CEVIU Logo
Voltar
Amazon EKS agora suporta egress do control plane através da sua própria VPC

Amazon EKS agora suporta egress do control plane através da sua própria VPC

Aprofundamento CEVIU

Aprofundamento

A nova funcionalidade de egress roteado pelo cliente no Amazon EKS representa um avanço significativo para equipes que buscam maior controle sobre a rede do plano de controle. Antes, o tráfego de saída gerado pelo Kubernetes API Server, como chamadas a webhooks de admissão e requisições a provedores OIDC, saía por uma infraestrutura gerenciada pela AWS. Com essa atualização, esses fluxos agora transitam pela VPC do cliente. Isso permite a aplicação consistente de políticas de segurança, regras de roteamento e firewalls (como o AWS Network Firewall) que já são usadas para o plano de dados, estendendo-as ao tráfego que o plano de controle inicia.

A principal mudança é que o tráfego de saída do API Server agora é associado a uma Elastic Network Interface (ENI) dentro da VPC do cliente. Isso significa que a jornada desse tráfego, seja para serviços internos, provedores OIDC privados ou webhooks, passa a ser gerenciada pelo cliente através de suas rotas, grupos de segurança e VPC endpoints. Uma consideração importante é que essa configuração é imutável após ativada, forçando um planejamento cuidadoso para garantir que os endpoints necessários sejam alcançáveis a partir da VPC.

O que mudou

A principal mudança introduzida com o egress do control plane roteado pelo cliente no Amazon EKS é a capacidade de direcionar o tráfego de saída do Kubernetes API Server através da VPC do próprio usuário. Anteriormente, esse tráfego utilizava um caminho gerenciado pela AWS. Agora, com a configuração `CUSTOMER_ROUTED`, o tráfego de admission webhooks, consultas OIDC e chamadas a servidores de API agregados flui por uma ENI dentro da VPC do cliente, permitindo a aplicação das mesmas políticas de rede (roteamento, segurança, etc.) do plano de dados. É crucial notar que essa configuração só pode ser definida durante a criação do cluster ou em um cluster existente, sendo imutável após a definição, com a opção `AWS_MANAGED` sendo o comportamento padrão anterior.

Por que isso importa

Para organizações em setores regulados, como financeiro e saúde, onde a rastreabilidade e o controle de rede são cruciais, essa funcionalidade é um divisor de águas. Ela permite que o tráfego do plano de controle, que antes saía por uma rede gerenciada pela AWS, agora seja inspecionado e roteado dentro da própria VPC. Isso facilita a conformidade com requisitos de soberania de dados e auditorias, além de possibilitar a comunicação com provedores OIDC privados e webhooks que residem inteiramente dentro do perímetro de rede do cliente. A capacidade de aplicar políticas de segurança e conformidade de forma unificada tanto para o plano de dados quanto para o tráfego de controle do EKS simplifica a operação e fortalece a postura de segurança.

Linha do tempo

  1. Amazon EKS lança suporte ao egress do control plane roteado pelo cliente.

Perguntas frequentes

O que exatamente é 'egress do control plane roteado pelo cliente' no Amazon EKS?

É um recurso que permite direcionar o tráfego de saída originado pelo Kubernetes API Server (como para webhooks e provedores OIDC) através da sua própria Amazon VPC, em vez de usar o caminho padrão gerenciado pela AWS. Isso oferece mais controle sobre o roteamento e a segurança desse tráfego.

Quais tipos de tráfego são afetados por essa nova funcionalidade?

Os principais fluxos afetados são: callbacks para admission webhooks, lookups de provedores OpenID Connect (OIDC) e requisições a servidores de API agregados. Tráfego EKS interno e de APIs de serviço da AWS continua usando o caminho gerenciado pela AWS.

Essa configuração pode ser alterada após a criação do cluster?

Não, a configuração de egress do control plane é imutável. Uma vez definida como `CUSTOMER_ROUTED` (roteado pelo cliente) ou mantida como `AWS_MANAGED` (gerenciado pela AWS), ela não pode ser alterada para o cluster. É uma decisão que deve ser tomada durante a criação do cluster ou em um update inicial.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
29 de junho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser