Wie konfiguriere ich meine Subnetze für ein Amazon-EKS-Cluster?

Letzte Aktualisierung: 07.10.2022

Ich möchte meine Subnetze so konfigurieren, dass sie mit meinem Amazon-Elastic-Kubernetes-Service-Cluster (Amazon EKS) arbeiten.

Kurzbeschreibung

Wählen Sie eine der folgenden Konfigurationsoptionen:

  • Um ausgehenden und eingehenden Internetzugang von Ihren Worker-Knoten zu erhalten, führen Sie die Schritte im Abschnitt Konfigurieren eines öffentlichen Subnetzes aus.
  • Um nur ausgehenden Internetzugang von Ihren Worker-Knoten zu erhalten, führen Sie die Schritte im Abschnitt Konfigurieren eines privaten Subnetzes mit ausgehendem Internetzugriff aus.
  • Um sowohl den ausgehenden als auch den eingehenden Internetzugang von Ihren Worker-Knoten aus einzuschränken, führen Sie die Schritte im Abschnitt Konfigurieren eines privaten Subnetzes ohne Internetzugriff aus. Beispielsweise wählen Sie diese Auflösung für einen privaten Amazon-EKS-Cluster.

Auflösung

Konfigurieren eines öffentlichen Subnetzes

Beachten Sie beim Erstellen eines Subnetzes für Ihren Amazon-EKS-Cluster Folgendes:

1.    Verknüpfen Sie Ihr Subnetz mit einer Routing-Tabelle, die konfiguriert ist, um den Datenverkehr über ein Internet-Gateway an das 0.0.0.0/0-Ziel weiterzuleiten. Zum Beispiel: igw-xxxxxxxx

2.    Aktivieren Sie das Attribut für die automatische Zuweisung öffentlicher IPv4-Adressen für Ihr Subnetz.

3.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Konfigurieren Sie ein privates Subnetz mit ausgehendem Internetzugang

Beachten Sie beim Erstellen eines Subnetzes für Ihren Amazon-EKS-Cluster Folgendes:

1.    Verknüpfen Sie Ihr Subnetz mit einer Routing-Tabelle, die so konfiguriert ist, dass Datenverkehr an ein NAT-Gateway weitergeleitet wird, um nur ausgehende Konnektivität mit dem Internet zuzulassen.

2.    Stellen Sie sicher, dass die automatische Zuweisung der öffentlichen IPv4-Adresse für Ihr Subnetz nicht aktiviert ist.

3.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Konfigurieren Sie ein privates Subnetz ohne Internetzugang

1.    Stellen Sie sicher, dass Ihr Subnetz keiner Routing-Tabelle zugeordnet ist, die so konfiguriert ist, dass der Datenverkehr entweder an ein NAT-Gateway oder ein Internet-Gateway weitergeleitet wird. Dadurch wird sichergestellt, dass der Internetzugang von Ihren Worker-Knoten blockiert wird.

2.    Stellen Sie sicher, dass die automatische Zuweisung der öffentlichen IPv4-Adresse nicht aktiviert ist.

3.    Amazon-Virtual-Private-Cloud-Endpunkte (Amazon VPC) für Ihre VPC erstellen. Die folgenden VPC-Endpunkte sind erforderlich, damit Ihre Worker-Knoten Ihrem Amazon-EKS-Cluster beitreten können:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Hinweis: Ersetzen Sie your_region durch Ihre AWS-Region.

4.    (Falls erforderlich) Erstellen Sie zusätzliche VPC-Endpunkte basierend auf Ihren Anwendungsanforderungen. Siehe folgende Beispiele.

Für Amazon CloudWatch Logs:

com.amazonaws.your_region.logs

Für Kubernetes Cluster Autoscaler oder AWS-Identity-and-Access-Management-Rollen (IAM) für Servicekonten:

com.amazonaws.your_region.sts

Für einen Application Load Balancer:

com.amazonaws.your_region.elasticloadbalancing

Für einen Kubernetes Cluster Autoscaler:

com.amazonaws.your_region.autoscaling

AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Für AWS X-Ray:

com.amazonaws.your_region.xray

Hinweis: Ersetzen Sie your_region durch Ihre AWS-Region.

5.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Beschränken Sie die Bereitstellung der Lastenverteilung mit Subnetz-Markierung

Subnetz-Markierung teilt dem AWS Load Balancer Controller mit, welches Subnetz zum Erstellen der externen oder internen Lastenverteilungen verwendet werden kann.

Für öffentliche Subnetze:

Um die Bereitstellung externer Lastenverteilungen mithilfe des AWS Load Balancer Controllers in einem bestimmten öffentlichen Subnetz auf Ihrer VPC einzuschränken, markieren Sie dieses Subnetz wie folgt:

Key - kubernetes.io/role/elb
Value - 1

Für private Subnetze:

Um die Bereitstellung interner Lastenverteilungen mithilfe des AWS Load Balancer Controllers in einem bestimmten privaten Subnetz einzuschränken, markieren Sie dieses Subnetz wie folgt:

Key - kubernetes.io/role/internal-elb
Value - 1

Hinweis: Sie können Knoten und Kubernetes-Ressourcen in denselben Subnetzen bereitstellen, die Sie beim Erstellen Ihres Clusters angeben. Sie können auch Knoten und Kubernetes-Ressourcen in Subnetzen bereitstellen, die Sie beim Erstellen des Clusters nicht angegeben haben. Jedes Subnetz, für das Sie Knoten und Kubernetes-Ressourcen bereitstellen, muss die entsprechenden Anforderungen erfüllen. Detaillierte Informationen finden Sie unter Subnetzanforderungen und Überlegungen.