Bantu tingkatkan halaman ini
Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lihat persyaratan EKS jaringan Amazon untuk VPC dan subnet
Saat Anda membuat klaster, Anda menentukan VPCdan setidaknya dua subnet yang berada di Availability Zone yang berbeda. Topik ini memberikan ikhtisar tentang persyaratan dan pertimbangan EKS khusus Amazon untuk VPC dan subnet yang Anda gunakan dengan klaster Anda. Jika Anda tidak VPC harus menggunakan AmazonEKS, Anda dapat membuatnya menggunakan AWS CloudFormation template yang EKS disediakan Amazon. Jika Anda membuat kluster lokal atau diperluas AWS Outposts, lihat Buat VPC dan subnet untuk EKS kluster Amazon di AWS Outposts alih-alih topik ini.
VPCpersyaratan dan pertimbangan
Saat Anda membuat klaster, VPC yang Anda tentukan harus memenuhi persyaratan dan pertimbangan berikut:
-
VPCHarus memiliki jumlah alamat IP yang cukup tersedia untuk cluster, node apa pun, dan lainnya Kubernetes sumber daya yang ingin Anda buat. Jika VPC yang ingin Anda gunakan tidak memiliki jumlah alamat IP yang cukup, cobalah untuk menambah jumlah alamat IP yang tersedia.
Anda dapat melakukan ini dengan memperbarui konfigurasi cluster untuk mengubah subnet dan grup keamanan yang digunakan cluster. Anda dapat memperbarui dari AWS Management Console, versi terbaru dari AWS CLI, AWS CloudFormation, dan
eksctlversiv0.164.0-rc.0atau yang lebih baru. Anda mungkin perlu melakukan ini untuk menyediakan subnet dengan lebih banyak alamat IP yang tersedia agar berhasil meningkatkan versi cluster.penting
Semua subnet yang Anda tambahkan harus dalam set yang sama AZs seperti yang awalnya disediakan saat Anda membuat cluster. Subnet baru harus memenuhi semua persyaratan lainnya, misalnya mereka harus memiliki alamat IP yang memadai.
Misalnya, asumsikan bahwa Anda membuat cluster dan menentukan empat subnet. Dalam urutan yang Anda tentukan, subnet pertama berada di
us-west-2aAvailability Zone, subnet kedua dan ketiga berada dius-west-2bAvailability Zone, dan subnet keempat berada di Availability Zone.us-west-2cJika Anda ingin mengubah subnet, Anda harus menyediakan setidaknya satu subnet di masing-masing dari tiga Availability Zone, dan subnet harus VPC sama dengan subnet asli.Jika Anda membutuhkan lebih banyak alamat IP daripada CIDR blok yang VPC dimiliki, Anda dapat menambahkan blok tambahan dengan mengaitkan CIDR blok Classless Inter-Domain Routing () CIDR tambahan dengan blok Anda. VPC Anda dapat mengasosiasikan pribadi (RFC 1918) dan publik (non-RFC 1918) CIDR blok ke Anda VPC baik sebelum atau setelah Anda membuat cluster Anda. Diperlukan waktu cluster hingga lima jam agar CIDR blok yang Anda kaitkan VPC dengan a dikenali.
Anda dapat menghemat penggunaan alamat IP dengan menggunakan gateway transit dengan layanan bersama. VPC Untuk informasi selengkapnya, lihat Terisolasi VPCs dengan layanan bersama dan pola konservasi alamat IP Amazon yang EKS VPC dapat dirutekan dalam jaringan hibrida
. -
Jika Anda ingin Kubernetes untuk menetapkan
IPv6alamat ke Pods dan layanan, kaitkanIPv6CIDR blok dengan AndaVPC. Untuk informasi selengkapnya, lihat MengaitkanIPv6CIDR blok dengan Anda VPC di Panduan VPC Pengguna Amazon. -
VPCHarus memiliki
DNSnama host dan dukunganDNSresolusi. Jika tidak, node tidak dapat mendaftar ke cluster Anda. Untuk informasi selengkapnya, lihat DNSatribut untuk Anda VPC di Panduan VPC Pengguna Amazon. -
VPCMungkin memerlukan VPC titik akhir menggunakan AWS PrivateLink. Untuk informasi selengkapnya, lihat Persyaratan dan pertimbangan subnet.
