

 **Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione del routing di uscita del piano di controllo
<a name="control-plane-egress"></a>

Per impostazione predefinita, Amazon EKS gestisce la rete in uscita dal piano di controllo Kubernetes alle risorse nel tuo VPC. Utilizza *il routing in uscita del piano di controllo* per modificare questo comportamento e gestire autonomamente il percorso di rete. In questo modo hai il pieno controllo sul modo in cui il traffico proveniente dalle interfacce di rete elastiche del piano di controllo (ENI) raggiunge le tue risorse VPC. È possibile effettuare il routing attraverso i propri gateway NAT, firewall o dispositivi di ispezione.

![Diagramma dell'architettura che mostra il kube-apiserver che invia il traffico attraverso un ENI tra account nella sottorete VPC del cliente verso una tabella di routing e un dispositivo di uscita, come un gateway NAT, e quindi verso Internet per raggiungere gli endpoint webhook e OIDC](http://docs.aws.amazon.com/it_it/eks/latest/userguide/images/control-plane-egress-overview.png)


## Modalità di routing in uscita
<a name="control-plane-egress-modes"></a>

Amazon EKS supporta le seguenti modalità di routing in uscita del piano di controllo:


| Modalità | Description | 
| --- | --- | 
|  `AWS_MANAGED`  | Comportamento predefinito. Amazon EKS gestisce il percorso di uscita dagli ENI del piano di controllo. Non è necessario configurare i gateway NAT o altre infrastrutture di routing per controllare il traffico aereo. | 
|  `CUSTOMER_ROUTED`  | Puoi gestire il percorso di uscita dal piano di controllo nelle sottoreti VPC. È tua responsabilità garantire che il piano di controllo possa raggiungere gli endpoint richiesti (come i server webhook, i provider OIDC e altre risorse). Fornisci un percorso di uscita, ad esempio un gateway NAT, un'istanza NAT, un gateway di transito o un dispositivo firewall. È inoltre possibile configurare la tabella delle rotte, l'ACL di rete e le regole del gruppo di sicurezza che consentono questo traffico. | 

**Importante**  
In `CUSTOMER_ROUTED` modalità, sei responsabile di garantire la corretta connettività di rete dal piano di controllo. Le configurazioni errate nella rete VPC possono causare il fallimento delle operazioni del piano di controllo. Queste configurazioni errate includono un percorso di uscita mancante, ACL di rete restrittive o gruppi di sicurezza errati. Le operazioni interessate includono le chiamate webhook di ammissione e l'autenticazione OIDC.

## Prerequisiti
<a name="control-plane-egress-prerequisites"></a>

Il VPC e le sottoreti devono soddisfare i requisiti di rete standard di Amazon EKS. Per ulteriori informazioni, consulta [Visualizzazione di requisiti di rete di Amazon EKS per VPC e sottoreti](network-reqs.md).

In `CUSTOMER_ROUTED` modalità, il server API Kubernetes invia il traffico rivolto ai clienti in uscita attraverso le interfacce di rete tra account. Amazon EKS crea già queste interfacce nelle tue sottoreti per la comunicazione da piano di controllo a nodo. Questo traffico include chiamate ai webhook di ammissione e ai provider OIDC. Amazon EKS non crea interfacce di rete in uscita separate. Questa modalità modifica il modo in *cui* vengono utilizzate le interfacce esistenti. Le sottoreti che contengono queste interfacce devono soddisfare i seguenti requisiti:
+ Le sottoreti devono disporre di un percorso verso gli endpoint che il piano di controllo deve raggiungere (come i server webhook e i provider OIDC). Per gli endpoint esterni al VPC, in genere si tratta di un percorso predefinito verso un dispositivo di uscita. La route predefinita è `0.0.0.0/0` per IPv4 e per IPv6. `::/0` Il dispositivo di uscita può essere un gateway NAT, un'istanza NAT, un firewall o un gateway di transito verso un VPC di uscita centralizzato. La scelta del dispositivo di uscita è tua; Amazon EKS richiede solo che il percorso funzioni.
+ I gruppi di sicurezza sulle interfacce di rete tra account devono consentire il traffico in uscita sulle porte richieste dai carichi di lavoro (ad esempio, la porta 443 per webhook e provider OIDC).
+ Gli ACL di rete sulle sottoreti devono consentire il traffico in uscita e il corrispondente intervallo di porte effimere in entrata per il traffico di ritorno.

