Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizza i requisiti EKS di rete Amazon per VPC e le sottoreti
Quando si crea un cluster, si specificano una VPCe almeno due sottoreti che si trovano in zone di disponibilità diverse. Questo argomento fornisce una panoramica dei requisiti e delle considerazioni EKS specifici di Amazon per le sottoreti VPC e che utilizzi con il tuo cluster. Se non ne hai uno VPC da usare con AmazonEKS, puoi crearne uno utilizzando un AWS CloudFormation modello EKS fornito da Amazon. Se stai creando un cluster locale o esteso su AWS Outposts, consulta Crea sottoreti VPC e sottoreti per i cluster Amazon su EKS AWS Outposts invece di questo argomento.
VPCrequisiti e considerazioni
Quando si crea un cluster, VPC ciò che si specifica deve soddisfare i seguenti requisiti e considerazioni:
-
VPCDevono disporre di un numero sufficiente di indirizzi IP disponibili per il cluster, tutti i nodi e altro Kubernetes risorse che si desidera creare. Se VPC quello che vuoi usare non ha un numero sufficiente di indirizzi IP, prova ad aumentare il numero di indirizzi IP disponibili.
È possibile farlo aggiornando la configurazione del cluster per modificare le sottoreti e i gruppi di sicurezza utilizzati dal cluster. Puoi eseguire l' AWS Management Console aggiornamento dalla versione più recente di e dalla AWS CLI
eksctl
versionev0.164.0-rc.0
o successiva. AWS CloudFormation Potrebbe essere necessario eseguire questa operazione per fornire alle sottoreti più indirizzi IP disponibili per aggiornare in modo corretto una versione del cluster.Importante
Tutte le sottoreti aggiunte devono appartenere allo stesso set fornito originariamente al momento della AZs creazione del cluster. Le nuove sottoreti devono soddisfare tutti gli altri requisiti, ad esempio devono disporre di sufficienti indirizzi IP.
Supponiamo ad esempio che hai creato un cluster e specificato quattro sottoreti. Nell'ordine in cui le hai specificate, la prima sottorete si trova nella zona di disponibilità
us-west-2a
, la seconda e la terza si trovano nella zona di disponibilitàus-west-2b
e la quarta si trova nella zona di disponibilitàus-west-2c
. Se si desidera modificare le sottoreti, è necessario fornire almeno una sottorete in ciascuna delle tre zone di disponibilità e le sottoreti devono trovarsi nelle stesse sottoreti originali. VPCSe hai bisogno di più indirizzi IP rispetto ai blocchi esistenti, puoi aggiungere altri CIDR blocchi associando ulteriori CIDR blocchi Classless Inter-Domain Routing () al tuo. VPC CIDR VPC Puoi associare private (RFC 1918) e pubblico (non-RFC 1918) CIDR blocchi prima VPC o dopo la creazione del cluster. Un cluster può impiegare fino a cinque ore prima che un CIDR blocco associato VPC a venga riconosciuto.
È possibile preservare l'utilizzo degli indirizzi IP utilizzando un gateway di transito con servizi condivisi. VPC Per ulteriori informazioni, consulta Isolato VPCs con servizi condivisi e modelli di conservazione degli indirizzi IP EKS VPC routabili di Amazon in una rete ibrida
. -
Se vuoi Kubernetes a cui assegnare
IPv6
indirizzi Pods e servizi, associa unIPv6
CIDR blocco al tuoVPC. Per ulteriori informazioni, consulta Associare unIPv6
CIDR blocco al tuo VPC nella Amazon VPC User Guide. -
È VPC necessario disporre del supporto per
DNS
nome host eDNS
risoluzione. In caso contrario, i nodi non possono registrarsi al cluster. Per ulteriori informazioni, consulta DNSgli attributi per te VPC nella Amazon VPC User Guide. -
Gli VPC endpoint VPC potrebbero richiedere l'utilizzo AWS PrivateLink di. Per ulteriori informazioni, consulta Considerazioni e requisiti relativi alle sottoreti.
Se hai creato un cluster con Kubernetes 1.14
o in precedenza, Amazon EKS ha aggiunto il seguente tag al tuoVPC:
Chiave | Valore |
---|---|
kubernetes.io/cluster/ |
owned |
Questo tag è stato utilizzato solo da AmazonEKS. per cui è possibile rimuoverlo senza influire sui servizi. Non è necessario con la versione 1.15
del cluster o con versioni successive.