Jika Anda membuat cluster dengan Kubernetes 1.14atau sebelumnya, Amazon EKS menambahkan tag berikut ke AndaVPC:
| Kunci | Nilai |
|---|---|
kubernetes.io/cluster/ |
owned |
Tag ini hanya digunakan oleh AmazonEKS. Anda dapat menghapus tag tanpa memengaruhi layanan Anda. Ini tidak digunakan dengan cluster yang versi 1.15 atau lebih baru.
Persyaratan dan pertimbangan subnet
Saat Anda membuat klaster, Amazon EKS membuat 2-4 antarmuka jaringan elastis di subnet yang Anda tentukan. Antarmuka jaringan ini memungkinkan komunikasi antara cluster Anda dan AndaVPC. Antarmuka jaringan ini juga memungkinkan Kubernetes fitur seperti kubectl exec dankubectl logs. Setiap antarmuka jaringan yang EKS dibuat Amazon memiliki teks Amazon EKS dalam deskripsinya.cluster-name
Amazon EKS dapat membuat antarmuka jaringannya di subnet apa pun yang Anda tentukan saat membuat cluster. Anda dapat mengubah subnet Amazon yang EKS membuat antarmuka jaringannya setelah cluster Anda dibuat. Saat Anda memperbarui Kubernetes versi cluster, Amazon EKS menghapus antarmuka jaringan asli yang dibuatnya, dan menciptakan antarmuka jaringan baru. Antarmuka jaringan ini dapat dibuat dalam subnet yang sama dengan antarmuka jaringan asli atau dalam subnet yang berbeda dari antarmuka jaringan asli. Untuk mengontrol antarmuka jaringan subnet mana yang dibuat, Anda dapat membatasi jumlah subnet yang Anda tentukan hanya dua saat Anda membuat klaster atau memperbarui subnet setelah membuat cluster.
Persyaratan subnet untuk cluster
Subnet yang Anda tentukan saat membuat atau memperbarui klaster harus memenuhi persyaratan berikut:
-
Subnet masing-masing harus memiliki setidaknya enam alamat IP untuk digunakan oleh AmazonEKS. Namun, kami merekomendasikan setidaknya 16 alamat IP.
-
Subnet tidak dapat berada di AWS Outposts, AWS Wavelength, atau Zona AWS Lokal. Namun, jika Anda memilikinyaVPC, Anda dapat menerapkan node yang dikelola sendiri dan Kubernetes sumber daya untuk jenis subnet ini.
-
Subnet dapat bersifat publik atau pribadi. Namun, kami menyarankan Anda menentukan subnet pribadi, jika memungkinkan. Subnet publik adalah subnet dengan tabel rute yang mencakup rute ke gateway internet, sedangkan subnet pribadi adalah subnet dengan tabel rute yang tidak menyertakan rute ke gateway internet.
-
Subnet tidak dapat berada di Availability Zone berikut:
Wilayah AWS Nama Wilayah Zona Ketersediaan Dilarang IDs us-east-1AS Timur (Virginia Utara) use1-az3us-west-1AS Barat (California Utara) usw1-az2ca-central-1Kanada (Pusat) cac1-az3
Penggunaan keluarga alamat IP berdasarkan komponen
Tabel berikut berisi keluarga alamat IP yang digunakan oleh setiap komponen AmazonEKS. Anda dapat menggunakan terjemahan alamat jaringan (NAT) atau sistem kompatibilitas lainnya untuk terhubung ke komponen ini dari alamat IP sumber dalam keluarga dengan "No" nilai untuk entri tabel.
