xenoterracide Asked: 2021-02-03 10:25:30 +0800 CST2021-02-03 10:25:30 +0800 CST 2021-02-03 10:25:30 +0800 CST AWS Fargate EKS 容器到容器的通信是否在网络级别加密? 772 我看到临时驱动器现在是加密的,但是容器之间的网络通信是加密的,比如为了 HIPAA 合规性。特别关注带有 Kubernetes pod 的 Serverless Fargate。“fargate kubernetes 网络加密”的谷歌似乎没有返回相关结果,这都是关于临时驱动器的。如果不是,有没有办法做到这一点? 更新: 我刚刚发现一些内容说您可以设置CNI,但我并不是 100% 清楚 Fargate EKS 可以实现这一点。 amazon-web-services kubernetes aws-fargate amazon-eks 2 个回答 Voted Best Answer Jonas 2021-02-03T12:17:40+08:002021-02-03T12:17:40+08:00 在 AWS ECS、Fargate 或 AWS EKS 中,容器到容器的流量默认不加密。通常,称为服务网格的附加组件负责集群的这一部分。最著名的服务网格实现是Istio,但亚马逊有其管理服务AWS App Mesh。 也就是说,服务网格是一个抽象名称,意义不大,因此并非所有服务网格实现都支持加密流量。 我没有丰富的 AWS Fargate 经验。但看起来AWS App Mesh 支持 Fargate和 AWS App Mesh 支持传输层安全性,并且在预览通道中还支持双向TLS 身份验证,这都是带有身份验证的加密流量,您通常也可以配置授权(例如允许什么应用程序与什么应用程序通信)。 Tim 2021-02-03T10:34:29+08:002021-02-03T10:34:29+08:00 AWS 通信通常不会在网络级别加密。我有一个模糊的回忆,健全的多区域服务有一些例外。我的理解是容器流量在网络级别没有加密。 最简单的选择通常是应用程序级加密,但也许您需要在每个容器上安装一个 VPN?这有点开销。 我相信许多 AWS 服务都符合 PCI / HIPPA。此页面概述了服务的合规性。ECS 和 EKS 目前符合 HIPPA,但 VPC 不符合,但 VPC 符合例如 PCI。
在 AWS ECS、Fargate 或 AWS EKS 中,容器到容器的流量默认不加密。通常,称为服务网格的附加组件负责集群的这一部分。最著名的服务网格实现是Istio,但亚马逊有其管理服务AWS App Mesh。
也就是说,服务网格是一个抽象名称,意义不大,因此并非所有服务网格实现都支持加密流量。
我没有丰富的 AWS Fargate 经验。但看起来AWS App Mesh 支持 Fargate和 AWS App Mesh 支持传输层安全性,并且在预览通道中还支持双向TLS 身份验证,这都是带有身份验证的加密流量,您通常也可以配置授权(例如允许什么应用程序与什么应用程序通信)。
AWS 通信通常不会在网络级别加密。我有一个模糊的回忆,健全的多区域服务有一些例外。我的理解是容器流量在网络级别没有加密。
最简单的选择通常是应用程序级加密,但也许您需要在每个容器上安装一个 VPN?这有点开销。
我相信许多 AWS 服务都符合 PCI / HIPPA。此页面概述了服务的合规性。ECS 和 EKS 目前符合 HIPPA,但 VPC 不符合,但 VPC 符合例如 PCI。