Hilf mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie private Cluster mit eingeschränktem Internetzugang bereit
In diesem Thema wird beschrieben, wie Sie einen EKS Amazon-Cluster bereitstellen AWS Cloud, der auf dem bereitgestellt wird, aber keinen ausgehenden Internetzugang hat. Wenn Sie einen lokalen Cluster aktiviert haben AWS OutpostsAmazon Linux-Knoten auf AWS Outposts erstellen, finden Sie statt dieses Themas weitere Informationen unter.
Wenn Sie mit EKS Amazon-Netzwerken nicht vertraut sind, finden Sie weitere Informationen unter Entmystifying Cluster Networking for Amazon EKS
-
Ihr Cluster muss Bilder aus einer Container-Registry abrufen, die sich in Ihrem befindet. VPC Sie können in Ihrem eine Amazon Elastic Container Registry erstellen VPC und Container-Images dorthin kopieren, damit Ihre Knoten sie abrufen können. Weitere Informationen finden Sie unter Kopieren eines Container-Images von einem Repository in ein anderes.
-
In Ihrem Cluster muss der private Endpunkt-Zugriff aktiviert sein. Dies ist erforderlich, damit sich Knoten beim Cluster-Endpunkt registrieren können. Der Endpunkt für öffentlichen Zugriff ist optional. Weitere Informationen finden Sie unter Steuern Sie den Netzwerkzugriff auf den API Clusterserver-Endpunkt.
-
Selbstverwaltet Linux and Windows Knoten müssen die folgenden Bootstrap-Argumente enthalten, bevor sie gestartet werden. Diese Argumente umgehen die EKS Introspektion von Amazon und erfordern keinen Zugriff auf Amazon EKS API von innerhalb des. VPC
-
Bestimmen Sie den Wert des Endpunkts Ihres Clusters mit dem folgenden Befehl. Ersetzen
my-cluster
mit dem Namen Ihres Clusters.aws eks describe-cluster --name
my-cluster
--query cluster.endpoint --output textEine Beispielausgabe sieht wie folgt aus.
https://
EXAMPLE108C897D9B2F1B21D5EXAMPLE
.sk1
.region-code
.eks.amazonaws.com -
Bestimmen Sie den Wert der Zertifizierungsstelle Ihres Clusters mit dem folgenden Befehl. Ersetzen
my-cluster
mit dem Namen Ihres Clusters.aws eks describe-cluster --name
my-cluster
--query cluster.certificateAuthority --output textDie zurückgegebene Ausgabe ist eine lange Zeichenfolge.
-
Ersetzen Sie
undcluster-endpoint
in den folgenden Befehlen durch die Werte, die in der Ausgabe der vorherigen Befehle zurückgegeben wurden. Weitere Informationen zur Angabe von Bootstrap-Argumenten beim Start von selbstverwalteten Knoten finden Sie unter Erstellen Sie selbstverwaltete Amazon Linux-Knoten und Selbstverwaltetes erstellen Microsoft Windows Knoten.certificate-authority
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux Knoten:
--apiserver-endpoint
cluster-endpoint
--b64-cluster-cacertificate-authority
Weitere Argumente finden Sie im Bootstrap-Skript
unter GitHub. -
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows Knoten:
Anmerkung
Wenn Sie einen benutzerdefinierten Dienst verwendenCIDR, müssen Sie ihn mit dem
-ServiceCIDR
Parameter angeben. Andernfalls ist die DNS Auflösung für Pods im Cluster wird fehlschlagen.-APIServerEndpoint
cluster-endpoint
-Base64ClusterCAcertificate-authority
Weitere Argumente finden Sie unter Bootstrap-Skript-Konfigurationsparameter.
-
-
Ihre Cluster
aws-auth
ConfigMap
müssen in Ihrem erstellt werdenVPC. Weitere Informationen zum Erstellen und Hinzufügen von Einträgen zuaws-auth
ConfigMap
erhalten Sie durch Eingabe voneksctl create iamidentitymapping --help
in Ihrem Terminal. FallsConfigMap
auf Ihrem Server nicht vorhanden ist, wird es voneksctl
erstellt, wenn Sie den Befehl zum Hinzufügen einer Identitätszuordnung verwenden. -
Pods mit IAMRollen für Dienstkonten konfiguriert, werden Anmeldeinformationen über einen AWS Security Token Service (AWS STS) API -Aufruf abgerufen. Wenn es keinen ausgehenden Internetzugang gibt, müssen Sie in Ihrem VPC einen AWS STS VPC Endpunkt erstellen und verwenden. Die meisten AWS
v1
SDKs verwenden standardmäßig den globalen AWS STS Endpunkt (sts.amazonaws.com
), der den AWS STS VPC Endpunkt nicht verwendet. Um den AWS STS VPC Endpunkt zu verwenden, müssen Sie Ihren möglicherweise so konfigurierenSDK, dass er den regionalen AWS STS Endpunkt (sts.
