¿Cómo puedo configurar mis subredes para un clúster de Amazon EKS?

Última actualización: 07-10-2022

Quiero configurar mis subredes para que funcionen con mi clúster de Amazon Elastic Kubernetes Service (Amazon EKS).

Descripción corta

Elija una de las siguientes opciones de configuración:

  • Para obtener acceso a Internet de salida y de entrada desde los nodos de trabajo, complete los pasos de la sección Configurar una subred pública.
  • Para obtener solo acceso de salida a Internet desde los nodos de trabajo, complete los pasos de la sección Configurar una subred privada con acceso a Internet de salida.
  • Para restringir el acceso a Internet de entrada y de salida desde los nodos de trabajo, complete los pasos de la sección Configurar una subred privada sin acceso a Internet. Por ejemplo, elija esta resolución para un clúster privado de Amazon EKS.

Resolución

Configurar una subred pública

Al crear una subred para el clúster de Amazon EKS, tenga en cuenta lo siguiente:

1.    Asocie su subred a una tabla de enrutamiento configurada para dirigir el tráfico al destino 0.0.0.0/0 a través de una puerta de enlace de Internet. Por ejemplo: igw-xxxxxxxx

2.    Active el atributo de asignación automática de dirección IPV4 pública para su subred.

3.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Configurar una subred privada con acceso a Internet de salida

Al crear una subred para el clúster de Amazon EKS, tenga en cuenta lo siguiente:

1.    Asocie su subred a una tabla de enrutamiento configurada para enrutar el tráfico a una puerta de enlace NAT de modo que solo se permita la conectividad de salida a Internet.

2.    Compruebe que no esté activada la asignación automática de dirección IPv4 pública para la subred.

3.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Configurar una subred privada sin acceso a Internet

1.    Compruebe que la subred no esté asociada a una tabla de enrutamiento que esté configurada para enrutar el tráfico a una puerta de enlace de NAT o a una puerta de enlace de Internet. Esto asegura que el acceso a Internet esté bloqueado desde los nodos de trabajo.

2.    Compruebe que no esté activada la asignación automática de dirección IPv4 pública.

3.    Cree puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC) para su VPC. Los siguientes puntos de enlace de la VPC son necesarios para que los nodos de trabajo se unan al clúster de Amazon EKS:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Nota: Sustituya your_region por su región de AWS.

4.    (Si es necesario) Cree puntos de enlace de la VPC adicionales en función de los requisitos de su aplicación. Consulte los ejemplos siguientes.

Para Amazon CloudWatch Logs:

com.amazonaws.your_region.logs

Para un escalador automático de clústeres de Kubernetes o roles de AWS Identity and Access Management (IAM) para cuentas de servicio:

com.amazonaws.your_region.sts

Para un balanceador de carga de aplicaciones:

com.amazonaws.your_region.elasticloadbalancing

Para un escalador automático de clústeres de Kubernetes:

com.amazonaws.your_region.autoscaling

Para AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Para AWS X-Ray:

com.amazonaws.your_region.xray

Nota: Sustituya your_region por su región de AWS.

5.    Complete los pasos de la sección Restringir la implementación de balanceadores de carga con etiquetado de subred.

Restringir la implementación de balanceadores de cargas con etiquetado de subred

El etiquetado de subred indica al controlador de balanceadores de carga de AWS qué subred se puede utilizar para crear el balanceador de cargas externo o interno.

Para subredes públicas:

Para restringir la implementación de balanceadores de cargas externos mediante el controlador de balanceadores de cargas de AWS en una subred pública específica de la VPC, etiquete esa subred de la siguiente manera:

Key - kubernetes.io/role/elb
Value - 1

Subredes privadas:

Para restringir la implementación de equilibradores de cargas internos mediante el controlador de equilibradores de carga de AWS en una subred privada específica, etiquete esa subred de la siguiente manera:

Key - kubernetes.io/role/internal-elb
Value - 1

Nota: Puede implementar nodos y recursos de Kubernetes en las mismas subredes que especificó al crear su clúster. También puede implementar nodos y recursos de Kubernetes en subredes que no especificó al crear el clúster. Cualquier subred en la que despliegue nodos y recursos de Kubernetes debe cumplir con los requisitos pertinentes. Para obtener información detallada, consulte Requisitos y consideraciones de la subred.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?