Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Para usar los Nodos híbridos de Amazon EKS, debe tener conectividad privada desde el entorno en las instalaciones hacia AWS, servidores bare metal o máquinas virtuales y viceversa con un sistema operativo compatible. Además, debe configurar AWS IAM Roles Anywhere o las activaciones híbridas de AWS Systems Manager (SSM). Usted será el responsable de administrar estos requisitos previos durante todo el ciclo de vida de los nodos híbridos.
-
Conectividad de red híbrida desde el entorno en las instalaciones hacia AWS y viceversa.
-
Infraestructura en forma de máquinas físicas o virtuales
-
Sistema operativo compatible con nodos híbridos
-
Proveedor de credenciales de IAM en las instalaciones configurado
Conectividad de red híbrida
La comunicación entre el plano de control de Amazon EKS y los nodos híbridos se enruta a través de la VPC y las subredes que se transmiten durante la creación del clúster, que se basa en el mecanismo existente
Para disfrutar de una experiencia óptima, AWS recomienda una conectividad de red fiable de al menos 100 Mbps y un máximo de 200 ms de latencia de ida y vuelta para la conexión de los nodos híbridos a la región de AWS. Los requisitos de ancho de banda y latencia pueden variar en función de la cantidad de nodos híbridos y de las características de la carga de trabajo, como el tamaño de la imagen de la aplicación, la elasticidad de la aplicación, las configuraciones de supervisión y registro, y las dependencias de la aplicación para acceder a datos almacenados en otros servicios de AWS. Recomendamos que realice pruebas con aplicaciones y entornos propios antes de la implementación en la fase de producción con el fin de comprobar que la configuración de red cumple los requisitos de las cargas de trabajo.
Configuración de red en las instalaciones
Debe habilitar el acceso de red entrante desde el plano de control de Amazon EKS al entorno en las instalaciones para permitir que el plano de control de Amazon EKS se comunique con el kubelet que se ejecuta en los nodos híbridos y, opcionalmente, con los webhooks que se ejecutan en los nodos híbridos. Además, debe habilitar el acceso de red saliente para que los nodos híbridos y los componentes que se ejecutan en estos se puedan comunicar con el plano de control de Amazon EKS. Puede configurar esta comunicación para que permanezca completamente privada a AWS Direct Connect, AWS Site-to-Site VPN o a la conexión de VPN propia. Para obtener una lista completa de los puertos y protocolos necesarios que debe habilitar en el firewall y en el entorno en las instalaciones, consulte Cómo preparar las redes para los nodos híbridos.
Los rangos de enrutamiento entre dominios sin clases (CIDR) que se utilizan para las redes de nodos y pods en las instalaciones deben emplear rangos de direcciones IPv4 RFC1918. Cuando crea el clúster de Amazon EKS habilitado para nodos híbridos, proporciona los CIDR de los nodos en las instalaciones y, opcionalmente, de los pods, para habilitar la comunicación desde el plano de control de Amazon EKS hacia los nodos híbridos y los recursos que se ejecutan en estos. El enrutador en las instalaciones debe estar configurado con rutas a los nodos y, opcionalmente, a los pods en las instalaciones. Puede usar el protocolo de puerta de enlace fronteriza (BGP) o configuraciones estáticas para anunciar las IP de los pods al enrutador.
Configuración del clúster de EKS
Para minimizar la latencia, se recomienda crear el clúster de Amazon EKS en la región de AWS más cercana al entorno en las instalaciones o periférico. Los CIDR de nodos y pods en las instalaciones, durante la creación del clúster de Amazon EKS, se transfieren a través de dos campos de la API: RemoteNodeNetwork y RemotePodNetwork. Es posible que necesite hablar con el equipo de redes en las instalaciones para identificar los CIDR de nodos y pods en las instalaciones. El CIDR de nodos se asigna desde la red en las instalaciones y el CIDR de pods se asigna desde la interfaz de red del contenedor (CNI) si se utiliza una red superpuesta para la CNI.
