Amazon VPC CNI安全组每Pod配置：终极网络隔离方案详解

Amazon VPC CNI安全组每Pod配置：终极网络隔离方案详解

【免费下载链接】amazon-vpc-cni-k8sNetworking plugin repository for pod networking in Kubernetes using Elastic Network Interfaces on AWS项目地址: https://gitcode.com/gh_mirrors/am/amazon-vpc-cni-k8s

Amazon VPC CNI是AWS为Kubernetes集群提供的容器网络接口插件，它利用弹性网络接口（ENI）为Pod提供高性能网络连接。其中，安全组每Pod（Security Groups for Pods，简称SGPP）功能是一项高级网络隔离特性，允许为每个Kubernetes Pod分配独立的安全组，实现精细化的网络访问控制。本文将详细介绍如何配置和使用这一强大功能，帮助你构建更安全、更灵活的容器网络环境。

什么是安全组每Pod（SGPP）？

安全组每Pod（SGPP）是Amazon VPC CNI提供的高级网络安全功能，它允许为每个Kubernetes Pod单独配置安全组规则，而不是共享节点级别的安全组。这一特性通过为Pod分配独立的弹性网络接口（ENI）来实现，使每个Pod都能拥有自己的网络身份和安全边界。

图：Amazon VPC CNI网络架构示意图，展示了ENI与Pod的连接关系

SGPP的核心优势

• 精细化访问控制：为每个Pod定制安全组规则，实现最小权限原则
• 增强安全性：Pod间网络隔离，减少横向移动风险
• 简化网络策略：无需复杂的NetworkPolicy规则，直接使用AWS安全组
• 与AWS服务集成：原生支持与其他AWS服务的安全组交互

前置条件与环境准备

在开始配置SGPP之前，请确保你的环境满足以下要求：

1. EKS集群版本：1.17或更高版本
2. VPC CNI版本：1.7.0或更高版本
3. IAM权限：具备创建和管理ENI、安全组的权限
4. 网络配置：已启用自定义网络（Custom Networking）

必要的IAM策略

确保节点IAM角色包含以下策略权限：

• AmazonEKS_CNI_Policy：管理ENI和IP地址的基本权限
• 自定义策略：允许管理安全组和ENI的附加权限

相关IAM策略定义可参考项目中的testdata/amazon-eks-cni-policy-v4.json文件。

详细配置步骤

1. 启用安全组每Pod功能

通过修改aws-node DaemonSet来启用SGPP功能，设置以下环境变量：

kubectl set env daemonset aws-node -n kube-system ENABLE_POD_ENI=true

这一配置对应项目代码中的test/integration/custom-networking-sgpp/custom_networking_sgpp_suite_test.go文件中的测试设置，其中通过添加环境变量启用了自定义网络和Pod ENI功能。

2. 配置ENIConfig自定义资源

创建ENIConfig资源来定义Pod使用的子网和安全组：

apiVersion: crd.k8s.amazonaws.com/v1alpha1 kind: ENIConfig metadata: name: us-west-2a spec: subnet: subnet-0123456789abcdef0 securityGroups: - sg-0123456789abcdef0

ENIConfig的API定义位于项目的pkg/apis/crd/v1alpha1/eniconfig_types.go文件中。

3. 配置安全组策略

创建SecurityGroupPolicy资源，将Pod与安全组关联：

apiVersion: vpcresources.k8s.aws/v1beta1 kind: SecurityGroupPolicy metadata: name: example-policy spec: podSelector: matchLabels: app: example-app securityGroups: groupIds: - sg-0123456789abcdef0

4. 验证配置

部署测试Pod并验证安全组是否正确应用：

kubectl apply -f - <<EOF apiVersion: v1 kind: Pod metadata: name: sg-test-pod labels: app: example-app spec: containers: - name: nginx image: nginx EOF

检查Pod的网络接口和安全组配置：

kubectl exec -it sg-test-pod -- ip addr

高级配置选项

强制模式设置

SGPP提供两种强制模式，可通过环境变量POD_SECURITY_GROUP_ENFORCING_MODE配置：

• 标准模式（Standard）：默认模式，允许Pod使用节点安全组和Pod安全组的并集
• 严格模式（Strict）：仅允许Pod使用指定的Pod安全组

相关代码实现可在pkg/sgpp/constants.go中找到，定义了两种强制模式的常量。

自定义Veth名称前缀

可以通过环境变量VETH_PREFIX自定义虚拟以太网接口的名称前缀，增强可识别性：

kubectl set env daemonset aws-node -n kube-system VETH_PREFIX=sgpp-

实现代码位于cmd/routed-eni-cni-plugin/cni.go文件中，通过sgpp.BuildHostVethNamePrefix函数构建自定义前缀。

测试与验证

网络连通性测试

使用项目中提供的测试工具验证Pod间网络连通性：

图：Pod间网络连通性测试示意图

测试代码位于test/integration/custom-networking-sgpp/目录下，包含完整的SGPP功能测试套件。

安全组规则验证

验证安全组规则是否正确应用：

# 获取Pod的ENI ID ENI_ID=$(aws ec2 describe-network-interfaces --filters Name=description,Values=*sg-test-pod* --query 'NetworkInterfaces[0].NetworkInterfaceId' --output text) # 查看ENI关联的安全组 aws ec2 describe-network-interfaces --network-interface-ids $ENI_ID --query 'NetworkInterfaces[0].Groups'

常见问题与故障排除

Pod无法分配ENI

可能原因：

• 节点ENI数量达到上限
• 子网IP地址耗尽
• IAM权限不足

解决方法：

• 检查节点类型的ENI限制
• 增加子网CIDR范围
• 验证IAM策略权限

安全组规则不生效

可能原因：

• 强制模式配置错误
• 安全组策略选择器不匹配
• 规则方向设置错误（入站/出站）

解决方法：

• 检查POD_SECURITY_GROUP_ENFORCING_MODE配置
• 验证SecurityGroupPolicy的podSelector
• 确保规则方向与流量匹配

故障排除的更多详细信息可参考项目文档docs/troubleshooting.md。

总结

Amazon VPC CNI的安全组每Pod功能为Kubernetes集群提供了强大的网络隔离能力，通过为每个Pod分配独立的安全组，实现了精细化的访问控制。本文详细介绍了SGPP的配置步骤、高级选项和故障排除方法，帮助你在AWS EKS集群中实施这一高级网络安全方案。

要开始使用SGPP，建议先在测试环境中验证配置，然后逐步推广到生产环境。通过合理利用这一功能，你可以显著提升容器工作负载的网络安全性，满足严格的合规要求。

项目完整代码和更多详细文档可通过以下地址获取：

git clone https://gitcode.com/gh_mirrors/am/amazon-vpc-cni-k8s

【免费下载链接】amazon-vpc-cni-k8sNetworking plugin repository for pod networking in Kubernetes using Elastic Network Interfaces on AWS项目地址: https://gitcode.com/gh_mirrors/am/amazon-vpc-cni-k8s