Menyebarkan kluster pribadi dengan akses internet terbatas - Amazon EKS

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyebarkan kluster pribadi dengan akses internet terbatas

Topik ini menjelaskan cara menerapkan EKS klaster Amazon yang digunakan di AWS Cloud, tetapi tidak memiliki akses internet keluar. Jika Anda memiliki kluster lokal AWS Outposts, lihatBuat node Amazon Linux di AWS Outposts, alih-alih topik ini.

Jika Anda tidak terbiasa dengan EKS jaringan Amazon, lihat De-mystifying jaringan cluster untuk node pekerja Amazon EKS. Jika klaster Anda tidak memiliki akses internet keluar, maka klaster harus memenuhi persyaratan berikut:

  • Cluster Anda harus menarik gambar dari registri kontainer yang ada di dalam AndaVPC. Anda dapat membuat Amazon Elastic Container Registry di dalam VPC dan menyalin gambar kontainer ke sana untuk diambil node Anda. Untuk informasi selengkapnya, lihat Salin gambar kontainer dari satu repositori ke repositori lain.

  • Cluster Anda harus mengaktifkan akses pribadi endpoint. Hal ini diperlukan untuk node untuk mendaftar dengan endpoint cluster. titik akhir akses publik adalah opsional. Untuk informasi selengkapnya, lihat Kontrol akses jaringan ke titik akhir API server cluster.

  • swakelola Linux and Windows node harus menyertakan argumen bootstrap berikut sebelum diluncurkan. Argumen ini melewati EKS introspeksi Amazon dan tidak memerlukan akses ke Amazon EKS API dari dalam. VPC

    1. Tentukan nilai endpoint cluster Anda dengan perintah berikut. Ganti my-cluster dengan nama cluster Anda.

      aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text

      Contoh output adalah sebagai berikut.

      https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com

    2. Tentukan nilai otoritas sertifikat klaster Anda dengan perintah berikut. Ganti my-cluster dengan nama cluster Anda.

      aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text

      Output yang dikembalikan adalah string panjang.

    3. Ganti cluster-endpoint dan certificate-authority dalam perintah berikut dengan nilai yang dikembalikan dalam output dari perintah sebelumnya. Untuk informasi selengkapnya tentang menentukan argumen bootstrap saat meluncurkan node yang dikelola sendiri, lihat Buat node Amazon Linux yang dikelola sendiri dan. Buat yang dikelola sendiri Microsoft Windows simpul

    • Untuk Linux simpul:

      --apiserver-endpoint cluster-endpoint --b64-cluster-ca certificate-authority

      Untuk argumen tambahan, lihat skrip bootstrap di GitHub.

    • Untuk Windows simpul:

      catatan

      Jika Anda menggunakan layanan kustomCIDR, maka Anda perlu menentukannya menggunakan -ServiceCIDR parameter. Jika tidak, DNS resolusi untuk Pods di cluster akan gagal.

      -APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authority

      Untuk argumen tambahan, lihatParameter konfigurasi skrip bootstrap.

  • Cluster Anda aws-auth ConfigMap harus dibuat dari dalam AndaVPC. Untuk informasi selengkapnya tentang membuat dan menambahkan entri ke aws-authConfigMap, masukkan eksctl create iamidentitymapping --help di terminal Anda. Jika ConfigMap tidak ada di server Anda, eksctl akan membuatnya ketika Anda menggunakan perintah untuk menambahkan pemetaan identitas.

  • Pods dikonfigurasi dengan IAMperan untuk akun layanan memperoleh kredensil dari panggilan AWS Security Token Service (AWS STS)API. Jika tidak ada akses internet keluar, Anda harus membuat dan menggunakan AWS STS VPC titik akhir di situs Anda. VPC Sebagian besar AWS v1 SDKs menggunakan AWS STS titik akhir global secara default (sts.amazonaws.com), yang tidak menggunakan titik AWS STS VPC akhir. Untuk menggunakan AWS STS VPC endpoint, Anda mungkin perlu mengonfigurasi SDK untuk menggunakan AWS STS endpoint regional ()sts.region-code.amazonaws.com. Untuk informasi selengkapnya, lihat Konfigurasikan AWS Security Token Service titik akhir untuk akun layanan.

  • VPCSubnet cluster Anda harus memiliki titik akhir VPC antarmuka untuk semua Layanan AWS yang Anda Pods membutuhkan akses ke. Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan VPC titik akhir antarmuka. Beberapa layanan dan titik akhir yang umum digunakan tercantum dalam tabel berikut. Untuk daftar lengkap titik akhir, lihat AWS layanan yang terintegrasi dengan AWS PrivateLink dalam AWS PrivateLink Panduan.

    Layanan Titik Akhir
    Amazon EC2 com.amazonaws.region-code.ec2
    Amazon Elastic Container Registry (untuk menarik gambar kontainer) com.amazonaws.region-code.ecr.api, com.amazonaws.region-code.ecr.dkr, dan com.amazonaws.region-code.s3
    Aplikasi Load Balancer dan Network Load Balancer com.amazonaws.region-code.elasticloadbalancing
    AWS X-Ray com.amazonaws.region-code.xray
    CloudWatch Log Amazon com.amazonaws.region-code.log
    AWS Security Token Service (diperlukan saat menggunakan IAM peran untuk akun layanan) com.amazonaws.region-code.sts
Pertimbangan

  • Setiap node yang dikelola sendiri harus disebarkan ke subnet yang memiliki titik akhir VPC antarmuka yang Anda butuhkan. Jika Anda membuat grup node terkelola, grup keamanan titik akhir VPC antarmuka harus mengizinkan subnet, atau Anda harus menambahkan grup keamanan node yang dibuat ke grup keamanan titik akhir VPC antarmuka. CIDR

  • Jika Pods gunakan EFS volume Amazon, lalu sebelum menerapkanSimpan sistem file elastis dengan Amazon EFS, file kustomization.yaml driver harus diubah untuk menyetel gambar penampung agar digunakan sama dengan cluster Amazon. Wilayah AWS EKS

  • Anda dapat menggunakan AWS Load Balancer Controlleruntuk menyebarkan AWS Application Load Balancers (ALB) dan Network Load Balancers ke cluster pribadi Anda. Saat menerapkannya, Anda harus menggunakan flag baris perintah untuk mengaturenable-shield,enable-waf, dan enable-wafv2 ke false. Penemuan sertifikat dengan nama host dari objek Ingress tidak didukung. Ini karena pengontrol perlu menjangkau AWS Certificate Manager, yang tidak memiliki titik akhir VPC antarmuka.

    Pengendali yang didukung pada penyeimbang beban jaringan dengan target IP, yang diperlukan untuk penggunaan pada Fargate. Untuk informasi selengkapnya, silakan lihat Aplikasi rute dan HTTP Lalu lintas dengan Application Load Balancers dan Buat penyeimbang beban jaringan.

  • Cluster Autoscaler didukung. Saat menerapkan Cluster Autoscaler Pods, pastikan bahwa baris perintah termasuk--aws-use-static-instance-list=true. Untuk informasi selengkapnya, lihat Menggunakan Daftar Instans Statis di GitHub. Node pekerja juga VPC harus menyertakan titik akhir dan AWS STS VPC titik akhir penskalaan otomatisVPC.

  • Beberapa produk perangkat lunak kontainer menggunakan API panggilan yang mengakses AWS Marketplace Metering Service untuk memantau penggunaan. Cluster pribadi tidak mengizinkan panggilan ini, jadi Anda tidak dapat menggunakan jenis penampung ini di kluster pribadi.