In `CUSTOMER_ROUTED` modalità, il piano di controllo risolve i nomi host utilizzando la configurazione DNS del VPC. Ciò consente al piano di controllo di raggiungere gli endpoint nelle zone ospitate private di Route 53 e il DNS locale inoltrato tramite gli endpoint Route 53 Resolver.
+ Il set di opzioni DHCP VPC deve essere incluso `AmazonProvidedDNS` nell'elenco dei server dei nomi di dominio. Ciò è necessario affinché il piano di controllo risolva i nomi DNS all'interno del VPC. Se il cluster utilizza endpoint webhook esterni o provider OIDC con nomi DNS pubblici, il resolver deve risolvere anche i nomi di host pubblici. Assicurati che il resolver sia in grado di gestire sia la risoluzione VPC che quella del DNS pubblico.

La tabella seguente riassume il traffico che il piano di controllo invia tramite il VPC `CUSTOMER_ROUTED` in modalità:


| Traffico | Destinazione | Porta | Note | 
| --- | --- | --- | --- | 
| Webhook di ammissione | Endpoint Webhook (URL definiti dal cliente) | 443 (in genere) | Solo se i webhook sono configurati. Lascia il VPC attraverso il dispositivo di uscita se l'endpoint è esterno. | 
| Scoperta OIDC | URL dell'emittente OIDC | 443 | Solo se è configurato un provider OIDC. Lascia il VPC attraverso il dispositivo di uscita se l'emittente è esterno. | 
| Server API aggregati | Endpoint del server API del cliente | 443 | Solo se configurato. Lascia il VPC attraverso il dispositivo di uscita se l'endpoint è esterno. | 
| API Kubelet | Indirizzi IP del nodo di lavoro | 10250 | Si tratta del traffico tra il piano di controllo e i nodi attraverso il cluster ENI; non attraversa il dispositivo di uscita. Richiede che le tabelle di routing, i gruppi di sicurezza e gli ACL di rete consentano il traffico attraverso il cluster ENI tra il piano di controllo e i nodi. | 

**Nota**  
Solo il traffico elencato in questa tabella è influenzato dalla configurazione in uscita. EKS-managed il traffico del piano di controllo (ad esempio la comunicazione con etcd, CloudWatch Logs e i servizi EKS interni) continua attraverso il percorso di rete AWS gestito e non è influenzato dalla configurazione del VPC.

## Crea un cluster con uscita indirizzata al cliente
<a name="control-plane-egress-create"></a>

È possibile specificare la modalità di uscita del piano di controllo quando si crea un nuovo cluster.

**Example**  
Eseguire il seguente comando seguente. Sostituisci i {{placeholder values}} con i valori in tuo possesso.  

```
aws eks create-cluster \
    --name my-cluster \
    --role-arn arn:aws:iam::111122223333:role/myAmazonEKSClusterRole \
    --resources-vpc-config "subnetIds=subnet-ExampleID1,subnet-ExampleID2,securityGroupIds=sg-ExampleID1,controlPlaneEgressMode=CUSTOMER_ROUTED" \
    --kubernetes-network-config "ipFamily=ipv4" \
    --region region-code
```

È possibile utilizzarlo `ipFamily=ipv6` per i cluster IPv6. Quando utilizzi IPv6 con `CUSTOMER_ROUTED` modalità, assicurati che le sottoreti dispongano di un gateway Internet di sola uscita per il traffico IPv6 oltre a un gateway NAT per il traffico IPv4.

**Example**    
 Console di gestione AWS   

1. Aprire la [Console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Scegli **Add cluster** (Aggiungi cluster), quindi scegli **Create** (Crea).

1. ******Nella pagina Networking, per Control plane egress, seleziona Customer routed.******

1. **Completa la configurazione restante del cluster e scegli Crea.**

Per AWS CloudFormation, imposta `ControlPlaneEgressMode: CUSTOMER_ROUTED``ResourcesVpcConfig`. Il supporto Terraform per questo campo sarà disponibile in una versione futura del [AWS Provider](https://registry.terraform.io/providers/hashicorp/aws/latest/docs).

