Mempersiapkan jaringan untuk node hybrid - Amazon EKS
Konfigurasi jaringan lokalAWS Pengaturan VPC dan subnetKonfigurasi grup keamanan cluster

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mempersiapkan jaringan untuk node hybrid

Topik ini memberikan gambaran umum tentang pengaturan jaringan yang harus Anda konfigurasikan sebelum membuat kluster Amazon EKS dan melampirkan node hybrid. Panduan ini mengasumsikan Anda telah memenuhi persyaratan prasyarat untuk konektivitas jaringan hybrid menggunakan VPN AWS Site-to-Site , Direct AWS Connect, atau solusi VPN Anda sendiri.

Konektivitas jaringan node hibrida.

Konfigurasi jaringan lokal

Persyaratan jaringan minimum

Untuk pengalaman yang optimal, AWS merekomendasikan konektivitas jaringan yang andal minimal 100 Mbps dan latensi pulang-pergi maksimum 200 ms untuk koneksi node hibrida ke Wilayah. AWS Persyaratan bandwidth dan latensi dapat bervariasi tergantung pada jumlah node hibrida dan karakteristik beban kerja Anda seperti ukuran gambar aplikasi, elastisitas aplikasi, konfigurasi pemantauan dan logging, dan dependensi aplikasi untuk mengakses data yang disimpan di layanan lain. AWS

Node dan pod lokal CIDRs

Identifikasi node dan pod yang akan CIDRs Anda gunakan untuk node hybrid Anda dan beban kerja yang berjalan di dalamnya. Node CIDR dialokasikan dari jaringan lokal Anda dan pod CIDR dialokasikan dari Container Network Interface (CNI) jika Anda menggunakan jaringan overlay untuk CNI Anda. Anda meneruskan node lokal CIDRs dan pod opsional CIDRs sebagai input saat membuat klaster Amazon EKS dengan bidang danRemoteNodeNetwork. RemotePodNetwork

Blok CIDR node dan pod lokal harus memenuhi persyaratan berikut:

  1. Berada dalam salah satu rentang IPv4 RFC-1918 berikut:10.0.0.0/8,, atau. 172.16.0.0/12 192.168.0.0/16

  2. Tidak saling tumpang tindih, CIDR VPC untuk cluster Amazon EKS Anda, atau CIDR layanan Kubernetes Anda. IPv4

Jika CNI Anda melakukan Network Address Translation (NAT) untuk lalu lintas pod saat meninggalkan host lokal, Anda tidak perlu mengiklankan CIDR pod ke jaringan lokal atau mengonfigurasi klaster Amazon EKS dengan jaringan pod jarak jauh agar node hibrid siap menghadapi beban kerja. Jika CNI Anda tidak menggunakan NAT untuk lalu lintas pod karena meninggalkan host lokal, Anda harus mengiklankan CIDR pod Anda dengan jaringan lokal dan Anda harus mengonfigurasi klaster Amazon EKS dengan jaringan pod jarak jauh agar node hibrid siap menghadapi beban kerja. Jika Anda menjalankan webhook pada node hybrid, Anda harus mengiklankan CIDR pod Anda ke jaringan lokal dan mengonfigurasi cluster Amazon EKS Anda dengan jaringan pod jarak jauh Anda sehingga control plane Amazon EKS dapat langsung terhubung ke webhook yang berjalan pada node hybrid.

Akses diperlukan selama instalasi dan peningkatan node hybrid

Anda harus memiliki akses ke domain berikut selama proses instalasi di mana Anda menginstal dependensi node hybrid pada host Anda. Proses ini dapat dilakukan sekali ketika Anda sedang membangun gambar sistem operasi Anda atau dapat dilakukan pada setiap host saat runtime. Ini termasuk instalasi awal dan ketika Anda meng-upgrade versi Kubernetes dari node hybrid Anda.

Komponen URL Protokol Port

Artefak simpul EKS (S3)

https://hybrid-assets.eks.amazonaws.com

HTTPS

443

Titik akhir layanan EKS

https://eks. region.amazonaws.com

HTTPS

443

Titik akhir EKS ECR

Lihat Lihat pendaftar gambar kontainer Amazon untuk add-on Amazon EKS untuk titik akhir regional.

HTTPS

443

Titik akhir biner SSM 1

https://amazon-ssm - region .s3. region.amazonaws.com

HTTPS

443

Titik akhir layanan SSM 1

https://ssm. region.amazonaws.com

HTTPS

443

Titik akhir biner IAM Anywhere 2

https://rolesanywhere.amazonaws.com

HTTPS

443

Titik akhir layanan IAM Anywhere 2

https://rolesanywhere. region.amazonaws.com

HTTPS

443
catatan

1 Akses ke titik akhir AWS SSM hanya diperlukan jika Anda menggunakan aktivasi hibrida AWS SSM untuk penyedia kredensi IAM lokal Anda.

2 Akses ke titik akhir AWS IAM hanya diperlukan jika Anda menggunakan Peran IAM Di Mana Saja untuk penyedia kredensi AWS IAM lokal Anda.

Akses diperlukan untuk operasi klaster yang sedang berlangsung

Akses jaringan berikut untuk firewall lokal Anda diperlukan untuk operasi klaster yang sedang berlangsung.

penting

Tergantung pada pilihan CNI Anda, Anda perlu mengkonfigurasi aturan akses jaringan tambahan untuk port CNI. Lihat dokumentasi Cilium dan dokumentasi Calico untuk detailnya.

Tipe Protokol Arahan Port Sumber Tujuan Penggunaan

HTTPS

TCP

Ke luar

443

CIDR Node Jarak Jauh

Kluster EKS IPs 1

kubelet ke server API Kubernetes

HTTPS

TCP

Ke luar

443

CIDR Pod Jarak Jauh

Kluster EKS IPs 1

Pod ke server API Kubernetes

HTTPS

TCP

Ke luar

443

CIDR Node Jarak Jauh

Titik akhir layanan SSM

Aktivasi hibrida SSM menyegarkan kredenal dan detak jantung SSM setiap 5 menit

HTTPS

TCP

Ke luar

443

CIDR Node Jarak Jauh

Titik akhir layanan IAM Anywhere

Peran IAM Di Mana Saja penyegaran kredenal

HTTPS

TCP

Ke luar

443

CIDR Pod Jarak Jauh

Titik Akhir Regional STS

Pod ke titik akhir STS, hanya diperlukan untuk IRSA

HTTPS

TCP

Ke luar

443

CIDR Node Jarak Jauh

Titik akhir layanan Amazon EKS Auth

Node ke titik akhir Amazon EKS Auth, hanya diperlukan untuk Amazon EKS Pod Identity

HTTPS

TCP

Ke dalam

10250

Kluster EKS IPs 1

CIDR Node Jarak Jauh

kubelet ke server API Kubernetes

HTTPS

TCP

Ke dalam

Port webhook

Kluster EKS IPs 1

CIDR Pod Jarak Jauh

Server API Kubernetes ke webhook

HTTPS

TCP, UDP

Masuk, Keluar

53

CIDR Pod Jarak Jauh

CIDR Pod Jarak Jauh

Pod ke CoreDNS. Jika Anda menjalankan setidaknya 1 replika CoreDNS di cloud, Anda harus mengizinkan lalu lintas DNS ke VPC tempat CoreDNS berjalan.

