Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita l'accesso a Internet in uscita per i Pod

Si applica a: nodi Linux IPv4 Fargate, nodi Linux con istanze Amazon EC2

Se hai distribuito il cluster utilizzando la IPv6 famiglia, le informazioni contenute in questo argomento non sono applicabili al cluster, poiché IPv6 gli indirizzi non vengono tradotti in rete. Per ulteriori informazioni sull'uso di IPv6 con il cluster, consulta Scopri IPv6 gli indirizzi di cluster, pod e servizi.

Per impostazione predefinita, a ogni Pod del cluster viene assegnato un IPv4 indirizzo privato da un blocco CIDR (classless inter-domain routing) associato al VPC in cui è distribuito il Pod. I pod nello stesso VPC comunicano tra loro utilizzando questi indirizzi IP privati come endpoint. Quando un Pod comunica con qualsiasi IPv4 indirizzo che non si trova all'interno di un blocco CIDR associato al tuo VPC, il plug-in Amazon VPC CNI (per Linux o Windows) traduce l'IPv4indirizzo del Pod nell'indirizzo privato primario dell'interfaccia elastica di rete IPv4 primaria del nodo su cui è in esecuzione il Pod, per impostazione predefinita *.

Nota

Per i nodi Windows, ci sono altri dettagli da considerare. Per impostazione predefinita, il plug-in VPC CNI per Windows è definito con una configurazione di rete in cui il traffico verso una destinazione all'interno dello stesso VPC è escluso per SNAT. Ciò significa che la comunicazione VPC interna ha SNAT disabilitato e l'indirizzo IP assegnato a un Pod è instradabile all'interno del VPC. Tuttavia, il traffico verso una destinazione esterna al VPC ha il Pod IP di origine collegato all'indirizzo IP primario dell'istanza ENI. Questa configurazione predefinita per Windows garantisce che il pod possa accedere alle reti esterne al VPC allo stesso modo dell'istanza host.

A causa di questo comportamento:

I tuoi Pod possono comunicare con le risorse Internet solo se al nodo su cui sono in esecuzione è assegnato un indirizzo IP pubblico o elastico e si trova in una sottorete pubblica. La tabella di routing associata a una sottorete pubblica ha un percorso verso un gateway Internet. Per questo motivo, ti consigliamo di implementare i nodi nelle sottoreti private, quando possibile.
Per le versioni precedenti del plug-in1.8.0, le risorse che si trovano in rete o VPCs che sono connesse al VPC del cluster tramite peering VPC, un VPC di transito o AWS Direct Connect non possono avviare la comunicazione con i Pod tramite interfacce di rete elastiche secondarie. Tuttavia, i tuoi Pod possono avviare la comunicazione con tali risorse e ricevere risposte da esse.

Se una delle seguenti affermazioni è vera nel tuo ambiente, modifica la configurazione predefinita con il comando che segue.

Hai risorse in rete o VPCs collegate al tuo VPC del cluster tramite peering VPC, un VPC di transito o AWS Direct Connect che devono avviare la comunicazione con i tuoi Pod utilizzando un IPv4 indirizzo e la versione del plug-in è precedente a. 1.8.0
I tuoi Pod si trovano in una sottorete privata e devono comunicare in uscita a Internet. La sottorete dispone di una route a un gateway NAT.


kubectl set env daemonset -n kube-system aws-node AWS_VPC_K8S_CNI_EXTERNALSNAT=true

Nota

Le variabili di configurazione AWS_VPC_K8S_CNI_EXTERNALSNAT e AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS CNI non sono applicabili ai nodi Windows. La disabilitazione di SNAT non è supportata per Windows. Per quanto riguarda l'esclusione di un elenco IPv4 CIDRs da SNAT, è possibile definirla specificando il ExcludedSnatCIDRs parametro nello script di bootstrap di Windows. Per ulteriori informazioni su questo parametro, consulta la sezione Parametri di configurazione dello script di bootstrap.

Rete host

* Se le specifiche di un Pod contengono hostNetwork=true (l'impostazione predefinita èfalse), il suo indirizzo IP non viene tradotto in un altro indirizzo. Questo è il caso del plug-in Amazon VPC CNI per Kubernetes Pods che vengono eseguiti sul tuo cluster, per impostazione predefinita. kube-proxy Per questi Pod, l'indirizzo IP è lo stesso dell'indirizzo IP primario del nodo, quindi l'indirizzo IP del Pod non viene tradotto. Per ulteriori informazioni sull'hostNetworkimpostazione di un Pod, consulta PodSpec v1 core nel riferimento all'API Kubernetes.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Implementazione

Politiche Kubernetes