Wie konfiguriere ich meine Subnetze für ein Amazon-EKS-Cluster?

Letzte Aktualisierung: 04.10.2021

Ich möchte meine Subnetze so konfigurieren, dass sie mit meinem Amazon-Elastic-Kubernetes-Service-Cluster (Amazon EKS) arbeiten.

Kurzbeschreibung

Wählen Sie eine der folgenden Konfigurationsoptionen:

  • Um ausgehenden und eingehenden Internetzugang von Ihren Worker-Knoten zu erhalten, führen Sie die Schritte im Abschnitt Konfigurieren eines öffentlichen Subnetzes aus.
  • Um nur ausgehenden Internetzugang von Ihren Worker-Knoten zu erhalten, führen Sie die Schritte im Abschnitt Konfigurieren eines privaten Subnetzes mit ausgehendem Internetzugriff aus.
  • Um sowohl den ausgehenden als auch den eingehenden Internetzugang von Ihren Worker-Knoten aus einzuschränken, führen Sie die Schritte im Abschnitt Konfigurieren eines privaten Subnetzes ohne Internetzugriff aus. Beispielsweise wählen Sie diese Auflösung für einen privaten Amazon-EKS-Cluster.

Auflösung

Konfigurieren eines öffentlichen Subnetzes

Beachten Sie beim Erstellen eines Subnetzes für Ihren Amazon-EKS-Cluster Folgendes:

1.    Verknüpfen Sie Ihr Subnetz mit einer Routingtabelle, die konfiguriert ist, um den Datenverkehr über ein Internet-Gateway an das 0.0.0.0/0-Ziel weiterzuleiten. Zum Beispiel: igw-xxxxxxxx

2.    Aktivieren Sie das Attribut für die automatische Zuweisung öffentlicher IPv4-Adressen für Ihr Subnetz.

3.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Konfigurieren Sie ein privates Subnetz mit ausgehendem Internetzugang

Beachten Sie beim Erstellen eines Subnetzes für Ihren Amazon-EKS-Cluster Folgendes:

1.    Verknüpfen Sie Ihr Subnetz mit einer Routingtabelle, die so konfiguriert ist, dass Datenverkehr an ein NAT-Gateway weitergeleitet wird, um nur ausgehende Konnektivität mit dem Internet zuzulassen.

2.    Stellen Sie sicher, dass die automatische Zuweisung der öffentlichen IPv4-Adresse für Ihr Subnetz nicht aktiviert ist.

3.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Konfigurieren Sie ein privates Subnetz ohne Internetzugang

1.    Um den Internetzugriff auf Ihre Worker-Knoten zu blockieren, stellen Sie sicher, dass Ihr Subnetz keiner Routingtabelle zugeordnet ist. Das heißt, eine Routingtabelle, die konfiguriert ist, um den Datenverkehr entweder an ein NAT-Gateway oder ein Internet-Gateway weiterzuleiten.

2.    Stellen Sie sicher, dass die öffentliche IPv4-Adresse automatisch zuweisen nicht aktiviert ist.

3.    Amazon-Virtual-Private-Cloud-Endpunkte (Amazon VPC) für Ihre VPC erstellen. Die folgenden VPC-Endpunkte sind erforderlich, damit Ihre Worker-Knoten Ihrem Amazon-EKS-Cluster beitreten können:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Hinweis: Ersetzen Sie your_region durch Ihre AWS-Region.

4.    (Falls erforderlich) Erstellen Sie zusätzliche VPC-Endpunkte basierend auf Ihren Anwendungsanforderungen. Siehe folgende Beispiele.

Für Amazon CloudWatch Logs:

com.amazonaws.your_region.logs

Für Kubernetes Cluster Autoscaler oder AWS-Identity-and-Access-Management-Rollen (IAM) für Servicekonten:

com.amazonaws.your_region.sts

Für einen Application Load Balancer:

com.amazonaws.your_region.elasticloadbalancing

Für einen Kubernetes Cluster Autoscaler:

com.amazonaws.your_region.autoscaling

AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Für AWS X-Ray:

com.amazonaws.your_region.xray

Hinweis: Ersetzen Sie your_region durch Ihre AWS-Region.

5.    Führen Sie die Schritte im Abschnitt Bereitstellung der Lastenverteilung mit Subnetz-Markierung einschränken aus.

Beschränken Sie die Bereitstellung der Lastenverteilung mit Subnetz-Markierung

Subnetz-Markierung teilt dem AWS Load Balancer Controller mit, welches Subnetz zum Erstellen der externen oder internen Lastenverteilungen verwendet werden kann.

Für öffentliche Subnetze:

Um die Bereitstellung externer Lastenverteilungen mithilfe des AWS Load Balancer Controllers in einem bestimmten öffentlichen Subnetz auf Ihrer VPC einzuschränken, markieren Sie dieses Subnetz wie folgt:

Key - kubernetes.io/role/elb
Value - 1

Für private Subnetze:

Um die Bereitstellung interner Lastenverteilungen mithilfe des AWS Load Balancer Controllers in einem bestimmten privaten Subnetz einzuschränken, markieren Sie dieses Subnetz wie folgt:

Key - kubernetes.io/role/internal-elb
Value - 1

Hinweis: Die Anzahl der Pods, die in einem Subnetz ausgeführt werden können, hängt von der Anzahl der im Subnetz verfügbaren freien IP-Adressen ab. Vergewissern Sie sich, dass die Subnetze, die Sie bei der Cluster-Erstellung angeben, über genügend IP-Adressen für die von Amazon EKS erstellten Netzwerkschnittstellen verfügen. Es ist eine bewährte Methode, kleine (d. h. /28) dedizierte Subnetze für Netzwerkschnittstellen zu erstellen, die von Amazon EKS erstellt wurden. Dann müssen Sie diese Subnetze nur im Rahmen der Cluster-Erstellung angeben. Starten Sie andere Ressourcen, wie Knoten und Lastenverteilungen, in getrennten Subnetzen von den Subnetzen, die bei der Cluster-Erstellung angegeben wurden.

Überlegungen zu Cluster-VPC

VPC-Endpunkte

Private Cluster

Anwendungslastenausgleich auf Amazon EKS

War dieser Artikel hilfreich?

Feedback senden

Benötigen Sie Hilfe zur Fakturierung oder technischen Support?

AWS Support kontaktieren