Ditentukan pengguna

Ditentukan pengguna

Masuk, Keluar

Port aplikasi

CIDR Pod Jarak Jauh

CIDR Pod Jarak Jauh

Pod ke Pod
catatan

1 IPs Kluster Amazon EKS. Lihat bagian berikut tentang antarmuka jaringan elastis Amazon EKS.

Antarmuka jaringan Amazon EKS

Amazon EKS melampirkan antarmuka jaringan ke subnet di VPC yang Anda lewati selama pembuatan klaster untuk mengaktifkan komunikasi antara bidang kontrol Amazon EKS dan VPC Anda. Antarmuka jaringan yang dibuat Amazon EKS dapat ditemukan setelah pembuatan cluster di EC2 konsol Amazon atau dengan AWS CLI. Antarmuka jaringan asli dihapus dan antarmuka jaringan baru dibuat ketika perubahan diterapkan pada kluster Amazon EKS Anda, seperti upgrade versi Kubernetes. Anda dapat membatasi rentang IP untuk antarmuka jaringan Amazon EKS dengan menggunakan ukuran subnet terbatas untuk subnet yang Anda lewati selama pembuatan klaster, yang memudahkan konfigurasi firewall lokal Anda untuk memungkinkan konektivitas masuk/keluar ke kumpulan yang diketahui dan dibatasi ini. IPs Untuk mengontrol antarmuka jaringan subnet mana yang dibuat, Anda dapat membatasi jumlah subnet yang Anda tentukan saat membuat cluster atau Anda dapat memperbarui subnet setelah membuat cluster.

Antarmuka jaringan yang disediakan oleh Amazon EKS memiliki deskripsi formatnya. Amazon EKS your-cluster-name Lihat contoh di bawah ini untuk perintah AWS CLI yang dapat Anda gunakan untuk menemukan alamat IP antarmuka jaringan yang disediakan Amazon EKS. Ganti VPC_ID dengan ID VPC yang Anda lewati selama pembuatan cluster.

aws ec2 describe-network-interfaces \
--query 'NetworkInterfaces[?(VpcId == VPC_ID && contains(Description,Amazon EKS))].PrivateIpAddress'

AWS Pengaturan VPC dan subnet

Persyaratan VPC dan subnet yang ada untuk Amazon EKS berlaku untuk cluster dengan node hybrid. Selain itu, CIDR VPC Anda tidak dapat tumpang tindih dengan node dan pod lokal Anda. CIDRs Anda harus mengonfigurasi rute di tabel perutean VPC untuk node lokal dan pod opsional. CIDRs Rute ini harus diatur untuk mengarahkan lalu lintas ke gateway yang Anda gunakan untuk konektivitas jaringan hybrid Anda, yang biasanya merupakan gateway pribadi virtual (VGW) atau gateway transit (TGW). Jika Anda menggunakan TGW atau VGW untuk menghubungkan VPC dengan lingkungan lokal, Anda harus membuat lampiran TGW atau VGW untuk VPC Anda. VPC Anda harus memiliki nama host DNS dan dukungan resolusi DNS.

Langkah-langkah berikut menggunakan AWS CLI. Anda juga dapat membuat sumber daya ini di AWS Management Console atau dengan antarmuka lain seperti AWS CloudFormation, AWS CDK, atau Terraform.

Langkah 1: Buat VPC

  1. Jalankan perintah berikut untuk membuat VPC. Ganti VPC_CIDR dengan rentang IPv4 CIDR RFC-1918 (pribadi) atau non-RFC-1918 (publik) (misalnya). 10.0.0.0/16 Catatan: Resolusi DNS, yang merupakan persyaratan EKS, diaktifkan untuk VPC secara default.

    aws ec2 create-vpc --cidr-block VPC_CIDR

  2. Aktifkan nama host DNS untuk VPC Anda. Catatan, resolusi DNS diaktifkan untuk VPC secara default. Ganti VPC_ID dengan ID VPC yang Anda buat pada langkah sebelumnya.

    aws ec2 modify-vpc-attribute --vpc-id VPC_ID --enable-dns-hostnames

Langkah 2: Buat subnet

Buat setidaknya 2 subnet. Amazon EKS menggunakan subnet ini untuk antarmuka jaringan cluster. Untuk informasi selengkapnya, lihat Persyaratan dan pertimbangan Subnet.