Fungsionalitas dapat berbeda tergantung pada IP family (ipFamily) pengaturan cluster. Pengaturan ini mengubah jenis alamat IP yang digunakan untuk CIDR blokir itu Kubernetes menugaskan Services. Sebuah cluster dengan nilai pengaturan IPv4 disebut sebagai IPv4kluster, dan cluster dengan nilai pengaturan IPv6 disebut sebagai IPv6kluster.
| Komponen | IPv4alamat saja |
IPv6alamat saja |
Alamat tumpukan ganda |
|---|---|---|---|
| EKSAPItitik akhir publik | Ya 1,3 | Ya 1,3 | Ya 1,3 |
| EKSAPIVPCtitik akhir | Ya | Tidak | Tidak |
| EKSTitik akhir API publik autentikasi (Identitas EKS Pod) | Ya1 | Ya1 | Ya1 |
| EKSAPIVPCTitik akhir Auth (Identitas EKS Pod) | Ya1 | Ya1 | Ya1 |
| Kubernetes titik akhir publik klaster | Ya | Tidak | Tidak |
| Kubernetes titik akhir klaster pribadi | Ya 2 | Ya 2 | Tidak |
| Kubernetes subnet kluster | Ya 2 | Tidak | Ya 2 |
| Node Alamat IP Primer | Ya 2 | Tidak | Ya 2 |
| Klaster CIDR rentang untuk Service Alamat IP | Ya 2 | Ya 2 | Tidak |
| Pod Alamat IP dari VPC CNI | Ya 2 | Ya 2 | Tidak |
| IRSA OIDC Penerbit URLs | Ya 1,3 | Ya 1,3 | Ya 1,3 |
catatan
1 Titik akhir adalah tumpukan ganda dengan keduanya IPv4 dan IPv6 alamat. Aplikasi Anda di luar AWS, node Anda untuk cluster, dan pod Anda di dalam cluster dapat mencapai titik akhir ini dengan salah satu IPv4 atauIPv6.
2 Anda memilih antara IPv4 cluster dan IPv6 cluster di IP family (ipFamily) pengaturan cluster saat Anda membuat cluster dan ini tidak dapat diubah. Sebagai gantinya, Anda harus memilih pengaturan yang berbeda saat membuat klaster lain dan memigrasikan beban kerja Anda.
3 Titik akhir tumpukan ganda diperkenalkan pada Agustus 2024. Untuk menggunakan titik akhir dual-stack dengan AWS CLI, lihat konfigurasi Dual-stack dan FIPS endpoint di Panduan Referensi Alat dan.AWS SDKs Berikut ini mencantumkan endpoint baru:
- EKSAPItitik akhir publik
eks.region.api.aws- IRSA OIDC Penerbit URLs
oidc-eks.region.api.aws
Persyaratan subnet untuk node
Anda dapat menggunakan node dan Kubernetes sumber daya ke subnet yang sama yang Anda tentukan saat membuat klaster. Namun, ini tidak perlu. Ini karena Anda juga dapat menyebarkan node dan Kubernetes sumber daya ke subnet yang tidak Anda tentukan saat membuat klaster. Jika Anda menyebarkan node ke subnet yang berbeda, Amazon EKS tidak membuat antarmuka jaringan cluster di subnet tersebut. Subnet apa pun yang Anda gunakan node dan Kubernetes sumber daya harus memenuhi persyaratan berikut:
-
Subnet harus memiliki cukup alamat IP yang tersedia untuk menyebarkan semua node Anda dan Kubernetes sumber daya untuk.
