帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
本主题概述创建 Amazon EKS 集群和挂载混合节点之前必须配置的联网设置。本指南假设您已满足使用 AWS Site-to-Site VPN、AWS Direct Connect 或您自己的 VPN 解决方案进行混合网络连接的先决条件。
本地联网配置
最低网络要求
为确保最佳体验,AWS 建议从混合节点到 AWS 区域的可靠网络连接至少达到 100 Mbps,并且往返延迟最大 200 毫秒。带宽和延迟要求可能因混合节点的数量和工作负载特征而异,例如应用程序映像大小,应用程序弹性、监控和日志记录配置,以及需要访问其他 AWS 服务中所存储数据的应用程序依赖项。
本地节点和容器组 CIDR
确定您将用于混合节点以及在其上运行的工作负载的节点和容器组 CIDR。节点 CIDR 是从本地网络分配的,如果您为 CNI 使用叠加网络,则容器组 CIDR 是从您的容器网络接口(CNI)分配的。创建 Amazon EKS 集群时,您可以使用 RemoteNodeNetwork 和 RemotePodNetwork 字段将本地节点 CIDR 和可选的容器组 CIDR 作为输入传递。
本地节点和容器组 CIDR 块必须满足以下要求:
-
处于以下
IPv4RFC-1918范围之一:10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。 -
不相互重叠,也不与 Amazon EKS 集群的 VPC CIDR 或 Kubernetes 服务
IPv4CIDR 重叠。
如果您的 CNI 在容器组流量离开本地主机时对其执行网络地址转换(NATI),则无需向本地网络公开您的容器组 CIDR,也不需要为您的 Amazon EKS 集群配置远程容器组网络,以便混合节点做好处理工作负载的准备。如果您的 CNI 在容器组流量离开本地主机时不使用 NATI,则必须向本地网络公开您的容器组 CIDR,此外还必须为您的 Amazon EKS 集群配置远程容器组网络,以便混合节点做好处理工作负载的准备。如果您在混合节点上运行 Webhook,则必须向本地网络公开您的容器组 CIDR,并为您的 Amazon EKS 集群配置远程容器组网络,以便 Amazon EKS 控制面板能够直接连接到在混合节点上运行的 Webhook。
混合节点安装和升级期间必需的访问权限
在安装过程中,您必须具有以下域的访问权限,以便在主机上安装混合节点依赖项。此过程可以在生成操作系统映像时一次执行,也可以在运行时中在每台主机上完成。这包括初始安装以及升级混合节点的 Kubernetes 版本时。
| 组件 | URL | 协议 | 端口 |
|---|---|---|---|
|
EKS 节点构件(S3) |
https://hybrid-assets.eks.amazonaws.com |
HTTPS |
443 |
|
https://eks. |
HTTPS |
443 |
|
|
EKS ECR 端点 |
区域性端点请参阅查看 Amazon EKS 附加组件的 Amazon 容器映像注册表。 |
HTTPS |
443 |
|
SSM 二进制端点 1 |
https://amazon-ssm- |
HTTPS |
443 |
|
SSM 服务端点 1 |
https://ssm. |
HTTPS |
443 |
|
IAM Anywhere 二进制端点 2 |
https://rolesanywhere.amazonaws.com |
HTTPS |
443 |
|
https://rolesanywhere. |
HTTPS |
443 |
注意
1 仅在将 AWS SSM 混合激活用作本地 IAM 凭证提供者时,才需要 AWS SSM 端点访问权限。
2 仅在将 AWS IAM Roles Anywhere 用作本地 IAM 凭证提供者时,才需要 AWS IAM 端点访问权限。
正在进行的集群操作需要的访问权限
正在进行的集群操作需要拥有本地防火墙的以下网络访问权限。
| 类型 | 协议 | Direction | 端口 | 来源 | 目标 | 使用量 |
|---|---|---|---|---|---|---|
|
HTTPS |
TCP |
出站 |
443 |
远程节点 CIDR |
EKS 集群 IP 1 |
Kubelet 到 Kubernetes API 服务器 |
|
HTTPS |
TCP |
出站 |
443 |
远程容器组 CIDR |
EKS 集群 IP 1 |
容器组(pod)到 Kubernetes API 服务器 |
|
HTTPS |
TCP |
出站 |
443 |
远程节点 CIDR |
SSM 混合激活凭证刷新和 SSM 心跳信号发送每隔 5 分钟进行一次 |
|
|
HTTPS |
TCP |
出站 |
443 |
远程节点 CIDR |
IAM Roles Anywhere 凭证刷新 |
|
|
HTTPS |
TCP |
出站 |
443 |
远程容器组 CIDR |
容器组(pod)到 STS 端点,仅对 IRSA 为必需 |
|
|
HTTPS |
TCP |
出站 |
443 |
远程节点 CIDR |
节点到 Amazon EKS 身份验证端点,仅对 Amazon EKS 容器组身份为必需 |
|
|
HTTPS |
TCP |
入站 |
10250 |
EKS 集群 IP 1 |
远程节点 CIDR |
Kubelet 到 Kubernetes API 服务器 |
|
HTTPS |
TCP |
入站 |
Webhook 端口 |
EKS 集群 IP 1 |