**Nota**  
Il passaggio a `CUSTOMER_ROUTED` è un'operazione unidirezionale. Dopo aver abilitato l'uscita indirizzata dal cliente su un cluster, non è possibile tornare a. `AWS_MANAGED`

## Aggiornare un cluster esistente
<a name="control-plane-egress-update"></a>

È possibile modificare la modalità di uscita del piano di controllo su un cluster esistente utilizzando il comando. `update-cluster-config`

```
aws eks update-cluster-config \
    --name my-cluster \
    --resources-vpc-config "controlPlaneEgressMode=CUSTOMER_ROUTED" \
    --region region-code
```

Monitora lo stato dell'aggiornamento:

```
aws eks describe-update \
    --name my-cluster \
    --update-id update-id \
    --region region-code
```

L'aggiornamento è completo quando viene visualizzato lo stato`Successful`. Il tipo di aggiornamento è`ControlPlaneEgressUpdate`. L'aggiornamento viene in genere completato entro 10 minuti.

**Importante**  
Il passaggio a `CUSTOMER_ROUTED` è un'operazione unidirezionale. Dopo aver abilitato l'uscita indirizzata dal cliente su un cluster, non è possibile tornare a. `AWS_MANAGED`  
Prima di passare, verifica che il tuo VPC soddisfi i requisiti di. [Prerequisiti](#control-plane-egress-prerequisites) Se il piano di controllo perde la connettività agli endpoint richiesti dopo l'aggiornamento, operazioni come l'ammissione, le chiamate webhook e l'autenticazione OIDC possono fallire.

## Considerazioni sull'IPv6
<a name="control-plane-egress-ipv6"></a>

Se gestisci un cluster IPv6 con uscita indirizzata dal cliente, devi configurare i percorsi di uscita IPv4 e IPv6.

Quando si esegue un cluster IPv6 () `ipFamily=ipv6` con uscita: `CUSTOMER_ROUTED`
+ Agli ENI del piano di controllo vengono assegnati indirizzi IPv4 e IPv6.
+ È necessario configurare i percorsi di uscita IPv4 e IPv6:
  +  **IPv4**: una route predefinita (`0.0.0.0/0`) verso il dispositivo di uscita (ad esempio, un gateway NAT).
  +  **IPv6**: un `::/0` percorso verso un dispositivo di uscita IPv6 (ad esempio, un gateway Internet solo in uscita).
+ I gruppi di sicurezza e i NACL devono consentire il traffico su entrambe le versioni IP.
+ Se il tuo provider OIDC o gli endpoint webhook lo sono IPv4-only, assicurati che il NAT IPv4 sia funzionante.

## Considerazioni
<a name="control-plane-egress-considerations"></a>

Tieni presente i seguenti punti quando utilizzi il piano di controllo in uscita indirizzato dal cliente:
+  **La tua responsabilità**: in `CUSTOMER_ROUTED` modalità, sei il proprietario del percorso di rete dal piano di controllo agli endpoint esterni. Se tale percorso si interrompe, le operazioni del piano di controllo che dipendono da esso (come le chiamate di ammissione tramite webhook e l'autenticazione OIDC) possono fallire finché non si ripristina la connettività.
+  **VPC-internal il traffico non è influenzato**: il traffico tra il piano di controllo e i nodi (ad esempio, l'API kubelet sulla porta 10250) attraverso il cluster ENI non dipende dal dispositivo di uscita.
+  **EKS Auto Mode**: il routing in uscita del piano di controllo funziona allo stesso modo su entrambi i cluster Standard e Auto Mode perché l'architettura del piano di controllo è identica.
+  **Funzionalità EKS**: le funzionalità EKS (come ArgoCD, ACK e KRO) vengono eseguite in un'infrastruttura gestita separata. AWS Il traffico proveniente dai controller EKS Capabilities non viene instradato attraverso il VPC tramite questa funzionalità.
+  **Osservabilità**: se abiliti i log di flusso VPC sulle sottoreti VPC o del cluster, puoi osservare il traffico in uscita che attraversa il tuo VPC. Ciò include le chiamate agli endpoint webhook e OIDC. Se i log di flusso VPC non sono abilitati, questo traffico non viene registrato.

