投稿日: Aug 24, 2020
Amazon EKS が、IMDSv2 フォーマットを使用して EC2 インスタンスメタデータへのアクセスを必要とするコンテナ化されたアプリケーションをサポートするようになりました。
IMDSv2 は、セッション指向のリクエストを必要とするインスタンスメタデータアクセスへの機能強化で、不正なメタデータアクセスに対する多層防御を追加します。IMDSv2 では、インスタンスメタデータサービスへのセッションの開始とトークンの取得に PUT リクエストが必要です。デフォルトで、PUT リクエストへの応答には IP プロトコルレベルで応答ホップ制限 (TTL) が 1 に設定されていますが、この制限には、インスタンスとは別のネットワーク名前空間で実行される Kubernetes 上のコンテナ化されたアプリケーションとの互換性がありません。
これからは、新しく起動された、および更新された EKS マネージドノードグループは、2 のメタデータトークン応答ホップ制限で設定されるようになります。セルフマネージドノードについては、CloudFormation テンプレートと eksctl が、デフォルトで 2 のホップ制限を用いてノードを起動するように更新されています。これにより、EKS にデプロイされたアプリケーションがインスタンスメタデータリクエストに IMDSv2 を使用し始めることが可能になります。IMDSv2 に完全に移行されたアプリケーションをお使いのお客様は、マネージドノードグループ、eksctl、または CloudFormation を使用して IMDSv1 の無効化を選択できます。