限制kubernetes集群上的aws安全组

任何帮助，将不胜感激

我将尝试说明这个答案中的情况，以使其更加清晰。如果我正确理解你的情况，这就是你到目前为止所拥有的：

现在，如果您尝试从前端EC2实例到后端EC2实例的端口，并且它们位于相同的安全组（node-sg）中，那么您将拥有流量。如果你想检查组隔离，那么你应该在node-sg之外有一个实例，并且只在frontend-sg中定位backend-sg中的任何实例（假设node-sg和backend-sg都不允许所述端口用于入站流量）...

最后，一个小小的说明...... Kubernetes默认关闭所有流量（并且您需要入口，负载均衡器，上游代理，nodePort或其他一些方法来实际暴露您的前端服务）所以传统的后端/前端实例的细粒度和安全组在使用k8时并不是“明确的”，特别是因为你真的不想手动（或通过标签）安排哪些实例pod实际运行（而是将其留给k8s调度程序以更好地统一资源） ）。