Amazon EKS 클러스터의 특정 IP 주소에 대한 API 액세스를 잠그려면 어떻게 해야 하나요?

2분 분량
0

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터의 특정 IP 주소에 대한 API 액세스를 잠그고 싶습니다.

간략한 설명

두 가지 유형의 Amazon EKS API 서버 액세스 엔드포인트에 대한 액세스를 잠글 수 있습니다.

  • 퍼블릭 액세스 엔드포인트: API 서버에 대한 액세스는 기본적으로 공개되어 있습니다. 특정 CIDR 블록 및 IP 주소에 대한 액세스를 잠글 수 있습니다.
  • 프라이빗 액세스 엔드포인트: API 서버는 Amazon Virtual Private Cloud(VPC) 내에서만 액세스할 수 있습니다. 클러스터 보안 그룹을 통해 특정 VPC CIDR 블록에 대한 액세스를 추가로 잠글 수 있습니다.

해결 방법

API 퍼블릭 액세스 엔드포인트 잠금

  1. Amazon EKS 콘솔을 엽니다.
  2. 탐색 창에서 [클러스터]를 선택하고 클러스터를 선택합니다.
  3. [네트워킹] 섹션에서 [업데이트]를 선택합니다.
  4. [고급 설정]을 확장합니다.
    참고: [고급 설정] 옵션은 퍼블릭 액세스를 활성화한 경우에만 표시됩니다.
  5. 액세스를 허용할 CIDR 블록을 입력합니다.
    참고: 예를 들어, 54.240.193.129~54.240.193.190의 IP 주소 범위를 54.240.193.129/26으로 요약할 수 있습니다. /32 표기법으로 단일 IP 주소를 구성할 수 있습니다(예: 54.240.193.130/32). 이러한 CIDR 블록은 예약된 주소를 포함할 수 없습니다.
  6. (선택 사항) 추가 블록을 입력하려면 [소스 추가]를 선택합니다.
  7. [업데이트]를 선택합니다.

다음 사항에 유의하세요.

  • CIDR 블록을 지정하지 않으면 퍼블릭 API 서버 엔드포인트가 모든(0.0.0.0/0) IP 주소로부터 요청을 수신합니다.
  • 워커 노드와 AWS Fargate 포드(사용되는 경우)가 프라이빗 엔드포인트를 통해 클러스터와 통신할 수 있도록 프라이빗 엔드포인트 액세스를 활성화하는 것이 모범 사례입니다.
  • 프라이빗 엔드포인트가 활성화되지 않은 경우 퍼블릭 액세스 엔드포인트 CIDR 소스에 Amazon VPC의 송신 소스가 포함되어야 합니다. 예를 들어, NAT 게이트웨이를 통해 인터넷과 통신하는 프라이빗 서브넷에 워커 노드가 있는 경우 퍼블릭 엔드포인트에서 허용되는 CIDR 블록의 일부로 NAT 게이트웨이의 아웃바운드 IP 주소를 추가해야 합니다.

API 프라이빗 액세스 엔드포인트 잠금

  1. Amazon EKS 콘솔을 엽니다.
  2. 탐색 창에서 [클러스터]를 선택하고 클러스터를 선택합니다.
  3. [네트워킹] 섹션에서 클러스터 보안 그룹 및 추가 보안 그룹의 이름을 기록해 둡니다.
  4. 3단계에서 기록해 둔 보안 그룹 중 하나에 수신 규칙을 추가합니다.
    참고: 수신 규칙의 경우 TCP를 프로토콜로 설정하고 액세스를 허용하는 포트 및 소스 IP로 443을 설정합니다.

관련 정보

클러스터 엔드포인트 액세스 수정

AWS 공식
AWS 공식업데이트됨 2년 전