## Chiave di condizione IAM
<a name="control-plane-egress-iam-condition"></a>

Amazon EKS supporta la chiave di `eks:controlPlaneEgressMode` condizione. Puoi utilizzare questa chiave nelle policy IAM o nelle policy di controllo dei servizi (SCP) per controllare la modalità di uscita che i chiamanti possono specificare quando creano o aggiornano i cluster.

La chiave condition si applica alle seguenti azioni:
+  `eks:CreateCluster` 
+  `eks:UpdateClusterConfig` 

Ad esempio, il seguente SCP nega la creazione di cluster e gli aggiornamenti della configurazione a meno che il chiamante non specifichi: `CUSTOMER_ROUTED`

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireCustomerRoutedControlPlane",
      "Effect": "Deny",
      "Action": [
        "eks:CreateCluster",
        "eks:UpdateClusterConfig"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "eks:controlPlaneEgressMode": "CUSTOMER_ROUTED"
        }
      }
    }
  ]
}
```

Utilizzate questa politica per far sì che tutti i cluster nuovi e aggiornati dell'organizzazione utilizzino la modalità di uscita. `CUSTOMER_ROUTED`

## Configurazione del provider OIDC
<a name="control-plane-egress-oidc"></a>

Se il cluster utilizza un provider di identità OIDC, il piano di controllo deve essere in grado di raggiungere l'endpoint di rilevamento OIDC tramite HTTPS (porta 443). Questo vale per i ruoli IAM per gli account di servizio o per un provider di identità OIDC associato per l'autenticazione del cluster. [Non è prevista alcuna OIDC-specific impostazione; utilizza lo stesso percorso di uscita configurato in Prerequisiti.](#control-plane-egress-prerequisites) Per consentirlo:

1. Verifica che le sottoreti del piano di controllo abbiano un percorso che copra l'endpoint OIDC (in genere un percorso predefinito verso il dispositivo di uscita, ad esempio un gateway NAT).

1. Verifica che il gruppo di sicurezza del cluster consenta il protocollo TCP 443 in uscita.

1. Verifica che i NAC della sottorete consentano il traffico TCP 443 in uscita e il traffico di ritorno effimero in entrata (porte 1024—65535).

L'endpoint dipende dal tuo provider:
+  **Provider OIDC Amazon EKS (predefinito)**: `oidc.eks.{{region-code}}.amazonaws.com` 
+  **Provider OIDC personalizzato**: l'URL dell'emittente che hai configurato.

Se l'autenticazione OIDC fallisce, per la procedura di risoluzione dei problemi, consulta. [Provider OIDC non raggiungibile](control-plane-egress-troubleshooting.md#egress-troubleshoot-oidc)

## Verifica la connettività
<a name="control-plane-egress-verify"></a>

Dopo aver configurato l'`CUSTOMER_ROUTED`uscita, verifica che il piano di controllo possa raggiungere le risorse del tuo VPC:

1.  **Verifica la modalità di uscita corrente**: conferma che il cluster stia utilizzando la modalità prevista.

   ```
   aws eks describe-cluster --name my-cluster \
       --query "cluster.resourcesVpcConfig.controlPlaneEgressMode" \
       --region region-code
   ```

1.  **Verifica lo stato del cluster**: il cluster dovrebbe essere in `ACTIVE` stato.

   ```
   aws eks describe-cluster --name my-cluster --query "cluster.status" --region region-code
   ```

1.  **Verifica la connettività dei webhook**: se hai configurato dei webhook di ammissione, crea una risorsa che attivi il webhook e conferma che abbia esito positivo.

1.  **Verifica la registrazione del nodo**: avvia un nodo e conferma che si unisce correttamente al cluster.

   ```
   kubectl get nodes
   ```

1.  **Verifica OIDC**: se utilizzi i ruoli IAM per gli account di servizio (IRSA), verifica che i pod possano assumere i loro ruoli IAM.

Per la risoluzione dei problemi più comuni, consulta. [Risoluzione dei problemi relativi all'uscita del piano di controllo](control-plane-egress-troubleshooting.md)

📝 [Modifica questa pagina su GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23control-plane-egress%5D&type=code) 