  1. Anda dapat menemukan zona ketersediaan untuk AWS Wilayah dengan perintah berikut. Ganti us-west-2 dengan wilayah Anda.

    aws ec2 describe-availability-zones \
     --query 'AvailabilityZones[?(RegionName == us-west-2)].ZoneName'

  2. Buat subnet. Ganti VPC_ID dengan ID VPC. Ganti SUBNET_CIDR dengan blok CIDR untuk subnet Anda (misalnya 10.0.1.0/24). Ganti AZ dengan zona ketersediaan tempat subnet akan dibuat (misalnya us-west-2a). Subnet yang Anda buat harus berada di setidaknya 2 zona ketersediaan yang berbeda.

    aws ec2 create-subnet \
    --vpc-id VPC_ID \
    --cidr-block SUBNET_CIDR \
    --availability-zone AZ

(Opsional) Langkah 3: Lampirkan VPC dengan Amazon VPC Transit Gateway (TGW) AWS atau gateway pribadi virtual Direct Connect (VGW)

Jika Anda menggunakan TGW atau VGW, lampirkan VPC Anda ke TGW atau VGW. Untuk informasi selengkapnya, lihat lampiran VPC Amazon di Gateway Transit VPC Amazon atau asosiasi gateway pribadi virtual Direct AWS Connect.

Transit Gateway

Jalankan perintah berikut untuk melampirkan Transit Gateway. Ganti VPC_ID dengan ID VPC. Ganti SUBNET_ID1 dan SUBNET_ID2 dengan subnet yang Anda buat pada langkah sebelumnya. IDs Ganti TGW_ID dengan ID TGW Anda.

aws ec2 create-transit-gateway-vpc-attachment \
    --vpc-id VPC_ID \
    --subnet-ids SUBNET_ID1 SUBNET_ID2 \
    --transit-gateway-id TGW_ID

Gerbang Pribadi Virtual

Jalankan perintah berikut untuk melampirkan Transit Gateway. Ganti VPN_ID dengan ID VGW Anda. Ganti VPC_ID dengan ID VPC.

aws ec2 attach-vpn-gateway \
    --vpn-gateway-id VPN_ID \
    --vpc-id VPC_ID

(Opsional) Langkah 4: Buat tabel rute

Anda dapat memodifikasi tabel rute utama untuk VPC atau Anda dapat membuat tabel rute khusus. Langkah-langkah berikut membuat tabel rute kustom dengan rute ke node dan pod CIDRs lokal. Untuk informasi selengkapnya, lihat Tabel rute subnet. Ganti VPC_ID dengan ID VPC.

aws ec2 create-route-table --vpc-id VPC_ID

Langkah 5: Buat rute untuk node dan pod lokal

Buat rute dalam tabel rute untuk setiap node jarak jauh lokal Anda. Anda dapat memodifikasi tabel rute utama untuk VPC atau menggunakan tabel rute khusus yang Anda buat di langkah sebelumnya.

Contoh di bawah ini menunjukkan cara membuat rute untuk node dan pod CIDRs lokal Anda. Dalam contoh, gateway transit (TGW) digunakan untuk menghubungkan VPC dengan lingkungan lokal. Jika Anda memiliki beberapa node dan pod lokal CIDRs, ulangi langkah-langkah untuk setiap CIDR.

  • Jika Anda menggunakan gateway internet atau virtual private gateway (VGW) ganti --transit-gateway-id dengan. --gateway-id

  • Ganti RT_ID dengan ID tabel rute yang Anda buat pada langkah sebelumnya.

  • Ganti REMOTE_NODE_CIDR dengan rentang CIDR yang akan Anda gunakan untuk node hybrid Anda.

  • Ganti REMOTE_POD_CIDR dengan rentang CIDR yang akan Anda gunakan untuk pod yang berjalan pada node hybrid. Rentang pod CIDR sesuai dengan konfigurasi Container Networking Interface (CNI), yang paling sering menggunakan jaringan overlay lokal. Untuk informasi selengkapnya, lihat Konfigurasikan CNI untuk node hybrid.

