Amazon EKS クラスターの代替 CNI プラグイン - Amazon EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Amazon EKS クラスターの代替 CNI プラグイン

Amazon VPC CNI plugin for Kubernetes は、Amazon EKS でサポートされている唯一の CNI プラグインです。Amazon EKS では、アップストリーム Kubernetes が実行されており、クラスター内の Amazon EC2 ノードに互換性のある CNI プラグインをインストールできます。クラスターに Fargate ノードがある場合、Amazon VPC CNI plugin for Kubernetes は既に Fargate ノードに存在します。これは Fargate ノードで使用できる唯一の CNI プラグインです。Fargate ノードに代替 CNI プラグインをインストールしようとすると失敗します。

Amazon EC2 ノードで代替 CNI プラグインを使用する予定であれば、当該プラグインの商用サポートを受けるか、社内のエキスパートによるトラブルシューティングを行い、解決策を CNI プラグインプロジェクトに提供することをお勧めします。

Amazon EKS は、互換性のある代替 CNI プラグインのサポートを提供するパートナーネットワークと連携しています。バージョンと認定、および実行されたテストの詳細については、次のパートナーのドキュメントを参照してください。

Amazon EKS では、すべてのユースケースをカバーする幅広いオプションの提供を目指しています。

互換性のある代替ネットワークポリシープラグイン

Calico は、コンテナネットワークとセキュリティのために広く採用されているソリューションです。Calico on EKS を使用すると、EKS クラスターに完全準拠のネットワークポリシーが適用されます。さらに、基盤となる VPC の IP アドレスを節約する Calico のネットワークを使用することもできます。Calico Cloud は Calico Open Source の機能を強化するとともに、高度なセキュリティとオブザーバビリティ機能を提供します。

セキュリティグループが関連付けられている Pods との間のトラフィックフローは、Calico ネットワークポリシーの適用の対象ではなく、Amazon VPC セキュリティ グループの適用のみに限定されます。

Calico ネットワークポリシーの適用を使用する場合は、Kubernetes の既知の問題を回避するために、環境変数 ANNOTATE_POD_IPtrue に設定することをお勧めします。この機能を使用するには、ポッドの patch のアクセス許可を aws-node ClusterRole に追加する必要があります。aws-node DaemonSet にパッチのアクセス許可を追加すると、プラグインのセキュリティ範囲が広がることに注意してください。詳細については、GitHub の VPC CNI リポジトリの ANNOTATE_POD_IP を参照してください。