Amazon EKS 클러스터의 특정 IP 주소에 대한 API 액세스를 차단하려면 어떻게 해야 합니까?

2분 분량
0

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터의 특정 IP 주소에 대한 API 액세스를 차단하려고 합니다.

해결 방법

두 가지 유형의 Amazon EKS API 서버 액세스 엔드포인트에 대한 액세스를 차단할 수 있습니다.

  • 퍼블릭 액세스 엔드포인트: API 서버에 대한 액세스는 기본적으로 퍼블릭으로 열립니다. 특정 CIDR 블록 및 IP 주소에 대한 액세스를 차단할 수 있습니다.
  • 프라이빗 액세스 엔드포인트: API 서버는 Amazon Virtual Private Cloud(Amazon VPC) 내에서만 액세스할 수 있습니다. 특정 Amazon VPC CIDR 블록에 대한 액세스를 추가로 차단하려면 클러스터 보안 그룹을 사용하십시오.

API 퍼블릭 액세스 엔드포인트 차단

다음 단계를 완료하십시오.

  1. Amazon EKS 콘솔을 엽니다.
  2. 탐색 창에서 클러스터를 선택한 다음, 원하는 클러스터를 선택합니다.
  3. 네트워킹 섹션에서 엔드포인트 액세스 관리를 선택합니다.
  4. 고급 설정을 확장합니다.
    참고: 고급 설정 옵션은 퍼블릭 액세스를 활성화한 경우에만 표시됩니다.
  5. 액세스를 허용하려는 CIDR 블록을 입력합니다.
    참고: 54.240.193.129부터 54.240.193.190까지의 IP 주소 범위를 54.240.193.129/26으로 요약할 수 있습니다. /32 표기법을 사용하여 단일 IP 주소를 구성할 수 있습니다(예: 54.240.193.130/32). 이러한 CIDR 블록에는 예약된 주소가 포함될 수 없습니다.
  6. (선택 사항) 추가 블록을 입력하려면 소스 추가를 선택합니다.
  7. 변경 사항 저장을 선택합니다.

참고: CIDR 블록을 지정하지 않으면 퍼블릭 API 서버 엔드포인트가 모든 (0.0.0.0/0) IP 주소로부터 요청을 수신합니다.

워커 노드와 AWS Fargate 포드가 프라이빗 엔드포인트를 통해 클러스터와 통신하도록 프라이빗 엔드포인트 액세스를 활성화하는 것이 좋습니다.

프라이빗 엔드포인트가 활성화되지 않은 경우 퍼블릭 액세스 엔드포인트 CIDR 소스에는 Amazon VPC의 송신 소스가 포함되어야 합니다. 예를 들어 NAT 게이트웨이를 통해 인터넷과 통신하는 워커 노드가 프라이빗 서브넷에 있습니다. 따라서 퍼블릭 엔드포인트에서 허용되는 CIDR 블록의 일부로 NAT 게이트웨이의 아웃바운드 IP 주소를 추가해야 합니다.

API 프라이빗 액세스 엔드포인트 차단

다음 단계를 완료하십시오.

  1. Amazon EKS 콘솔을 엽니다.
  2. 탐색 창에서 클러스터를 선택한 다음, 원하는 클러스터를 선택합니다.
  3. 네트워킹 섹션에서 클러스터 보안 그룹과 추가 보안 그룹의 이름을 기록해 둡니다.
  4. 3단계에서 기록해 둔 보안 그룹 중 하나에 수신 규칙을 추가합니다.
    참고: 수신 규칙의 경우 TCP를 프로토콜로 설정하고 액세스를 허용하는 포트 및 소스 IP 주소로 443을 설정합니다.

관련 정보

클러스터 엔드포인트 액세스 수정

AWS 공식
AWS 공식업데이트됨 2달 전