-
Jika Anda ingin Kubernetes untuk menetapkan
IPv6alamat ke Pods dan layanan, maka Anda harus memiliki satuIPv6CIDR blok dan satuIPv4CIDR blok yang terkait dengan subnet Anda. Untuk informasi selengkapnya, lihat MengaitkanIPv6CIDR blok dengan subnet Anda di Panduan VPC Pengguna Amazon. Tabel rute yang terkait dengan subnet harus menyertakan rute keIPv4danIPv6alamat. Untuk informasi selengkapnya, lihat Rute di Panduan VPC Pengguna Amazon. Pod hanya diberiIPv6alamat. Namun antarmuka jaringan yang EKS dibuat Amazon untuk klaster dan node Anda diberi alamatIPv4danIPv6alamat. -
Jika Anda membutuhkan akses masuk dari internet ke Pods, pastikan untuk memiliki setidaknya satu subnet publik dengan alamat IP yang cukup tersedia untuk menyebarkan penyeimbang beban dan masuk ke. Anda dapat menyebarkan penyeimbang beban ke subnet publik. Load balancer dapat memuat keseimbangan ke Pods dalam subnet pribadi atau publik. Sebaiknya gunakan node Anda ke subnet pribadi, jika memungkinkan.
-
Jika Anda berencana untuk menyebarkan node ke subnet publik, subnet harus menetapkan alamat atau alamat publik secara otomatis
IPv4.IPv6Jika Anda menyebarkan node ke subnet pribadi yang memilikiIPv6CIDR blok terkait, subnet pribadi juga harus menetapkan alamat secara otomatis.IPv6Jika Anda menggunakan EKS AWS CloudFormation templat Amazon untuk menerapkan VPC setelah 26 Maret 2020, setelan ini diaktifkan. Jika Anda menggunakan templat untuk menyebarkan VPC sebelum tanggal ini atau menggunakan templat Anda sendiriVPC, Anda harus mengaktifkan pengaturan ini secara manual. Untuk informasi selengkapnya, lihat Memodifikasi atributIPv4pengalamatan publik untuk subnet Andadan Memodifikasi atributIPv6pengalamatan untuk subnet Anda di Panduan Pengguna Amazon. VPC -
Jika subnet tempat Anda menerapkan node adalah subnet pribadi dan tabel rutenya tidak menyertakan rute ke perangkat terjemahan alamat jaringan (NAT) () atau gateway khusus egress-only (
IPv4IPv6), tambahkan titik akhir menggunakan ke file Anda. VPC AWS PrivateLink VPC VPCendpoint diperlukan untuk semua node Anda dan Layanan AWS Pods perlu berkomunikasi dengan. Contohnya termasuk AmazonECR, Elastic Load Balancing, Amazon CloudWatch AWS Security Token Service, dan Amazon Simple Storage Service (Amazon S3). Titik akhir harus menyertakan subnet tempat node berada. Tidak semua Layanan AWS mendukung VPC endpoint. Untuk informasi lebih lanjut, lihat Apa itu AWS PrivateLink? dan AWS layanan yang terintegrasi dengan AWS PrivateLink. Untuk daftar EKS persyaratan Amazon lainnya, lihatMenyebarkan kluster pribadi dengan akses internet terbatas. -
Jika Anda ingin menerapkan penyeimbang beban ke subnet, subnet harus memiliki tag berikut:
-
Subnet privat
Kunci Nilai kubernetes.io/role/internal-elb1 -
Subnet publik
Kunci Nilai kubernetes.io/role/elb1
-
Ketika Kubernetes cluster yang versi 1.18 dan sebelumnya dibuat, Amazon EKS menambahkan tag berikut ke semua subnet yang ditentukan.
| Kunci | Nilai |
|---|---|
kubernetes.io/cluster/ |
shared |
Saat Anda membuat yang baru Kubernetes cluster sekarang, Amazon EKS tidak menambahkan tag ke subnet Anda. Jika tag berada di subnet yang digunakan oleh cluster yang sebelumnya merupakan versi sebelumnya1.19, tag tidak secara otomatis dihapus dari subnet saat cluster diperbarui ke versi yang lebih baru. Versi 2.1.1 atau sebelumnya dari AWS Load Balancer Controllermembutuhkan tag ini. Jika Anda menggunakan versi yang lebih baru dari Load Balancer Controller, Anda dapat menghapus tag tanpa mengganggu layanan Anda.