远程容器组 CIDR |
Kubernetes API 服务器到 Webhook |
|
HTTPS |
TCP、UDP |
入站、出站 |
53 |
远程容器组 CIDR |
远程容器组 CIDR |
容器组(pod)到 CoreDNS。如果您在云端运行至少 1 个 CoreDNS 副本,则必须允许指向运行 CoreDNS 的 VPC 的 DNS 流量。 |
|
用户定义 |
用户定义 |
入站、出站 |
应用程序端口 |
远程容器组 CIDR |
远程容器组 CIDR |
容器组(pod)到容器组(pod) |
注意
1 Amazon EKS 集群的 IP。请参阅以下有关 Amazon EKS 弹性网络接口的章节。
Amazon EKS 网络接口
Amazon EKS 将网络接口附加到您在集群创建期间传递的 VPC 中的子网,从而实现 Amazon EKS 控制面板与您的 VPC 之间的通信。Amazon EKS 创建的网络接口可以在集群创建后通过 Amazon EC2 控制台查看,也可以通过 AWS CLI 查看。对 Amazon EKS 集群应用更改(例如 Kubernetes 版本升级)时,系统会删除原始网络接口并创建新的网络接口。您可以在集群创建期间传递子网时使用受限子网大小来限制 Amazon EKS 网络接口的 IP 范围,从而更轻松地配置本地防火墙,允许与已知受限 IP 集的入站/出站连接。要控制要在其中创建网络接口的子网,您可以在创建集群时限制指定的子网数,或者在创建集群后更新子网。
由 Amazon EKS 预置的网络接口的描述格式为 Amazon EKS 。有关可用于查找 Amazon EKS 所预置网络接口的 IP 地址的 AWS CLI 命令,请参阅以下示例。请将 your-cluster-name
VPC_ID 替换为您在创建集群时传递的 VPC 的 ID。
aws ec2 describe-network-interfaces \ --query 'NetworkInterfaces[?(VpcId ==VPC_ID&& contains(Description,Amazon EKS))].PrivateIpAddress'
AWS VPC 和子网设置
Amazon EKS 的现有 VPC 和子网要求适用于使用混合节点的集群。此外,VPC CIDR 不能与本地节点和容器组 CIDR 重叠。必须在 VPC 路由表中为本地节点以及(可选)容器组 CIDR 配置路由。这些路由必须设置为将流量路由到用于混合网络连接的网关,这通常是虚拟专用网关(VGW)或中转网关(TGW)。如果您使用 TGW 或 VGW 来连接 VPC 和本地环境,则必须为您的 VPC 创建 TGW 或 VGW 连接。VPC 必须具有 DNS 主机名和 DNS 解析支持。
以下步骤会用到 AWS CLI。您还可以在 AWS Management Console中或使用其他接口(例如 AWS CloudFormation、AWS CDK 或 Terraform)创建这些资源。
第 1 步:创建 VPC
-
运行以下命令以创建一个 VPC。请将
VPC_CIDR替换为某个IPv4RFC-1918(私有)或非 RFC-1918(公共)CIDR 范围(例如10.0.0.0/16)。注意:VPC 会默认启用 DNS 解析,这是 EKS 的一项要求。aws ec2 create-vpc --cidr-blockVPC_CIDR -
为 VPC 启用 DNS 主机名。VPC 会默认启用 DNS 解析。请将
VPC_ID替换为在上一步中创建的 VPC 的 ID。aws ec2 modify-vpc-attribute --vpc-idVPC_ID--enable-dns-hostnames
第 2 步:创建子网
至少创建 2 个子网。Amazon EKS 会将这些子网作为集群网络接口。有关更多信息,请参阅子网要求和注意事项。
-
您可以使用以下命令找到 AWS 区域的可用区。请将
us-west-2替换为您的区域。aws ec2 describe-availability-zones \ --query 'AvailabilityZones[?(RegionName ==us-west-2)].ZoneName' -
创建子网。请将
VPC_ID替换为 VPC 的 ID。请将SUBNET_CIDR替换为子网的 CIDR 块(例如 10.0.1.0/24)。请将AZ替换为将在其中创建子网的可用区(例如 us-west-2a)。您创建的子网必须至少位于 2 个不同的可用区。aws ec2 create-subnet \ --vpc-idVPC_ID\ --cidr-blockSUBNET_CIDR\ --availability-zoneAZ
(可选)第 3 步:使用 Amazon VPC Transit Gateway(TGW)或 AWS Direct Connect 虚拟专用网关(VGW)附加 VPC
如果使用 TGW 或 VGW,请将您的 VPC 连接到该 TGW 或 VGW。有关更多信息,请参阅 Amazon VPC attachments in Amazon VPC Transit Gateways 或 AWS Direct Connect virtual private gateway associations。
Transit Gateway
运行以下命令连接某个中转网关。请将 VPC_ID 替换为 VPC 的 ID。请将 SUBNET_ID1 和 SUBNET_ID2 替换为在上一步中创建的子网的 ID。请将 TGW_ID 替换为 TGW 的 ID。