Considerazioni e requisiti relativi alle sottoreti
Quando crei un cluster, Amazon EKS crea 2-4 interfacce di rete elastiche nelle sottoreti specificate. Queste interfacce di rete consentono la comunicazione tra il tuo cluster e il tuo. VPC Queste interfacce di rete consentono inoltre Kubernetes funzionalità come kubectl exec
e. kubectl logs
Ogni interfaccia di rete EKS creata da Amazon ha il testo Amazon EKS
nella descrizione.cluster-name
Amazon EKS può creare le sue interfacce di rete in qualsiasi sottorete specificata al momento della creazione di un cluster. Puoi modificare le sottoreti in cui Amazon EKS crea le sue interfacce di rete dopo la creazione del cluster. Quando aggiorni il Kubernetes versione di un cluster, Amazon EKS elimina le interfacce di rete originali che ha creato e crea nuove interfacce di rete. Queste interfacce di rete potrebbero essere create all'interno delle stesse sottoreti o in sottoreti diverse rispetto alle interfacce di rete originali. Per verificare in quali sottoreti vengono create le interfacce di rete, puoi limitare il numero di sottoreti specificate a due quando crei un cluster o aggiornare le sottoreti dopo aver creato il cluster.
Requisiti relativi alla sottorete per i cluster
Le sottoreti specificate al momento della creazione o dell'aggiornamento di un cluster devono soddisfare i seguenti requisiti:
-
Le sottoreti devono avere ciascuna almeno sei indirizzi IP per essere utilizzate da Amazon. EKS Tuttavia, consigliamo di utilizzare almeno 16 indirizzi IP.
-
Le sottoreti non possono risiedere in o in una AWS Outposts zona locale AWS Wavelength. AWS Tuttavia, se li hai giàVPC, puoi distribuire nodi autogestiti e Kubernetes risorse per questi tipi di sottoreti.
-
Le sottoreti possono essere pubbliche o private. Tuttavia, si consiglia di specificare sottoreti private, se possibile. Una sottorete pubblica è una sottorete con una tabella di instradamento che include un instradamento a un gateway Internet, mentre la sottorete privata non comprende tale instradamento.
-
Le sottoreti non possono risiedere nelle seguenti zone di disponibilità:
Regione AWS Nome Regione Zona di disponibilità non consentita IDs us-east-1
Stati Uniti orientali (Virginia settentrionale) use1-az3
us-west-1
Stati Uniti occidentali (California settentrionale) usw1-az2
ca-central-1
Canada (Centrale) cac1-az3
Utilizzo della famiglia di indirizzi IP per componente
La tabella seguente contiene la famiglia di indirizzi IP utilizzata da ciascun componente di AmazonEKS. Puoi utilizzare un network address translation (NAT) o un altro sistema di compatibilità per connetterti a questi componenti da indirizzi IP di origine appartenenti a famiglie con "No" valore per una voce di tabella.
La funzionalità può variare a seconda del IP family (ipFamily
) impostazione del cluster. Questa impostazione modifica il tipo di indirizzi IP utilizzati per CIDR bloccalo Kubernetes assegna a Services. Un cluster con il valore impostato di IPv4 è indicato come IPv4grappoloe un cluster con il valore di impostazione di IPv6 è indicato come IPv6grappolo.
Componente | IPv4 solo indirizzi |
IPv6 solo indirizzi |
indirizzi dual stack |
---|---|---|---|
EKSAPIendpoint pubblico | Sì 1,3 | Sì 1,3 | Sì 1,3 |
EKSAPIVPCpunto finale | Sì | No | No |
EKSEndpoint API pubblico di autenticazione (Pod Identity) EKS | Sì1 | Sì1 | Sì1 |
EKSAPIVPCEndpoint di autenticazione (Pod Identity) EKS | Sì1 | Sì1 | Sì1 |
Kubernetes endpoint pubblico del cluster | Sì | No | No |
Kubernetes endpoint privato del cluster | Sì2 | Sì2 | No |
Kubernetes sottoreti del cluster | Sì2 | No | Sì2 |
Indirizzi IP primari del nodo | Sì2 | No | Sì2 |
Cluster CIDR intervallo per Service Indirizzi IP | Sì2 | Sì2 | No |
Pod indirizzi IP provenienti da VPC CNI | Sì2 | Sì2 | No |
IRSA OIDC Emittente URLs | Sì 1,3 | Sì 1,3 | Sì 1,3 |
Nota
1 L'endpoint è dual-stack con entrambi IPv4
gli IPv6
indirizzi. Le applicazioni esterne AWS, i nodi del cluster e i pod all'interno del cluster possono raggiungere questo endpoint tramite l'uno o l'altro. IPv4
IPv6
2 È possibile scegliere tra un IPv4
cluster e un IPv6
cluster nel IP family (ipFamily
) impostazione del cluster quando si crea un cluster e questa non può essere modificata. È invece necessario scegliere un'impostazione diversa quando si crea un altro cluster e si migrano i carichi di lavoro.