Jika Anda menerapkan VPC by using eksctlatau salah satu EKS AWS CloudFormation VPC templat Amazon, berikut ini berlaku:
-
Pada atau setelah 26 Maret 2020 -
IPv4Alamat publik secara otomatis ditetapkan oleh subnet publik ke node baru yang digunakan untuk subnet publik. -
Sebelum 26 Maret 2020 -
IPv4Alamat publik tidak secara otomatis ditetapkan oleh subnet publik ke node baru yang digunakan ke subnet publik.
Perubahan ini berdampak pada grup node baru yang diterapkan ke subnet publik dengan cara berikut:
-
Grup node terkelola - Jika grup node dikerahkan ke subnet publik pada atau setelah 22 April 2020, penetapan otomatis alamat IP publik harus diaktifkan untuk subnet publik. Untuk informasi selengkapnya, lihat Memodifikasi atribut
IPv4pengalamatan publik untuk subnet Anda. -
Linux, Windows, atau grup simpul yang dikelola sendiri Arm — Jika grup node diterapkan ke subnet publik pada atau setelah 26 Maret 2020, penetapan otomatis alamat IP publik harus diaktifkan untuk subnet publik. Jika tidak, node harus diluncurkan dengan alamat IP publik sebagai gantinya. Untuk informasi selengkapnya, lihat Memodifikasi atribut
IPv4pengalamatan publik untuk subnet Anda atau MenetapkanIPv4alamat publik selama peluncuran instance.
Persyaratan dan pertimbangan subnet bersama
Anda dapat menggunakan VPCberbagi untuk berbagi subnet dengan AWS akun lain dalam hal yang sama AWS Organizations. Anda dapat membuat EKS klaster Amazon di subnet bersama, dengan pertimbangan berikut:
-
Pemilik VPC subnet harus berbagi subnet dengan akun peserta sebelum akun tersebut dapat membuat EKS cluster Amazon di dalamnya.
-
Anda tidak dapat meluncurkan sumber daya menggunakan grup keamanan default VPC karena milik pemilik. Selain itu, peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan yang dimiliki oleh peserta lain atau pemilik.
-
Dalam subnet bersama, peserta dan pemilik secara terpisah mengontrol grup keamanan dalam setiap akun masing-masing. Pemilik subnet dapat melihat grup keamanan yang dibuat oleh peserta tetapi tidak dapat melakukan tindakan apa pun pada mereka. Jika pemilik subnet ingin menghapus atau memodifikasi grup keamanan ini, peserta yang membuat grup keamanan harus mengambil tindakan.
-
Jika cluster dibuat oleh peserta, pertimbangan berikut berlaku:
IAMPeran cluster dan IAM peran Node harus dibuat di akun itu. Untuk informasi selengkapnya, silakan lihat IAMPeran EKS cluster Amazon dan IAM role simpul Amazon EKS.
-
Semua node harus dibuat oleh peserta yang sama, termasuk grup node terkelola.
-
VPCPemilik bersama tidak dapat melihat, memperbarui, atau menghapus klaster yang dibuat peserta di subnet bersama. Ini merupakan tambahan dari VPC sumber daya yang setiap akun memiliki akses yang berbeda. Untuk informasi selengkapnya, lihat Tanggung jawab dan izin untuk pemilik dan peserta di Panduan VPC Pengguna Amazon.
-
Jika Anda menggunakan fitur jaringan khusus dari Amazon VPC CNI plugin for Kubernetes, Anda perlu menggunakan pemetaan ID Availability Zone yang tercantum di akun pemilik untuk membuat masing-masing.
ENIConfigUntuk informasi selengkapnya, lihat Terapkan pods di subnet alternatif dengan jaringan khusus.
Untuk informasi selengkapnya tentang berbagi VPC subnet, lihat Berbagi VPC dengan akun lain di Panduan VPC Pengguna Amazon.
