Stellen Sie private Cluster mit eingeschränktem Internetzugang bereit - Amazon EKS

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie private Cluster mit eingeschränktem Internetzugang bereit

In diesem Thema wird beschrieben, wie Sie einen Amazon EKS-Cluster bereitstellen, der in der AWS Cloud bereitgestellt wird, aber keinen ausgehenden Internetzugang hat. Wenn Sie einen lokalen Cluster auf AWS Outposts habenAmazon Linux-Knoten auf AWS Outposts erstellen, finden Sie statt dieses Themas weitere Informationen unter.

Wenn Sie mit Amazon EKS-Netzwerken nicht vertraut sind, finden Sie weitere Informationen unter Entmystifying Cluster Networking for Amazon EKS Worker Nodes. Wenn Ihr Cluster keinen ausgehenden Internetzugang hat, muss er die folgenden Anforderungen erfüllen:

  • Ihr Cluster muss Images aus einer Container-Registry abrufen, die sich in Ihrer VPC befindet. Sie können eine Amazon Elastic Container Registry in Ihrer VPC erstellen und Container-Images dorthin kopieren, damit Ihre Knoten daraus abrufen können. Weitere Informationen finden Sie unter Kopieren eines Container-Images von einem Repository in ein anderes.

  • In Ihrem Cluster muss der private Endpunkt-Zugriff aktiviert sein. Dies ist erforderlich, damit sich Knoten beim Cluster-Endpunkt registrieren können. Der Endpunkt für öffentlichen Zugriff ist optional. Weitere Informationen finden Sie unter Steuern Sie den Netzwerkzugriff auf den Cluster-API-Serverendpunkt.

  • Selbstverwaltet Linux and Windows Knoten müssen die folgenden Bootstrap-Argumente enthalten, bevor sie gestartet werden. Diese Argumente umgehen die Amazon EKS-Introspektion und erfordern keinen Zugriff auf die Amazon EKS-API von der VPC aus.

    1. Ermitteln Sie den Wert des Endpunkts Ihres Clusters mit dem folgenden Befehl. Ersetzen Sie my-cluster mit dem Namen Ihres Clusters.

      aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text

      Eine Beispielausgabe sieht wie folgt aus.

      https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com
    2. Ermitteln Sie den Wert der Zertifizierungsstelle Ihres Clusters mit dem folgenden Befehl. Ersetzen Sie my-cluster mit dem Namen Ihres Clusters.

      aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text

      Die zurückgegebene Ausgabe ist eine lange Zeichenfolge.

    3. Ersetzen Sie cluster-endpoint und certificate-authority in den folgenden Befehlen durch die Werte, die in der Ausgabe der vorherigen Befehle zurückgegeben wurden. Weitere Informationen zur Angabe von Bootstrap-Argumenten beim Start von selbstverwalteten Knoten finden Sie unter Erstellen Sie selbstverwaltete Amazon Linux-Knoten und Selbstverwaltetes erstellen Microsoft Windows Knoten.

      • Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux Knoten:

        --apiserver-endpoint cluster-endpoint --b64-cluster-ca certificate-authority

        Weitere Argumente finden Sie im Bootstrap-Skript unter GitHub.

      • Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows Knoten:

        Anmerkung

        Wenn Sie den benutzerdefinierten Dienst CIDR verwenden, müssen Sie ihn mithilfe des -ServiceCIDR Parameters angeben. Andernfalls die DNS-Auflösung für Pods im Cluster wird fehlschlagen.

        -APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authority

        Weitere Argumente finden Sie unter Bootstrap-Skript-Konfigurationsparameter.

  • Ihre Cluster aws-auth ConfigMap müssen in Ihrer VPC erstellt werden. Weitere Informationen zum Erstellen und Hinzufügen von Einträgen zu aws-auth ConfigMap erhalten Sie durch Eingabe von eksctl create iamidentitymapping --help in Ihrem Terminal. Wenn der auf Ihrem Server ConfigMap nicht vorhanden ist, eksctl wird er erstellt, wenn Sie den Befehl verwenden, um eine Identitätszuweisung hinzuzufügen.

