Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Menyebarkan kluster pribadi dengan akses internet terbatas

PDF
RSS
Mode fokus
Menyebarkan kluster pribadi dengan akses internet terbatas - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Topik ini menjelaskan cara menerapkan kluster Amazon EKS yang diterapkan di AWS Cloud, tetapi tidak memiliki akses internet keluar. Jika Anda memiliki cluster lokal di AWS Outposts, lihatBuat node Amazon Linux di AWS Outposts, bukan topik ini.

Jika Anda tidak terbiasa dengan jaringan Amazon EKS, lihat De-mystifying jaringan cluster untuk node pekerja Amazon EKS. Jika klaster Anda tidak memiliki akses internet keluar, maka klaster harus memenuhi persyaratan berikut:

  • Cluster Anda harus menarik gambar dari registri kontainer yang ada di VPC Anda. Anda dapat membuat Amazon Elastic Container Registry di VPC Anda dan menyalin gambar kontainer ke sana untuk diambil node Anda. Untuk informasi selengkapnya, lihat Salin gambar kontainer dari satu repositori ke repositori lain.

  • Cluster Anda harus mengaktifkan akses pribadi endpoint. Hal ini diperlukan untuk node untuk mendaftar dengan endpoint cluster. titik akhir akses publik adalah opsional. Untuk informasi selengkapnya, lihat Kontrol akses jaringan ke titik akhir server API cluster.

  • Node Linux dan Windows yang dikelola sendiri harus menyertakan argumen bootstrap berikut sebelum diluncurkan. Argumen ini melewati introspeksi Amazon EKS dan tidak memerlukan akses ke Amazon EKS API dari dalam VPC.

    1. Tentukan nilai endpoint cluster Anda dengan perintah berikut. Ganti my-cluster dengan nama klaster Anda.

      aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text

      Contoh output adalah sebagai berikut.

      https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com

    2. Tentukan nilai otoritas sertifikat klaster Anda dengan perintah berikut. Ganti my-cluster dengan nama klaster Anda.

      aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text

      Output yang dikembalikan adalah string panjang.

    3. Ganti cluster-endpoint dan certificate-authority dalam perintah berikut dengan nilai yang dikembalikan dalam output dari perintah sebelumnya. Untuk informasi selengkapnya tentang menentukan argumen bootstrap saat meluncurkan node yang dikelola sendiri, lihat Buat node Amazon Linux yang dikelola sendiri dan. Buat node Microsoft Windows yang dikelola sendiri

      • Untuk node Linux:

        --apiserver-endpoint cluster-endpoint --b64-cluster-ca certificate-authority

        Untuk argumen tambahan, lihat skrip bootstrap pada GitHub.

      • Untuk node Windows:

        catatan

        Jika Anda menggunakan layanan khusus CIDR, maka Anda perlu menentukannya menggunakan -ServiceCIDR parameter. Jika tidak, resolusi DNS untuk Pod di klaster akan gagal.

        -APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authority

        Untuk argumen tambahan, lihatParameter konfigurasi skrip bootstrap.

  • Cluster Anda aws-auth ConfigMap harus dibuat dari dalam VPC Anda. Untuk informasi selengkapnya tentang membuat dan menambahkan entri ke aws-authConfigMap, masukkan eksctl create iamidentitymapping --help di terminal Anda. Jika ConfigMap tidak ada di server Anda, eksctl akan membuatnya ketika Anda menggunakan perintah untuk menambahkan pemetaan identitas.

  • Pod yang dikonfigurasi dengan peran IAM untuk akun layanan memperoleh kredensyal dari panggilan API AWS Security Token Service (AWS STS). Jika tidak ada akses internet keluar, Anda harus membuat dan menggunakan titik akhir VPC AWS STS di VPC Anda. Sebagian besar AWS v1 SDKs menggunakan endpoint AWS STS global secara default (sts.amazonaws.com), yang tidak menggunakan titik akhir AWS STS VPC. Untuk menggunakan titik akhir VPC AWS STS, Anda mungkin perlu mengonfigurasi SDK Anda untuk menggunakan endpoint AWS STS regional (). sts.region-code.amazonaws.com Untuk informasi selengkapnya, lihat Konfigurasikan titik akhir Layanan Token AWS Keamanan untuk akun layanan.

  • Subnet VPC klaster Anda harus memiliki titik akhir antarmuka VPC untuk AWS layanan apa pun yang perlu diakses oleh Pod Anda. Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka. Beberapa layanan dan titik akhir yang umum digunakan tercantum dalam tabel berikut. Untuk daftar lengkap titik akhir, lihat AWS layanan yang terintegrasi dengan AWS PrivateLink dalam AWS PrivateLink Panduan.

    Kami menyarankan Anda mengaktifkan nama DNS pribadi untuk titik akhir VPC Anda, sehingga beban kerja dapat terus menggunakan titik akhir layanan AWS publik tanpa masalah.

    Layanan Titik Akhir

    Amazon EC2

    com.amazonaws. region-code.ec2

    Amazon Elastic Container Registry (untuk menarik gambar kontainer)

    com.amazonaws. region-code.ecr.api, com.amazonaws. region-code.ecr.dkr, dan com.amazonaws. region-code.s3

    Aplikasi Load Balancer dan Network Load Balancer

    com.amazonaws. region-code.elasticloadbalancing

    AWS X-Ray

    com.amazonaws. region-code.xray

    CloudWatch Log Amazon

    com.amazonaws. region-code.log

    AWS Security Token Service (diperlukan saat menggunakan peran IAM untuk akun layanan)

    com.amazonaws. region-code.sts

    Amazon EKS Auth (diperlukan saat menggunakan asosiasi Pod Identity)

    com.amazonaws. region-code.eks-auth

    Amazon EKS

    com.amazonaws. region-code.eks

  • Setiap node yang dikelola sendiri harus disebarkan ke subnet yang memiliki titik akhir antarmuka VPC yang Anda butuhkan. Jika Anda membuat grup node terkelola, grup keamanan titik akhir antarmuka VPC harus mengizinkan CIDR untuk subnet, atau Anda harus menambahkan grup keamanan node yang dibuat ke grup keamanan titik akhir antarmuka VPC.

  • Jika Pod Anda menggunakan volume Amazon EFS, maka sebelum menerapkan sistem file elastis Store dengan Amazon EFS, file kustomization.yaml driver harus diubah untuk mengatur image container agar menggunakan Region AWS yang sama dengan cluster Amazon EKS.

  • Route53 tidak mendukung. AWS PrivateLink Anda tidak dapat mengelola catatan DNS Route53 dari kluster Amazon EKS pribadi. Ini berdampak pada Kubernetes external-dns.

  • Jika Anda menggunakan AMI EKS Optimized, Anda harus mengaktifkan ec2 endpoint pada tabel di atas. Atau, Anda dapat secara manual mengatur nama DNS Node. AMI yang dioptimalkan digunakan EC2 APIs untuk mengatur nama DNS node secara otomatis.

  • Anda dapat menggunakan AWS Load Balancer Controller untuk menyebarkan AWS Application Load Balancers (ALB) dan Network Load Balancer ke cluster pribadi Anda. Saat menerapkannya, Anda harus menggunakan flag baris perintah untuk mengaturenable-shield,enable-waf, dan enable-wafv2 ke false. Penemuan sertifikat dengan nama host dari objek Ingress tidak didukung. Ini karena pengontrol perlu mencapai AWS Certificate Manager, yang tidak memiliki titik akhir antarmuka VPC.

    Pengendali yang didukung pada penyeimbang beban jaringan dengan target IP, yang diperlukan untuk penggunaan pada Fargate. Untuk informasi selengkapnya, silakan lihat Rute aplikasi dan lalu lintas HTTP dengan Application Load Balancers dan Buat penyeimbang beban jaringan.

  • Cluster Autoscaler didukung. Saat menerapkan Cluster Autoscaler Pod, pastikan bahwa baris perintah termasuk. --aws-use-static-instance-list=true Untuk informasi selengkapnya, lihat Menggunakan Daftar Instans Statis pada GitHub. VPC node pekerja juga harus menyertakan titik akhir VPC STS dan titik akhir AWS VPC penskalaan otomatis.

  • Beberapa produk perangkat lunak kontainer menggunakan panggilan API yang mengakses AWS Marketplace Metering Service untuk memantau penggunaan. Cluster pribadi tidak mengizinkan panggilan ini, jadi Anda tidak dapat menggunakan jenis penampung ini di kluster pribadi.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.