3 L'endpoint dual-stack è stato introdotto nell'agosto 2024. Per utilizzare gli endpoint dual-stack con AWS CLI, consulta la configurazione Dual-stack e gli endpoint nella Guida di riferimento agli strumenti e agli strumenti. FIPS AWS SDKs Di seguito sono elencati i nuovi endpoint:
- EKSAPIendpoint pubblico
eks.
region
.api.aws- IRSA OIDC Emittente URLs
oidc-eks.
region
.api.aws
Requisiti relativi alla sottorete per i nodi
È possibile distribuire nodi e Kubernetes risorse nelle stesse sottoreti specificate al momento della creazione del cluster. Tuttavia, l'implementazione non è necessaria. Questo perché puoi anche distribuire nodi e Kubernetes risorse per le sottoreti che non hai specificato al momento della creazione del cluster. Se distribuisci nodi su sottoreti diverse, Amazon EKS non crea interfacce di rete cluster in tali sottoreti. Qualsiasi sottorete utilizzata per distribuire nodi e Kubernetes le risorse devono soddisfare i seguenti requisiti:
-
Le sottoreti devono avere un numero sufficiente di indirizzi IP disponibili per distribuire tutti i nodi e Kubernetes risorse per.
-
Se vuoi Kubernetes a cui assegnare
IPv6
indirizzi Pods e servizi, quindi è necessario che alla sottorete siano associati unIPv6
CIDRIPv4
CIDR blocco e un blocco. Per ulteriori informazioni, consulta Associare unIPv6
CIDR blocco alla sottorete nella Amazon VPC User Guide. Le tabelle di instradamento associate alle sottoreti devono includere instradamenti a indirizziIPv4
eIPv6
. Per ulteriori informazioni, consulta Routes nella Amazon VPC User Guide. Ai pod viene assegnato solo un indirizzoIPv6
, Tuttavia, alle interfacce di rete che Amazon EKS crea per il tuo cluster e i tuoi nodi viene assegnato unIPv6
indirizzoIPv4
e un. -
Se hai bisogno di un accesso in entrata da Internet al tuo Pods, assicurati di disporre di almeno una sottorete pubblica con un numero sufficiente di indirizzi IP disponibili su cui implementare sistemi di bilanciamento del carico e ingressi. Puoi implementare sistemi di bilanciamento del carico nelle sottoreti pubbliche. I sistemi di bilanciamento del carico possono bilanciare il carico su Pods in sottoreti private o pubbliche. Consigliamo di implementare i nodi su sottoreti private, se possibile.
-
Se si prevede di implementare i nodi in una sottorete pubblica, quest'ultima deve essere configurata per assegnare automaticamente indirizzi
IPv4
pubblici o indirizziIPv6
. Se distribuisci nodi in una sottorete privata a cui è associato unIPv6
CIDR blocco, anche la sottorete privata deve assegnare automaticamente gli indirizzi.IPv6
Se hai utilizzato un EKS AWS CloudFormation modello Amazon per distribuire il tuo VPC dopo il 26 marzo 2020, questa impostazione è abilitata. Se hai utilizzato i modelli per distribuirli VPC prima di questa data o usi i tuoiVPC, devi abilitare questa impostazione manualmente. Per ulteriori informazioni, consulta Modificare l'attributo diIPv4
indirizzamento pubblico per la sottorete e Modificare l'attributo diIPv6
indirizzamento per la sottorete nella Amazon VPC User Guide. -
Se la sottorete in cui distribuisci un nodo è una sottorete privata e la tabella di routing non include un percorso verso un dispositivo di traduzione degli indirizzi di rete (NAT) o un gateway di sola
IPv4
uscita (), aggiungi gli endpoint utilizzando al tuo.IPv6
VPC AWS PrivateLink VPC VPCgli endpoint sono necessari per tutti i nodi e Servizi AWS Pods è necessario comunicare con. Alcuni esempi includono AmazonECR, Elastic Load Balancing CloudWatch AWS Security Token Service, Amazon e Amazon Simple Storage Service (Amazon S3). L'endpoint deve includere la sottorete in cui si trovano i nodi. Non tutti gli endpoint Servizi AWS supportanoVPC. Per ulteriori informazioni, vedi Cos'è AWS PrivateLink? e AWS servizi che si integrano con AWS PrivateLink. Per un elenco di altri EKS requisiti Amazon, consultaImplementa cluster privati con accesso limitato a Internet. -
Se si desidera implementare i load balancer in una sottorete, quest'ultima deve presentare il tag seguente:
-
Sottoreti private
Chiave Valore kubernetes.io/role/internal-elb
1
-
Sottoreti pubbliche
Chiave Valore kubernetes.io/role/elb
1
-
Quando un Kubernetes cluster creato nella versione 1.18
precedente, Amazon ha EKS aggiunto il seguente tag a tutte le sottoreti specificate.
