¿Cómo puedo configurar mis subredes para un clúster de Amazon EKS?

Última actualización: 04/10/2021

Quiero configurar mis subredes para que funcionen con mi clúster de Amazon Elastic Kubernetes Service (Amazon EKS).

Descripción corta

Elija una de las siguientes opciones de configuración:

  • Para obtener acceso a Internet de salida y de entrada desde los nodos de trabajo, complete los pasos de la sección Configurar una subred pública.
  • Para obtener solo acceso de salida a Internet desde los nodos de trabajo, complete los pasos de la sección Configurar una subred privada con acceso a Internet de salida.
  • Para restringir el acceso a Internet de entrada y de salida desde los nodos de trabajo, complete los pasos de la sección Configurar una subred privada sin acceso a Internet. Por ejemplo, elija esta resolución para un clúster privado de Amazon EKS.

Resolución

Configurar una subred pública

Al crear una subred para el clúster de Amazon EKS, tenga en cuenta lo siguiente:

1.    Asocie su subred a una tabla de enrutamiento configurada para dirigir el tráfico al destino 0.0.0.0/0 a través de una gateway de Internet. Por ejemplo: igw-xxxxxxxx

2.    Habilite el atributo de asignación automática de dirección IPV4 pública para su subred.

3.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Configurar una subred privada con acceso a Internet de salida

Al crear una subred para el clúster de Amazon EKS, tenga en cuenta lo siguiente:

1.    Asocie su subred a una tabla de enrutamiento configurada para enrutar el tráfico a una puerta de enlace NAT de modo que solo se permita la conectividad de salida a Internet.

2.    Compruebe que no esté habilitada la asignación automática de dirección IPv4 pública para la subred.

3.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Configurar una subred privada sin acceso a Internet

1.    Para bloquear el acceso a Internet de los nodos de trabajo, compruebe que la subred no esté asociada a una tabla de enrutamiento. Es decir, una tabla de enrutamiento configurada para dirigir el tráfico a una puerta de enlace NAT o a una gateway de Internet.

2.    Compruebe que no esté habilitada la asignación automática de dirección IPv4 pública.

3.    Cree puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC) para su VPC. Los siguientes puntos de enlace de la VPC son necesarios para que los nodos de trabajo se unan al clúster de Amazon EKS:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Nota: Sustituya your_region por su región de AWS.

4.    (Si es necesario) Cree puntos de enlace de la VPC adicionales en función de los requisitos de su aplicación. Consulte los ejemplos siguientes.

Para Amazon CloudWatch Logs:

com.amazonaws.your_region.logs

Para un escalador automático de clústeres de Kubernetes o roles de AWS Identity and Access Management (IAM) para cuentas de servicio:

com.amazonaws.your_region.sts

Para un balanceador de carga de aplicaciones:

com.amazonaws.your_region.elasticloadbalancing

Para un escalador automático de clústeres de Kubernetes:

com.amazonaws.your_region.autoscaling

Para AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Para AWS X-Ray:

com.amazonaws.your_region.xray

Nota: Sustituya your_region por su región de AWS.

5.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Restringir la implementación de balanceadores de cargas con etiquetado de subred

El etiquetado de subred indica al controlador de balanceadores de carga de AWS qué subred se puede utilizar para crear el balanceador de cargas externo o interno.

Para subredes públicas:

Para restringir la implementación de balanceadores de cargas externos mediante el controlador de balanceadores de cargas de AWS en una subred pública específica de la VPC, etiquete esa subred de la siguiente manera:

Key - kubernetes.io/role/elb
Value - 1

Subredes privadas:

Para restringir la implementación de balanceadores de cargas internos mediante el controlador de balanceadores de carga de AWS en una subred privada específica, etiquete esa subred de la siguiente manera:

Key - kubernetes.io/role/internal-elb
Value - 1

Nota: El número de pods que se pueden ejecutar en una subred depende del número de direcciones IP libres disponibles en la subred. Confirme que las subredes que especifica durante la creación del clúster tengan suficientes direcciones IP disponibles para las interfaces de red creadas por Amazon EKS. Se recomienda crear subredes pequeñas (es decir, /28) dedicadas para interfaces de red creadas por Amazon EKS. A continuación, solo debe especificar estas subredes como parte de la creación del clúster. Lance otros recursos, como nodos y balanceadores de carga, en subredes independientes de las subredes especificadas durante la creación del clúster.