在 AWS EKS 中,哪个安全组允许从 kubernetes 客户端访问主节点?

在 AWS EKS 中,哪个安全组允许从 kubernetes 客户端访问主节点?

当我创建 EKS 集群时,我可以从任何地方访问主节点。尽管如此,控制平面安全组仅允许工作节点控制平面连接(默认配置)。

如何将控制平面的访问限制在安全组内?

答案1

你不能

EKS 主节点由 AWS 管理,并在不同的账户中运行。您需要访问互联网才能到达端点,而安全组不会阻止其他人访问公共端点。

对 API 服务器端点运行 Dig,你会看到以下内容:

{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN   A xxx.xxx.xxx.xxx
{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN   A xxx.xxx.xxx.xxx

不过,这只是 API 端点,我怀疑主节点实际上并不是公开可访问的,只有 API 端点,而且我确信该 API 具有与任何其他服务的公共 API 端点相同的 AWS 身份验证措施。
https://docs.aws.amazon.com/general/latest/gr/rande.html#eks_region

我建议通过EKS VPC 教程 并阅读EKS 网络文档

相关内容