aws ec2 create-transit-gateway-vpc-attachment \ --vpc-idVPC_ID\ --subnet-idsSUBNET_ID1 SUBNET_ID2\ --transit-gateway-idTGW_ID
虚拟专用网关
运行以下命令连接某个中转网关。请将 VPN_ID 替换为 VGW 的 ID。请将 VPC_ID 替换为 VPC 的 ID。
aws ec2 attach-vpn-gateway \ --vpn-gateway-idVPN_ID\ --vpc-idVPC_ID
(可选)第 4 步:创建路由表
您可以修改 VPC 的主路由表,也可以创建自定义路由表。以下步骤将创建一个自定义路由表,其中包含本地节点和容器组 CIDR 的路由。有关更多信息,请参阅子网路由表。请将 VPC_ID 替换为 VPC 的 ID。
aws ec2 create-route-table --vpc-idVPC_ID
第 5 步:创建本地节点和容器组的路由
在路由表中创建每个本地远程节点的路由。您可以修改 VPC 的主路由表,也可以使用您在上一步中创建的自定义路由表。
以下示例展示了如何创建本地节点和容器组 CIDR 的路由。这些示例使用中转网关(TGW)将 VPC 连接到本地环境。如果您有多个本地节点和容器组 CIDR,请对每个 CIDR 重复这些步骤。
-
如果您使用互联网网关或虚拟专用网关(VGW),请将
--transit-gateway-id替换为--gateway-id。 -
请将
RT_ID替换为在上一步中创建的路由表的 ID。 -
请将
REMOTE_NODE_CIDR替换为将用于混合节点的 CIDR 范围。 -
请将
REMOTE_POD_CIDR替换为将在混合节点上运行的容器组的 CIDR 范围。容器组 CIDR 范围对应于容器网络接口(CNI)配置,后者最常使用的是叠加本地网络。有关更多信息,请参阅 为混合节点配置 CNI。 -
请将
TGW_ID替换为 TGW 的 ID。
远程节点网络
aws ec2 create-route \ --route-table-idRT_ID\ --destination-cidr-blockREMOTE_NODE_CIDR\ --transit-gateway-idTGW_ID
远程容器组(pod)网络
aws ec2 create-route \ --route-table-idRT_ID\ --destination-cidr-blockREMOTE_POD_CIDR\ --transit-gateway-idTGW_ID
(可选)第 6 步:将子网关联到路由表
如果在上一步中创建了自定义路由表,请将您在上一步中创建的每个子网关联到您的自定义路由表。如果您选择修改 VPC 主路由表,则子网会自动关联到 VPC 的主路由表,因此可以跳过此步骤。
为您在之前步骤中创建的每个子网运行以下命令。请将 RT_ID 替换为在上一步中创建的路由表。请将 SUBNET_ID 替换为子网的 ID。
aws ec2 associate-route-table --route-table-idRT_ID--subnet-idSUBNET_ID
集群安全组配置
Amazon EKS 集群安全组需要具有以下访问权限才能进行持续集群操作。
| 类型 | 协议 | Direction | 端口 | 来源 | 目标 | 使用量 |
|---|---|---|---|---|---|---|
|
HTTPS |
TCP |
入站 |
443 |
远程节点 CIDR |
不适用 |
Kubelet 到 Kubernetes API 服务器 |
|
HTTPS |
TCP |
入站 |
443 |
远程容器组 CIDR |
不适用 |
当 CNI 未使用 NAT 来处理容器组流量时,容器组需要访问 K8s API 服务器的权限。 |
|
HTTPS |
TCP |
出站 |
10250 |
不适用 |
远程节点 CIDR |
Kubernetes API 服务器到 Kubelet |
|
HTTPS |
TCP |
出站 |
Webhook 端口 |
不适用 |
远程容器组 CIDR |
Kubernetes API 服务器到 Webhook(如果在混合节点上运行 Webhook) |
要创建具有入站访问规则安全组,请运行以下命令。必须在创建 Amazon EKS 集群时传递此安全组。默认情况下,以下命令会创建一个允许所有出站访问的安全组。您可以将出站访问范围限定为仅包含上述规则。如果您考虑限制出站规则,我们建议您首先全面测试所有应用程序和容器组,然后再将更改后的规则应用于生产集群。
-
请将第一个命令中的 SG_NAME 替换为安全组的名称
-
请将第一个命令中的 VPC_ID 替换为在上一步中创建的 VPC 的 ID
-
请将第二个命令中的 SG_ID 替换为您在第一个命令中创建的安全组的 ID
-
请将第二个命令中的 REMOTE_NODE_CIDR 和 REMOTE_POD_CIDR 替换为混合节点和本地网络的相应值。
aws ec2 create-security-group \ --group-nameSG_NAME\ --description "security group for hybrid nodes" \ --vpc-idVPC_ID
aws ec2 authorize-security-group-ingress \ --group-idSG_ID\ --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 443, "ToPort": 443, "IpRanges": [{"CidrIp": "REMOTE_NODE_CIDR"}, {"CidrIp": "REMOTE_POD_CIDR"}]}]'
