Complementos de CNI alternativos para clústeres de Amazon EKS

El Complemento de la CNI de Amazon VPC para Kubernetes es el único complemento de la CNI admitido por Amazon EKS con nodos de Amazon EC2. Amazon EKS es compatible con las capacidades principales de Cilium y Calico para los Nodos híbridos de Amazon EKS. Amazon EKS ejecuta una versión anterior de Kubernetes, por lo que puede instalar complementos de CNI alternativos compatibles en los nodos de Amazon EC2 del clúster. Si tiene nodos de Fargate en el clúster, el complemento CNI de Amazon VPC para Kubernetes ya está en sus nodos de Fargate. Es el único complemento de CNI que puede utilizar con los nodos de Fargate. Se produce un error cuando intenta instalar un complemento de CNI alternativo en los nodos de Fargate.

Si planea usar un complemento de CNI alternativo en nodos de Amazon EC2, le recomendamos obtener compatibilidad comercial para el complemento o pedir al experto en plantilla que solucione los problemas y aporte correcciones al proyecto de complemento de CNI.

Amazon EKS mantiene relaciones con una red de socios que ofrecen soporte para complementos CNI compatibles alternativos. Consulte la siguiente documentación de socios para obtener información detallada sobre las versiones, las calificaciones y pruebas realizadas.

Amazon EKS tiene como objetivo darle una amplia selección de opciones para cubrir todos los casos de uso.

Plugins de políticas de red compatibles alternativos

Calico es una solución ampliamente adoptada para seguridad y redes de contenedores. El uso de Calico en EKS proporciona una implementación de la política de red plenamente compatible para sus clústeres de EKS. Además, puede optar por utilizar la red de Calico, que conserva las direcciones IP de la VPC subyacente. Calico Cloud mejora las características de Calico Open Source con capacidades avanzadas de seguridad y observabilidad.

El flujo de tráfico hacia y desde los pods con grupos de seguridad asociados no está sujeto a la política de red de Calico y solo se limita a la aplicación de grupos de seguridad de Amazon VPC.

Si utiliza la aplicación de políticas de red de Calico, le recomendamos que configure la variable de entorno ANNOTATE_POD_IP en true para evitar un problema conocido con Kubernetes. Para utilizar esta característica, debe agregar permisos de patch para los pods al ClusterRole aws-node. Tenga en cuenta que agregar permisos de parche al DaemonSet aws-node aumenta el alcance de seguridad del complemento. Para obtener más información, consulte ANNOTATE_POD_IP en el repositorio de CNI de la VPC en GitHub.

Consideraciones para el modo automático de Amazon EKS

El modo automático de Amazon EKS no admite complementos de la CNI alternativos ni complementos de políticas de red. Para obtener más información, consulte Automatización de la infraestructura de clústeres con el modo automático de EKS.