EKS Fargate pod隔离

Question

在使用Fargate的ECS中，我们可以通过安全组来管理服务隔离。然而，Fargate上的EKS不再是这样了。

是否有一种方法可以像网络策略一样将同一集群上的pods相互隔离？我知道使用kubernetes可以做到这一点，但它需要通过网络插件来实现。尝试安装列出的网络提供商here没有成功，因为它需要后台程序( eks fargate的限制：Cannot run Daemonsets, Privileged pods, or pods that use HostNetwork or HostPort.)

Answer 1

这是我们在此roadmap item中跟踪的内容。目前还没有可行的解决方法。正如您在使用EC2时指出的那样，我们建议使用Calico network policy engine，但是对于Fargate，没有DaemonSet支持，因此无法使用它。

考虑到与pod关联的SG是在群集级别定义的，尝试缓解这种情况的一种方法是在不同的群集中分布like- pod，其中pod SG针对特定类型的工作负载进行配置，但这将意味着更多的工作和更高的控制平面成本。