluzione
Puoi bloccare l'accesso a due tipi di endpoint di accesso al server API Amazon EKS:
- Endpoint di accesso pubblico: L'accesso al server API è aperto al pubblico per impostazione predefinita. Puoi bloccare l'accesso a blocchi CIDR e a indirizzi IP specifici.
- Endpoint di accesso privati: Puoi accedere al server API solo da un Amazon Virtual Private Cloud (Amazon VPC). Per bloccare ulteriormente l'accesso a blocchi CIDR di Amazon VPC specifici, utilizza i gruppi di sicurezza del cluster.
Blocca gli endpoint di accesso pubblico alle API
Completa i seguenti passaggi:
- Apri la console Amazon EKS.
- Nel pannello di navigazione, scegli Cluster, quindi seleziona il cluster.
- Nella sezione Rete, scegli Gestisci l'accesso agli endpoint.
- Espandi Impostazioni avanzate.
Nota: le opzioni Impostazioni avanzate vengono visualizzate solo quando attivi l'accesso pubblico. - Inserisci un blocco CIDR da cui desideri consentire l'accesso.
Nota: puoi riassumere un intervallo di indirizzi IP da 54.240.193.129 to 54.240.193.190 come 54.240.193.129/26. Puoi creare un singolo indirizzo IP con una notazione /32 (ad esempio, 54.240.193.130/32). Questi blocchi CIDR non possono includere indirizzi riservati. - (Facoltativo) Per inserire blocchi aggiuntivi, scegli Aggiungi origine.
- Scegli Salva modifiche.
Nota: se non specifichi blocchi CIDR, l'endpoint del server API pubblico riceve richieste da tutti gli indirizzi IP (0.0.0.0/0).
È consigliabile attivare l'accesso all'endpoint privato in modo che i nodi worker e i pod AWS Fargate comunichino con il cluster tramite l'endpoint privato.
Senza l'endpoint privato attivato, le origini CIDR degli endpoint di accesso pubblico devono includere le origini di uscita dall'Amazon VPC. Ad esempio, hai un nodo worker in una sottorete privata che comunica con Internet tramite un gateway NAT. Quindi devi aggiungere l'indirizzo IP in uscita del gateway NAT come parte di un blocco CIDR consentito sull'endpoint pubblico.
Blocca gli endpoint di accesso privato alle API
Completa i seguenti passaggi:
- Apri la console Amazon EKS.
- Nel pannello di navigazione, scegli Cluster, quindi seleziona il cluster.
- Nella sezione Rete, annota il nome del gruppo di sicurezza del cluster e degli eventuali gruppi di sicurezza aggiuntivi.
- Aggiungi regole di ingresso a uno dei gruppi di sicurezza che hai annotato nel passaggio 3.
Nota: per la regola di ingresso, imposta TCP come protocollo e 443 come porta e indirizzo IP di origine da cui consentire l'accesso.
Informazioni correlate
- Argomenti
- Containers
- Lingua
- Italiano
