适用于 Amazon EKS 集群的备用 CNI 插件 - Amazon EKS
可选的兼容网络策略插件

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

适用于 Amazon EKS 集群的备用 CNI 插件

Amazon VPC CNI plugin for Kubernetes 是 Amazon EKS 唯一支持的 CNI 插件。Amazon EKS 运行上游 Kubernetes,因此您可以将备选的兼容 CNI 插件安装到集群中的 Amazon EC2 节点。如果集群中包含 Fargate 节点,则 Amazon VPC CNI plugin for Kubernetes 已在 Fargate 节点上。这是唯一可与 Fargate 节点结合使用的 CNI 插件。尝试在 Fargate 节点上安装备用 CNI 插件失败。

如果您计划在 Amazon EC2 节点上使用备用 CNI 插件,我们建议您获得插件的商业支持,或者利用内部专业知识对 CNI 插件项目进行故障排除并提供修复。

Amazon EKS 与为备选的兼容 CNI 插件提供支持的合作伙伴网络保持着合作关系。有关版本、资格和所执行测试的详细信息,请参阅以下合作伙伴的文档。

合作伙伴 产品 文档

Tigera

Calico

安装说明
Isovalent

Cilium

安装说明
Juniper

云原生 Contrail 联网(CN2)

安装说明

VMware

Antrea

安装说明

Amazon EKS 旨在为您提供广泛的选项来涵盖所有使用案例。

可选的兼容网络策略插件

Calico 是一种广泛采用的容器网络和安全解决方案。在 EKS 上使用 Calico 可为 EKS 集群提供完全合规的网络策略实施。此外,也可选择使用 Calico 的网络,便于保护底层 VPC 的 IP 地址。Calico Cloud 增强了 Calico Open Source 的功能,因此可提供更高的安全性与可观测性。

流向和来自具有关联安全组的 Pods 的流量不受 Calico 网络策略执行限制,并且仅受限于 Amazon VPC 安全组执行。

如果您使用 Calico 网络策略实施,则建议您将环境变量 ANNOTATE_POD_IP 设置为 true,以避免出现 Kubernetes 的已知问题。要使用此功能,必须将容器组(pod)的 patch 权限添加到 aws-node ClusterRole。请注意,向 aws-node DaemonSet 添加补丁权限会提高插件的安全范围。有关更多信息,请参阅 GitHub 上的 VPC CNI 存储库中的 ANNOTATE_POD_IP