  • Ganti TGW_ID dengan ID TGW Anda.

Jaringan simpul jarak jauh 

aws ec2 create-route \
    --route-table-id RT_ID \
    --destination-cidr-block REMOTE_NODE_CIDR \
    --transit-gateway-id TGW_ID

Jaringan Pod jarak jauh 

aws ec2 create-route \
    --route-table-id RT_ID \
    --destination-cidr-block REMOTE_POD_CIDR \
    --transit-gateway-id TGW_ID

(Opsional) Langkah 6: Kaitkan subnet dengan tabel rute

Jika Anda membuat tabel rute kustom pada langkah sebelumnya, kaitkan setiap subnet yang Anda buat pada langkah sebelumnya dengan tabel rute kustom Anda. Jika Anda memodifikasi tabel rute utama VPC, subnet secara otomatis dikaitkan dengan tabel rute utama VPC dan Anda dapat melewati langkah ini.

Jalankan perintah berikut untuk setiap subnet yang Anda buat di langkah sebelumnya. Ganti RT_ID dengan tabel rute yang Anda buat pada langkah sebelumnya. Ganti SUBNET_ID dengan ID subnet.

aws ec2 associate-route-table --route-table-id RT_ID --subnet-id SUBNET_ID

Konfigurasi grup keamanan cluster

Akses berikut untuk grup keamanan klaster Amazon EKS Anda diperlukan untuk operasi klaster yang sedang berlangsung.

Tipe Protokol Arahan Port Sumber Tujuan Penggunaan

HTTPS

TCP

Ke dalam

443

CIDR Node Jarak Jauh

N/A

Kubelet ke Kubernetes API server

HTTPS

TCP

Ke dalam

443

CIDR Pod Jarak Jauh

N/A

Pod yang membutuhkan akses ke server API K8s saat CNI tidak menggunakan NAT untuk lalu lintas pod.

HTTPS

TCP

Ke luar

10250

N/A

CIDR Node Jarak Jauh

Server API Kubernetes ke Kubelet

HTTPS

TCP

Ke luar

Port webhook

N/A

CIDR Pod Jarak Jauh

Kubernetes API server ke webhook (jika menjalankan webhook pada node hybrid)

Untuk membuat grup keamanan dengan aturan akses masuk, jalankan perintah berikut. Grup keamanan ini harus diteruskan saat Anda membuat cluster Amazon EKS Anda. Secara default, perintah di bawah ini membuat grup keamanan yang memungkinkan semua akses keluar. Anda dapat membatasi akses keluar untuk menyertakan hanya aturan di atas. Jika Anda mempertimbangkan untuk membatasi aturan keluar, sebaiknya Anda menguji secara menyeluruh semua aplikasi dan konektivitas pod sebelum menerapkan aturan yang diubah ke cluster produksi.

  • Pada perintah pertama, ganti SG_NAME dengan nama untuk grup keamanan Anda

  • Pada perintah pertama, ganti VPC_ID dengan ID VPC yang Anda buat pada langkah sebelumnya

  • Pada perintah kedua, ganti SG_ID dengan ID grup keamanan yang Anda buat di perintah pertama

  • Pada perintah kedua, ganti REMOTE_NODE_CIDR dan REMOTE_POD_CIDR dengan nilai untuk node hybrid dan jaringan lokal Anda.

aws ec2 create-security-group \
    --group-name SG_NAME \
    --description "security group for hybrid nodes" \
    --vpc-id VPC_ID
      
aws ec2 authorize-security-group-ingress \
    --group-id SG_ID \
    --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 443, "ToPort": 443, "IpRanges": [{"CidrIp": "REMOTE_NODE_CIDR"}, {"CidrIp": "REMOTE_POD_CIDR"}]}]'