  • Pods Mit IAM-Rollen für Dienstkonten konfigurierte Rollen werden Anmeldeinformationen über einen API-Aufruf des AWS Security Token Service (AWS STS) abgerufen. Wenn es keinen ausgehenden Internetzugang gibt, müssen Sie einen AWS STS-VPC-Endpunkt in Ihrer VPC erstellen und verwenden. Die meisten AWS v1 SDKs verwenden standardmäßig den globalen AWS STS-Endpunkt (sts.amazonaws.com), der den AWS STS-VPC-Endpunkt nicht verwendet. Um den AWS STS-VPC-Endpunkt zu verwenden, müssen Sie Ihr SDK möglicherweise so konfigurieren, dass es den regionalen AWS STS-Endpunkt (sts.region-code.amazonaws.com) verwendet. Weitere Informationen finden Sie unter Den AWS Security Token Service-Endpunkt für ein Dienstkonto konfigurieren.

  • Die VPC-Subnetze Ihres Clusters müssen über einen VPC-Schnittstellenendpunkt für alle AWS Dienste verfügen, die Ihr Pods benötigen Zugriff auf. Weitere Informationen finden Sie unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt. Einige häufig verwendete Services und Endpunkte sind in der folgenden Tabelle aufgeführt. eine vollständige Liste der Endpunkte finden Sie unter AWS -Services, die mit AWS integriert sindPrivateLink im AWS PrivateLink -Handbuch.

    Wir empfehlen Ihnen, private DNS-Namen für Ihre VPC-Endpunkte zu aktivieren, damit Workloads weiterhin ohne Probleme öffentliche AWS Dienstendpunkte verwenden können.

    Service Endpunkt

    Amazon EC2

    com.amazonaws. region-code.ec2

    Amazon Elastic Container Registry (zum Abrufen von Container-Images)

    com.amazonaws. region-code.ecr.api, com.amazonaws. region-code.ecr.dkr und com.amazonaws. region-code.s3

    Application Load Balancer und Network Load Balancer

    com.amazonaws. region-code.elastischer Lastenausgleich

    AWS X-Ray

    com.amazonaws. region-code.xray

    CloudWatch Amazon-Protokolle

    com.amazonaws. region-code.protokolle

    AWS Security Token Service (erforderlich, wenn IAM-Rollen für Dienstkonten verwendet werden)

    com.amazonaws. region-code.sts

  • Alle selbstverwalteten Knoten müssen in Subnetzen bereitgestellt werden, die über die von Ihnen benötigten VPC-Schnittstellenendpunkte verfügen. Wenn Sie eine verwaltete Knotengruppe erstellen, muss die Endpunktsicherheitsgruppe der VPC-Schnittstelle das CIDR für die Subnetze zulassen, oder Sie müssen die erstellte Knotensicherheitsgruppe zur Endpunktsicherheitsgruppe der VPC-Schnittstelle hinzufügen.

  • Wenn Ihre Pods Verwenden Sie Amazon EFS-Volumes. Bevor Sie dann das Store an Elastic File System mit Amazon EFS bereitstellen, muss die Datei kustomization.yaml des Treibers so geändert werden, dass die Container-Images dieselbe AWS Region wie der Amazon EKS-Cluster verwenden.

  • Sie können den Load AWS Balancer Controller verwenden, um AWS Application Load Balancers (ALB) und Network Load Balancers in Ihrem privaten Cluster bereitzustellen. Beim Bereitstellen sollten Sie Befehlszeilen-Flags verwenden, um enable-shield, enable-waf und enable-wafv2 auf falsch zu setzen. Die Zertifikatserkennung mit Hostnamen aus Ingress-Objekten wird nicht unterstützt. Dies liegt daran, dass der Controller AWS Certificate Manager erreichen muss, der keinen VPC-Schnittstellenendpunkt hat.

    Der Controller unterstützt Network Load Balancer mit IP-Zielen, die für die Verwendung mit Fargate erforderlich sind. Weitere Informationen erhalten Sie unter Routenanwendung und HTTP Verkehr mit Application Load Balancers und Erstellen eines Network Load Balancers.

  • Cluster Autoscaler wird unterstützt. Bei der Bereitstellung von Cluster Autoscaler Pods, stellen Sie sicher, dass die Befehlszeile Folgendes enthält: --aws-use-static-instance-list=true Weitere Informationen finden Sie unter Statische Instanzliste verwenden auf GitHub. Die Worker-Node-VPC muss auch den AWS STS-VPC-Endpunkt und den VPC-Endpunkt für Autoscaling enthalten.

  • Einige Container-Softwareprodukte verwenden API-Aufrufe, die auf den AWS Marketplace Metering Service zugreifen, um die Nutzung zu überwachen. Private Cluster lassen diese Aufrufe nicht zu, sodass Sie diese Containertypen nicht in privaten Clustern verwenden können.