Amazon EKS agora suporta egress do control plane através da sua própria VPC

A nova funcionalidade de egress roteado pelo cliente no Amazon EKS representa um avanço significativo para equipes que buscam maior controle sobre a rede do plano de controle. Antes, o tráfego de saída gerado pelo Kubernetes API Server, como chamadas a webhooks de admissão e requisições a provedores OIDC, saía por uma infraestrutura gerenciada pela AWS. Com essa atualização, esses fluxos agora transitam pela VPC do cliente. Isso permite a aplicação consistente de políticas de segurança, regras de roteamento e firewalls (como o AWS Network Firewall) que já são usadas para o plano de dados, estendendo-as ao tráfego que o plano de controle inicia.

A principal mudança é que o tráfego de saída do API Server agora é associado a uma Elastic Network Interface (ENI) dentro da VPC do cliente. Isso significa que a jornada desse tráfego, seja para serviços internos, provedores OIDC privados ou webhooks, passa a ser gerenciada pelo cliente através de suas rotas, grupos de segurança e VPC endpoints. Uma consideração importante é que essa configuração é imutável após ativada, forçando um planejamento cuidadoso para garantir que os endpoints necessários sejam alcançáveis a partir da VPC.

A principal mudança introduzida com o egress do control plane roteado pelo cliente no Amazon EKS é a capacidade de direcionar o tráfego de saída do Kubernetes API Server através da VPC do próprio usuário. Anteriormente, esse tráfego utilizava um caminho gerenciado pela AWS. Agora, com a configuração `CUSTOMER_ROUTED`, o tráfego de admission webhooks, consultas OIDC e chamadas a servidores de API agregados flui por uma ENI dentro da VPC do cliente, permitindo a aplicação das mesmas políticas de rede (roteamento, segurança, etc.) do plano de dados. É crucial notar que essa configuração só pode ser definida durante a criação do cluster ou em um cluster existente, sendo imutável após a definição, com a opção `AWS_MANAGED` sendo o comportamento padrão anterior.

Para organizações em setores regulados, como financeiro e saúde, onde a rastreabilidade e o controle de rede são cruciais, essa funcionalidade é um divisor de águas. Ela permite que o tráfego do plano de controle, que antes saía por uma rede gerenciada pela AWS, agora seja inspecionado e roteado dentro da própria VPC. Isso facilita a conformidade com requisitos de soberania de dados e auditorias, além de possibilitar a comunicação com provedores OIDC privados e webhooks que residem inteiramente dentro do perímetro de rede do cliente. A capacidade de aplicar políticas de segurança e conformidade de forma unificada tanto para o plano de dados quanto para o tráfego de controle do EKS simplifica a operação e fortalece a postura de segurança.