Weitere Informationen zu VPC-Netzwerke und Load Balancing in EKS Auto Mode - Amazon EKS
NetzwerkfähigkeitLoad Balancing

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Weitere Informationen zu VPC-Netzwerke und Load Balancing in EKS Auto Mode

In diesem Thema wird erläutert, wie Sie die Netzwerk- und Load-Balancer-Features der Virtual Private Cloud (VPC) in EKS Auto Mode konfigurieren. Obwohl EKS Auto Mode die meisten Netzwerkkomponenten automatisch verwaltet, können Sie bestimmte Aspekte der Netzwerkkonfiguration Ihres Clusters dennoch über NodeClass-Ressourcen und Load-Balancer-Annotationen anpassen.

Wenn Sie EKS Auto Mode verwenden, verwaltet AWS die VPC-Container-Netzwerkschnittstellenkonfiguration (CNI) und die Bereitstellung des Load Balancers für Ihren Cluster. Sie können das Netzwerkverhalten beeinflussen, indem Sie NodeClass-Objekte definieren und bestimmte Annotationen auf Ihre Service- und Ingress-Ressourcen anwenden, während Sie gleichzeitig das automatisierte Betriebsmodell beibehalten, das EKS Auto Mode bereitstellt.

Netzwerkfähigkeit

EKS Auto Mode verfügt über eine neue Netzwerkfunktion, die das Netzwerk von Knoten und Pods verwaltet. Sie können es konfigurieren, indem Sie ein NodeClass-Kubernetes-Objekt erstellen.

Konfigurationsoptionen für das vorherige AWS VPC CNI gelten nicht für EKS Auto Mode.

Konfiguration des Netzwerks mit einer NodeClass

Die NodeClass-Ressource in EKS Auto Mode ermöglicht es Ihnen, bestimmte Aspekte der Netzwerkfunktionen anzupassen. Über NodeClass können Sie Sicherheitsgruppen auswählen, die Platzierung von Knoten in VPC-Subnetzen steuern, SNAT-Richtlinien festlegen, Netzwerkrichtlinien konfigurieren und die Protokollierung von Netzwerkereignissen aktivieren. Dieser Ansatz behält das automatisierte Betriebsmodell von EKS Auto Mode bei und bietet gleichzeitig Flexibilität für die Anpassung des Netzwerks.

Sie können eine NodeClass verwenden, um:

  • Sicherheitsgruppe für Knoten auswählen

  • Steuern, wie Knoten in VPC-Subnetzen platziert werden

  • SNAT-Richtlinie für den Knoten auf random oder disabled festlegen

  • Aktivieren Sie die Kubernetes-Netzwerkrichtlinien, einschließlich:

    • Einstellen der Netzwerkrichtlinie auf „Standardmäßig ablehnen“ oder „Standardmäßig zulassen“

    • Aktivieren Sie die Protokollierung von Netzwerkereignissen in einer Datei.

  • Trennen Sie den Pod-Datenverkehr vom Knotendatenverkehr, indem Sie Pods an verschiedene Subnetze anfügen.

Erfahren Sie, wie Sie eine Amazon-EKS-NodeClass erstellen.

Überlegungen

EKS Auto Mode unterstützt:

  • EKS-Netzwerkrichtlinien.

  • Die HostPort- und HostNetwork-Optionen für Kubernetes-Pods.

  • Knoten und Pods in öffentlichen oder privaten Subnetzen.

  • Zwischenspeichern von DNS-Abfragen auf dem Knoten.

EKS Auto Mode unterstützt Folgendes nicht:

  • Sicherheitsgruppen pro Pod (SGPP).

  • Benutzerdefinierte Netzwerke in ENIConfig. Sie können Pods in mehreren Subnetzen platzieren oder sie mit Subnetz-Auswahl für Pods exklusiv vom Knoten-Datenverkehr isolieren.