) verwendet. Weitere Informationen finden Sie unter Den AWS Security Token Service Endpunkt für ein Dienstkonto konfigurieren.region-code
.amazonaws.com
-
Die VPC Subnetze Ihres Clusters müssen über einen VPC Schnittstellenendpunkt für alle AWS-Services Ihre Pods benötigen Zugriff auf. Weitere Informationen finden Sie unter Zugreifen auf einen AWS Dienst über einen VPC Schnittstellenendpunkt. Einige häufig verwendete Services und Endpunkte sind in der folgenden Tabelle aufgeführt. eine vollständige Liste der Endpunkte finden Sie unter AWS -Services, die mit AWS PrivateLink integriert sind im AWS PrivateLink -Handbuch.
Service Endpunkt Amazon EC2 com.amazonaws. region-code
ec2.Amazon Elastic Container Registry (zum Abrufen von Container-Images) com.amazonaws. region-code
.ecr.api, com.amazonaws.region-code
.ecr.dkr und com.amazonaws.region-code
s3.Application Load Balancer und Network Load Balancer com.amazonaws. region-code
.elastischer LastenausgleichAWS X-Ray com.amazonaws. region-code
.xrayCloudWatch Amazon-Protokolle com.amazonaws. region-code
.protokolleAWS Security Token Service (erforderlich, wenn IAM Rollen für Dienstkonten verwendet werden) com.amazonaws. region-code
.sts
Überlegungen
-
Alle selbstverwalteten Knoten müssen in Subnetzen bereitgestellt werden, die über die von Ihnen benötigten VPC Schnittstellenendpunkte verfügen. Wenn Sie eine verwaltete Knotengruppe erstellen, muss die VPC Schnittstellen-Endpunkt-Sicherheitsgruppe das CIDR für die Subnetze zulassen, oder Sie müssen die erstellte Knotensicherheitsgruppe der VPC Schnittstellen-Endpunktsicherheitsgruppe hinzufügen.
-
Wenn Ihre Pods Verwenden Sie EFS Amazon-Volumes. Bevor Sie das bereitstellenSpeichern Sie ein elastisches Dateisystem bei Amazon EFS, muss die Datei kustomization.yaml
des Treibers so geändert werden, dass die Container-Images genauso verwendet werden wie AWS-Region der Amazon-Cluster. EKS -
Sie können das verwenden AWS Load Balancer Controllerum AWS Application Load Balancers (ALB) und Network Load Balancers in Ihrem privaten Cluster bereitzustellen. Beim Bereitstellen sollten Sie Befehlszeilen-Flags
verwenden, um enable-shield
,enable-waf
undenable-wafv2
auf falsch zu setzen. Die Zertifikatserkennungmit Hostnamen aus Ingress-Objekten wird nicht unterstützt. Das liegt daran, dass der Controller eine Verbindung herstellen muss AWS Certificate Manager, die keinen VPC Schnittstellenendpunkt hat. Der Controller unterstützt Network Load Balancer mit IP-Zielen, die für die Verwendung mit Fargate erforderlich sind. Weitere Informationen erhalten Sie unter Routenanwendung und HTTP Verkehr mit Application Load Balancers und Erstellen eines Network Load Balancers.
-
Cluster Autoscaler wird unterstützt. Bei der Bereitstellung von Cluster Autoscaler Pods, stellen Sie sicher, dass die Befehlszeile Folgendes enthält:
--aws-use-static-instance-list=true
Weitere Informationen finden Sie unter Statische Instanzliste verwendenauf GitHub. Der Worker-Knoten VPC muss auch den AWS STS VPC Endpunkt und den VPC Autoscaling-Endpunkt enthalten. -
Einige Container-Softwareprodukte verwenden API Aufrufe, die auf die zugreifen, AWS Marketplace Metering Service um die Nutzung zu überwachen. Private Cluster lassen diese Aufrufe nicht zu, daher können Sie diese Containertypen nicht in privaten Clustern verwenden.