Plug-ins CNI alternados para clusters do Amazon EKS - Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Plug-ins CNI alternados para clusters do Amazon EKS

O Amazon VPC CNI plugin for Kubernetes é o único plug-in de CNI compatível com o Amazon EKS. O Amazon EKS é executado upstream no Kubernetes, para que você possa instalar plug-ins alternativos de CNI em nós do Amazon EC2 em seu cluster. Se você tiver nós do Fargate em seu cluster, o Amazon VPC CNI plugin for Kubernetes já estará em seus nós do Fargate. Trata-se do único plug-in de CNI que você pode usar com os nós do Fargate. Uma tentativa de instalar um plug-in alternativo de CNI em nós do Fargate falhará.

Se você quiser usar um plugin alternativo de CNI em nós do Amazon EC2, recomendamos que obtenha suporte comercial para o plug-in ou tenha a experiência interna para solucionar problemas e contribuir com correções para o projeto do plug-in de CNI.

O Amazon EKS mantém um relacionamento com uma rede de parceiros que oferecem suporte para plugins CNI compatíveis alternativos. Para obter mais detalhes sobre as versões, as qualificações e os testes realizados, consulte a documentação dos parceiros a seguir.

O Amazon EKS tem como objetivo oferecer uma ampla variedade de opções para cobrir todos os casos de uso.

Plugins de política de rede compatíveis alternativos

O Calico é uma solução amplamente adotada para rede e segurança de contêineres. Usar o Calico no EKS fornece uma aplicação de política de rede totalmente compatível para seus clusters do EKS. Além disso, você pode optar por usar a rede do Calico, que conserva os endereços IP da sua VPC subjacente. O Calico Cloud aprimora os recursos do Calico Open Source, fornecendo recursos avançados de segurança e observabilidade.

O fluxo de tráfego entrando e saindo dos Pods e os grupos de segurança associados não está sujeito à política de rede do Calico e está limitado apenas à imposição do grupo de segurança da Amazon VPC.

Se você usar a aplicação da política de rede Calico, recomendamos definir a variável de ambiente ANNOTATE_POD_IP como true para evitar um problema conhecido do Kubernetes. Para usar esse recurso, você deve adicionar a permissão patch para pods ao ClusterRole do aws-node. Observe que adicionar permissões de aplicação de patches ao DaemonSet do aws-node aumenta o escopo de segurança do plug-in. Para obter mais informações, consulte ANNOTATE_POD_IP no repositório do plug-in CNI da VPC no GitHub.