如何为 Amazon EKS 集群配置我的子网？

2 分钟阅读

我想配置我的子网以与我的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群配合使用。

简短描述

选择下面的一种配置方案：

要获得从 Worker 节点出站和入站访问互联网的权限，请完成配置公有子网部分所述的步骤。
要仅获得从 Worker 节点出站访问互联网的权限，请完成配置具有出站访问互联网权限的私有子网部分所述的步骤。
要同时限制从 Worker 节点出站和入站访问互联网的权限，请完成配置无互联网访问权限的私有子网部分所述的步骤。例如，您可以为某个私有 Amazon EKS 集群选择此解决方法。

在为 Amazon EKS 集群创建子网时，请执行以下操作：

1. 将您的子网关联到某个路由表，该路由表配置为通过互联网网关将流量路由到 0.0.0.0/0 目标。例如：igw-xxxxxxxx

2. 为您的子网激活自动分配公有 IPV4 地址属性。

3. 完成使用子网标记限制负载均衡器的部署部分所述的步骤。

在为 Amazon EKS 集群创建子网时，请执行以下操作：

1. 将您的子网关联到某个路由表，该路由表配置为将流量路由到某个 NAT 网关，从而仅允许到互联网的出站连接。

2. 确认您的子网未激活自动分配公有 IPv4 地址。

3. 完成使用子网标记限制负载均衡器的部署部分所述的步骤。

1. 确认您的子网未与配置为将流量路由到 NAT 网关或互联网网关的路由表相关联。这样可以确保您的 Worker 节点无法访问互联网。

3. 为您的 VPC 创建 Amazon Virtual Private Cloud（Amazon VPC）终端节点。您的 Worker 节点需要以下 VPC 终端节点才能加入 Amazon EKS 集群：

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

注意：请将 your-region 替换为您的 AWS 区域。

4. （如果需要）根据应用程序的需求创建其他 VPC 终端节点。请参阅以下示例。

对于 Amazon CloudWatch Logs：

com.amazonaws.your_region.logs

对于服务账户的 Kubernetes Cluster Autoscaler 或 AWS Identity and Access Management（IAM）角色：

com.amazonaws.your_region.sts

对于 Application Load Balancer：

com.amazonaws.your_region.elasticloadbalancing

对于 Kubernetes Cluster Autoscaler：

com.amazonaws.your_region.autoscaling

对于 AWS App Mesh：

com.amazonaws.your_region.appmesh-envoy-management

对于 AWS X-Ray：

com.amazonaws.your_region.xray

注意：请将 your-region 替换为您的 AWS 区域。

5. 完成使用子网标记限制负载均衡器的部署部分所述的步骤。

子网标记会告诉 AWS 负载均衡器控制器可以使用哪个子网来创建外部或内部负载均衡器。

对于公有子网：

要使用 AWS 负载均衡器控制器限制在 VPC 的特定公有子网上部署外部负载均衡器，请按如下方式标记该子网：

Key - kubernetes.io/role/elb
Value - 1

对于私有子网：

要使用 AWS 负载均衡器控制器限制在特定私有子网上部署内部负载均衡器，请按如下方式标记该子网：

Key - kubernetes.io/role/internal-elb
Value - 1

**注意：**您可以将节点和 Kubernetes 资源部署到创建集群时指定的相同子网中。您还可以将节点和 Kubernetes 资源部署到您在创建集群时未指定的子网中。您部署节点和 Kubernetes 资源的任何子网都必须满足相关要求。有关详细信息，请参阅子网要求和注意事项。