  • Warm-IP-, Warm-Präfix- und Warm-ENI-Konfigurationen.

  • Konfiguration für minimale IP-Ziele.

  • Aktivierung oder Deaktivierung der Präfix-Delegierung.

  • Weitere Konfigurationen, die vom Open-Source AWS VPC CNI unterstützt werden.

  • Konfigurationen der Netzwerkrichtlinien, wie beispielsweise die Anpassung des Conntrack-Timers (Standardwert ist 300 Sekunden).

  • Exportieren von Netzwerkereignisprotokollen in CloudWatch.

Netzwerk-Ressourcenmanagement

EKS Auto Mode verwaltet Präfixe, IP-Adressierung und Netzwerkschnittstellen, indem er NodeClass-Ressourcen für Netzwerkkonfigurationen überwacht. Der Service führt mehrere wichtige Vorgänge automatisch aus:

Präfix-Delegierung

EKS Auto Mode stellt /28-IPv4-Präfixe für die primäre Netzwerkschnittstelle für Knoten bereit und verwaltet einen vordefinierten Warm-Pool von Ressourcen, der sich basierend auf der Anzahl der geplanten Pods skaliert. Bei Bedarf werden sekundäre Netzwerkschnittstellen mit identischen Sicherheitsgruppen wie die primäre Schnittstelle im Subnetz des Knotens bereitgestellt. Wenn Präfixe im Subnetz nicht mehr verfügbar sind, greift der Service auf sekundäre IPv4-Adressen zurück.

Abkühlungs-Management

Der Service implementiert einen Abkühlungs-Pool für Präfixe oder sekundäre IPv4-Adressen, die nicht mehr verwendet werden. Nach Ablauf der Ruhephase werden diese Ressourcen wieder an die VPC zurückgegeben. Wenn Pods diese Ressourcen jedoch während der Ruhephase wiederverwenden, werden sie aus dem Abkühlungs-Pool wiederhergestellt.

IPv6-Support

Bei IPv6-Clustern stellt EKS Auto Mode ein /80-IPv6-Präfix pro Knoten in der primären Netzwerkschnittstelle bereit.

Der Service gewährleistet außerdem die ordnungsgemäße Verwaltung und Garbage Collection aller Netzwerkschnittstellen.

Load Balancing

Sie konfigurieren die von EKS Auto Mode bereitgestellten AWS Elastic Load Balancer mithilfe von Annotationen zu Service- und Ingress-Ressourcen.

Weitere Informationen finden Sie unter Erstellung einer IngressClass zur Konfiguration eines Application Load Balancers oder Verwendung von Service-Annotationen zur Konfiguration von Network Load Balancers.

Überlegungen zum Load Balancing mit EKS Auto Mode

  • Der Standard- Zielmodus ist der IP-Modus, nicht der Instance-Modus.

  • EKS Auto Mode unterstützt nur den Sicherheitsgruppenmodus für Network Load Balancers.

  • AWS unterstützt keine Migration von Load Balancern vom selbstverwalteten Controller des AWS Load Balancers zur Verwaltung durch EKS Auto Mode.

  • Das Feld networking.ingress.ipBlock wird in der TargetGroupBinding-Spezifikation nicht unterstützt.

  • Wenn Ihre Worker-Knoten benutzerdefinierte Sicherheitsgruppen verwenden (kein eks-cluster-sg- -Benennungsmuster), benötigt Ihre Cluster-Rolle zusätzliche IAM-Berechtigungen. Die standardmäßige von EKS verwaltete Richtlinie berechtigt EKS lediglich zur Änderung von Sicherheitsgruppen mit dem Namen eks-cluster-sg-. Ohne die Berechtigung zum Ändern Ihrer benutzerdefinierten Sicherheitsgruppen kann EKS die erforderlichen Ingress-Regeln nicht hinzufügen, die es dem ALB/NLB-Datenverkehr ermöglichen, Ihre Pods zu erreichen