Los CIDR de nodos y pods en las instalaciones se utilizan para configurar el plano de control de Amazon EKS a fin de dirigir el tráfico a través de la VPC al kubelet y los pods que se ejecutan en los nodos híbridos. Los CIDR de nodos y pods en las instalaciones no se pueden superponer entre sí, con el CIDR de VPC que se transmite durante la creación del clúster ni con la configuración de IPv4 de servicio correspondiente al clúster de Amazon EKS. El CIDR de pod es opcional. Debe configurar el CIDR del pod si la CNI no utiliza la traducción de direcciones de red (NAT) ni la ocultación de las direcciones IP de los pods cuando el tráfico del pod sale de los hosts en las instalaciones. Además, debes configurar el CIDR de pod si ejecuta webhooks de Kubernetes en nodos híbridos. Por ejemplo, AWS Distro para Open Telemetry (ADOT) utiliza webhooks.
Se recomienda utilizar un acceso de punto de conexión público o privado para el punto de conexión del servidor de la API de Kubernetes de Amazon EKS. Si elige “Público y privado”, el punto de conexión del servidor de la API de Kubernetes de Amazon EKS siempre se resolverá en las IP públicas de los nodos híbridos que se ejecutan fuera de la VPC, lo que puede impedir que los nodos híbridos se unan al clúster. Puede utilizar un acceso de punto de conexión público o privado para el punto de conexión del servidor de la API de Kubernetes de Amazon EKS. No puede elegir “Público y privado”. Cuando utiliza el acceso de punto de conexión público, el punto de conexión del servidor de la API de Kubernetes se resuelve en direcciones IP públicas y la comunicación desde los nodos híbridos al plano de control de Amazon EKS se enrutará a través de Internet. Cuando elige el acceso de punto de conexión privado, el punto de conexión del servidor de la API de Kubernetes se resuelve en direcciones IP privadas y la comunicación desde los nodos híbridos hacia el plano de control de Amazon EKS se enruta a través del enlace de conectividad privada, que en la mayoría de los casos es AWS Direct Connect o AWS Site-to-Site VPN.
Configuración de la VPC
Debe configurar la VPC que se transmite durante la creación del clúster de Amazon EKS con rutas en su tabla de enrutamiento para las redes de los nodos y, opcionalmente, de los pods en las instalaciones, mediante la puerta de enlace privada virtual (VGW) o puerta de enlace de tránsito (TGW) como destino. A continuación se muestra un ejemplo. Sustituya REMOTE_NODE_CIDR y REMOTE_POD_CIDR por los valores de la red en las instalaciones.
| Destino | Objetivo | Descripción |
|---|---|---|
|
10.226.0.0/16 |
local |
Tráfico local a las rutas de la VPC dentro de la VPC |
|
REMOTE_NODE_CIDR |
tgw-abcdef123456 |
El CIDR del nodo en las instalaciones dirige el tráfico a la puerta de enlace de tránsito |
|
REMODE_POD_CIDR |
tgw-abcdef123456 |
El CIDR del pod en las instalaciones dirige el tráfico a la puerta de enlace de tránsito |
Configuración del grupo de seguridad
Al crear un clúster, Amazon EKS crea un grupo de seguridad denominado eks-cluster-sg-<cluster-name>-<uniqueID>. No puede modificar las reglas de entrada de este grupo de seguridad de clúster, pero puede restringir las reglas de salida. Debe agregar un grupo de seguridad adicional al clúster para permitir que el kubelet y, opcionalmente, los webhooks que se ejecutan en los nodos híbridos contacten al plano de control de Amazon EKS. Las reglas de entrada requeridas para este grupo de seguridad adicional se muestran a continuación. Sustituya REMOTE_NODE_CIDR y REMOTE_POD_CIDR por los valores de la red en las instalaciones.
