21. 以前のEKSクラスターのネットワーク構成 20
VPC
Public Subnet
Availability Zone
Public Subnet
Availability Zone
Internet Gateway
Elastic Load Balancer
Worker Nodes
Containers
Worker Nodes
Containers
パブリックサブネットのみの構成
(セキュリティグループやアクセス認証によってセキュリティは担保)
22. 現在のEKSクラスターのネットワーク構成 21
VPC
Private Subnet
Public Subnet
Availability Zone
NAT Gateway
Private Subnet
Public Subnet
Availability Zone
NAT Gateway
Internet Gateway
Elastic
Load Balancer
Worker Nodes
Containers
Worker Nodes
Containers
eksctl は標準でパブリック+プライベートサブネット構成を作成
27. コンテナ(Pod)単位のアクセス制御 (IRSA) 26
S3 Bucket-A
Role-A
S3 Bucket-B
Role-B
Pod
A
Pod
A
Pod
B
Pod
B
Host-1 Host-2
ホスト単位でしか
アクセス権限を
設定できなかった
[つい最近まで]
28. コンテナ(Pod)単位のアクセス制御 (IRSA) 27
S3 Bucket-A
Role-A
S3 Bucket-B
Role-B
Pod
A
Pod
B
Pod
A
Pod
B
Host-1 Host-2
ServiceAccount-A ServiceAccount-B
Pod単位で
IAMロールに紐づいた
アクセス権限を
設定可能に
[IRSA導入後]