Chiave | Valore |
---|---|
kubernetes.io/cluster/ |
shared |
Quando ne crei uno nuovo Kubernetes raggruppa ora, Amazon EKS non aggiunge il tag alle tue sottoreti. Se il tag era applicato a sottoreti utilizzate da un cluster che in precedenza era una versione precedente a 1.19
, il tag non veniva rimosso automaticamente dalle sottoreti quando il cluster veniva aggiornato a una versione più recente. Versione 2.1.1
o precedente di AWS Load Balancer Controllerrichiede questo tag. Se si utilizza una versione più recente di Load Balancer Controller, è possibile rimuovere il tag senza interrompere i servizi.
Se hai distribuito un modello VPC utilizzando eksctl
o uno qualsiasi dei EKS AWS CloudFormation VPC modelli Amazon, si applica quanto segue:
-
In data 26 marzo 2020 o successiva. Gli indirizzi
IPv4
pubblici vengono assegnati automaticamente dalle sottoreti pubbliche ai nuovi nodi implementati nelle sottoreti pubbliche. -
Prima del 26 marzo 2020. Gli indirizzi
IPv4
pubblici non vengono assegnati automaticamente dalle sottoreti pubbliche ai nuovi nodi implementati nelle sottoreti pubbliche.
Questa modifica influisce sui nuovi gruppi di nodi implementati nelle sottoreti pubbliche nei modi seguenti:
-
Gruppi di nodi gestiti. Se il gruppo di nodi viene implementato in una sottorete pubblica in data 22 aprile 2020 o successiva, la sottorete pubblica deve disporre dell'assegnazione automatica degli indirizzi IP pubblici abilitati. Per ulteriori informazioni, consulta Modifica dell'attributo di assegnazione degli indirizzi
IPv4
pubblici per la sottorete. -
Linux, Windows, o gruppi di nodi autogestiti da Arm: se il gruppo di nodi viene distribuito su una sottorete pubblica a partire dal 26 marzo 2020, l'assegnazione automatica degli indirizzi IP pubblici deve essere abilitata per la sottorete pubblica. Altrimenti, i nodi devono essere avviati con un indirizzo IP pubblico. Per ulteriori informazioni, consulta Modifica dell'attributo di assegnazione degli indirizzi
IPv4
pubblici per la sottorete o Assegnazione di un indirizzoIPv4
pubblico durante l'avvio dell'istanza.
Considerazioni e requisiti relativi alle sottoreti condivisi
È possibile utilizzare la VPCcondivisione per condividere le sottoreti con altri account all'interno dello stesso. AWS AWS Organizations Puoi creare EKS cluster Amazon in sottoreti condivise, con le seguenti considerazioni:
-
Il proprietario della VPC sottorete deve condividere una sottorete con un account partecipante prima che tale account possa creare un EKS cluster Amazon al suo interno.
-
Non puoi avviare risorse utilizzando il gruppo di sicurezza predefinito per VPC perché appartiene al proprietario. Inoltre, i partecipanti non possono avviare le risorse utilizzando i gruppi di sicurezza di proprietà di altri partecipanti o del proprietario.
-
In una sottorete condivisa, il partecipante e il proprietario controllano separatamente i gruppi di sicurezza all'interno di ciascun account. Il proprietario della sottorete può visualizzare i gruppi di sicurezza che sono stati creati dai partecipanti, ma non può eseguire operazioni sugli stessi. Se il proprietario della sottorete desidera rimuovere o modificare questi gruppi di sicurezza, è il partecipante che ha creato il gruppo di sicurezza che deve eseguire l'operazione.
-
Se un cluster viene creato da un partecipante, valgono le seguenti considerazioni:
IAMIl ruolo del cluster e IAM i ruoli del nodo devono essere creati in quell'account. Per ulteriori informazioni, consulta EKSIAMRuolo del cluster Amazon e Ruolo IAM del nodo Amazon EKS.
-
Tutti i nodi devono essere creati dallo stesso partecipante, inclusi i gruppi di nodi gestiti.
-
Il VPC proprietario condiviso non può visualizzare, aggiornare o eliminare un cluster creato da un partecipante nella sottorete condivisa. Ciò si aggiunge alle VPC risorse a cui ogni account ha accesso diverso. Per ulteriori informazioni, consulta Responsabilità e autorizzazioni per proprietari e partecipanti nella Amazon VPC User Guide.
-
Se utilizzi la funzionalità di rete personalizzata di Amazon VPC CNI plugin for Kubernetes, è necessario utilizzare le mappature degli ID delle zone di disponibilità elencate nell'account del proprietario per crearle ciascuna.
ENIConfig
Per ulteriori informazioni, consulta Implementazione pods in sottoreti alternative con reti personalizzate.
Per ulteriori informazioni sulla condivisione di VPC sottoreti, consulta Share your VPC with other account nella Amazon VPC User Guide.