| Nombre | ID de regla del grupo de seguridad | Versión de IP | Tipo | Protocolo | Intervalo de puertos | Origen |
|---|---|---|---|---|---|---|
|
Nodo en las instalaciones entrante |
sgr-abcdef123456 |
IPv4 |
HTTPS |
TCP |
443 |
REMOTE_NODE_CIDR |
|
Pod en las instalaciones entrante |
sgr-abcdef654321 |
IPv4 |
HTTPS |
TCP |
443 |
REMOTE_POD_CIDR |
Infraestructura
Debe tener servidores bare metal o máquinas virtuales disponibles para su uso como nodos híbridos. Los nodos híbridos son independientes de la infraestructura subyacente y admiten arquitecturas x86 y ARM. El servicio de Nodos Híbridos de Amazon EKS adopta un enfoque de “use su propia infraestructura”, donde usted tiene la responsabilidad de aprovisionar y administrar los servidores bare metal o las máquinas virtuales que emplea para los nodos híbridos. Si bien no existe un requisito de recursos mínimos estricto, se recomienda utilizar hosts con al menos 1 CPU virtual y 1 GiB de RAM para los nodos híbridos.
Sistema operativo
Amazon Linux 2023 (AL2023), Ubuntu y RHEL son validados de forma continua para su uso como sistema operativo de nodo para los nodos híbridos. AWS admite la integración de nodos híbridos con estos sistemas operativos, pero no proporciona soporte para los sistemas operativos en sí. Los planes de AWS Support no cubren AL2023 cuando se ejecuta fuera de Amazon EC2. AL2023 solo se puede utilizar en entornos virtualizados en las instalaciones. Consulte la Guía del usuario de Amazon Linux 2023 para obtener más información.
Usted es responsable del aprovisionamiento y la administración del sistema operativo. Al probar nodos híbridos por primera vez, lo más sencillo es ejecutar la CLI de Nodos híbridos de Amazon EKS (nodeadm) en un host ya aprovisionado. Para implementaciones en la fase de producción, se recomienda incluir nodeadm en las imágenes base del sistema operativo para que se ejecute como un servicio systemd para unir automáticamente hosts a clústeres de Amazon EKS al iniciar el host.
Proveedor de credenciales de IAM en las instalaciones
Los Nodos híbridos de Amazon EKS utilizan credenciales de IAM temporales aprovisionadas por activaciones híbridas de AWS SSM o AWS IAM Roles Anywhere para autenticarse con el clúster de Amazon EKS. Debe usar activaciones híbridas de AWS SSM o AWS IAM Roles Anywhere con la CLI (nodeadm) de los Nodos híbridos de Amazon EKS. Se recomienda utilizar las activaciones híbridas de AWS SSM si no dispone de una infraestructura de clave pública (PKI) existente con una entidad de certificación (CA) y certificados para los entornos en las instalaciones. Si ya dispone de PKI y certificados en las instalaciones, utilice AWS IAM Roles Anywhere.
De manera similar a Rol de IAM de nodo de Amazon EKS para los nodos que se ejecutan en Amazon EC2, deberá crear un rol de IAM para los nodos híbridos con los permisos necesarios para unir nodos híbridos a los clústeres de Amazon EKS. Si utiliza AWS IAM Roles Anywhere, configure una política de confianza que permita a AWS IAM Roles Anywhere asumir el rol de IAM de nodos híbridos y configurar el perfil de AWS IAM Roles Anywhere con el rol de IAM de nodos híbridos como rol asumible. Si utiliza AWS SSM, configure una política de confianza que permita a AWS SSM asumir el rol de IAM de nodos híbridos y crear la activación híbrida con el rol de IAM de nodos híbridos. Consulte Cómo preparar las credenciales para los nodos híbridos para averiguar cómo crear el rol de IAM de nodos híbridos con los permisos necesarios.
