Come posso configurare le mie sottoreti per un cluster Amazon EKS?

Ultimo aggiornamento: 04-10-2021

Desidero configurare le sottoreti in modo che funzionino con il cluster Amazon Elastic Kubernetes Service (Amazon EKS).

Breve descrizione

Scegli una delle seguenti opzioni di configurazione:

  • Per ottenere l'accesso a Internet in uscita e in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete pubblica.
  • Per ottenere solo l'accesso a Internet in uscita dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata con accesso a Internet in uscita.
  • Per limitare l'accesso a Internet sia in uscita che in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata senza accesso a Internet. Ad esempio, scegli questa risoluzione per un cluster Amazon EKS privato.

Risoluzione

Configurazione di una sottorete pubblica

Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:

1.    Associa la sottorete a una tabella di routing configurata per instradare il traffico verso la destinazione 0.0.0.0/0 tramite un gateway Internet. Ad esempio: igw-xxxxxxxx

2.    Abilita l'attributo dell'indirizzo IPV4 pubblico di assegnazione automatica per la sottorete.

3.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Configurazione di una sottorete privata con accesso a Internet in uscita

Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:

1.    Associa la sottorete a una tabella di routing configurata per instradare il traffico verso un gateway NAT per consentire solo la connettività in uscita a Internet.

2.    Verifica che l'indirizzo IPv4 pubblico ad assegnazione automatica per la sottorete non sia abilitato.

3.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Configurazione di una sottorete privata senza accesso a Internet

1.    Per bloccare l'accesso a Internet ai nodi worker, verifica che la sottorete non sia associata a una tabella di routing. Ovvero, una tabella di routing configurata per instradare il traffico verso un gateway NAT o un gateway Internet.

2.    Verifica che l'indirizzo IPv4 pubblico con assegnazione automatica non sia abilitato.

3.    Crea gli endpoint Amazon Virtual Private Cloud (Amazon VPC) per il tuo VPC. I seguenti endpoint VPC sono necessari perché i nodi woker possano unirsi al cluster Amazon EKS:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Nota: sostituisci your_region con la tua tegione AWS.

4.    (Se richiesto) Crea endpoint VPC aggiuntivi in base ai requisiti dell'applicazione. Consulta gli esempi seguenti.

Per Amazon CloudWatch Logs

com.amazonaws.your_region.logs

Per un Kubernetes Cluster Autoscaler o ruoli AWS Identity and Access Management (IAM) per gli account di servizio:

com.amazonaws.your_region.sts

Per un Application Load Balancer:

com.amazonaws.your_region.elasticloadbalancing

Per un Kubernetes Cluster Autoscaler:

com.amazonaws.your_region.autoscaling

Per AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Per AWS X-Ray:

com.amazonaws.your_region.xray

Nota: sostituisci your_region con la tua tegione AWS.

5.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti

L’assegnazione di tag alle sottoreti indica ad AWS Load Balancer Controller quale sottorete può essere utilizzata per creare il bilanciatore del carico esterno o interno.

Per le sottoreti pubbliche:

Per limitare l’implementazione di bilanciatori del carico esterni che utilizzano AWS Load Balancer Controller su una sottorete pubblica specifica del VPC, assegna i tag alla sottorete come segue:

Key - kubernetes.io/role/elb
Value - 1

Per le sottoreti private:

Per limitare l’implementazione dei bilanciatori del carico interni che utilizzano AWS Load Balancer Controller su una sottorete privata specifica, assegna i tag alla sottorete come segue:

Key - kubernetes.io/role/internal-elb
Value - 1

Nota: il numero di pod che possono essere eseguiti su una sottorete dipende dal numero di indirizzi IP liberi disponibili nella sottorete. Verifica che le sottoreti specificate durante la creazione del cluster abbiano un numero sufficiente di indirizzi IP disponibili per le interfacce di rete create da Amazon EKS. È consigliabile creare sottoreti dedicate di piccole dimensioni (ovvero /28) per le interfacce di rete create da Amazon EKS. Quindi, è necessario specificare queste sottoreti solo come parte della creazione del cluster. Avvia altre risorse, ad esempio nodi e bilanciatori del carico, in sottoreti separate dalle sottoreti specificate durante la creazione del cluster.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?