Vorbereitende Einrichtung für Hybridknoten - Amazon EKS
Hybride NetzwerkkonnektivitätNetzwerkkonfiguration vor OrtEKS-Cluster-KonfigurationVPC-KonfigurationSicherheitsgruppenkonfigurationInfrastrukturBetriebssystemAnbieter von IAM-Anmeldeinformationen vor Ort

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vorbereitende Einrichtung für Hybridknoten

Um Amazon EKS-Hybridknoten verwenden zu können, müssen Sie private Konnektivität von Ihrer lokalen Umgebung zu/von AWS Bare-Metal-Servern oder virtuellen Maschinen mit einem unterstützten Betriebssystem haben und AWS IAM Roles Anywhere- oder AWS Systems Manager (SSM) -Hybridaktivierungen konfiguriert haben. Sie sind dafür verantwortlich, diese Voraussetzungen während des gesamten Lebenszyklus der Hybridknoten zu verwalten.

  • Hybride Netzwerkkonnektivität von Ihrer lokalen Umgebung zu/von AWS

  • Infrastruktur in Form von physischen oder virtuellen Maschinen

  • Betriebssystem, das mit Hybridknoten kompatibel ist

  • Lokaler Anbieter für IAM-Anmeldeinformationen konfiguriert

Netzwerkkonnektivität mit Hybridknoten.

Hybride Netzwerkkonnektivität

Die Kommunikation zwischen der Amazon EKS-Kontrollebene und den Hybridknoten wird über die VPC und die Subnetze geleitet, die Sie bei der Clustererstellung übergeben, was auf dem bestehenden Mechanismus in Amazon EKS für die Vernetzung von Kontrollebene zu Knoten aufbaut. Es stehen mehrere dokumentierte Optionen zur Verfügung, mit denen Sie Ihre lokale Umgebung mit Ihrer VPC verbinden können, darunter AWS Site-to-Site VPN, AWS Direct Connect oder Ihre eigene VPN-Verbindung. Weitere Informationen zur Verwendung dieser Lösungen für Ihre hybride Netzwerkverbindung finden Sie in den AWS Site-to-Site VPN - und AWS Direct Connect-Benutzerhandbüchern.

Für ein optimales Erlebnis empfehlen wir eine zuverlässige Netzwerkkonnektivität von mindestens 100 Mbit/s und eine maximale Round-Trip-Latenz von 200 ms für die Verbindung der Hybridknoten mit der AWS Region. Dies ist eine allgemeine Anleitung, die für die meisten Anwendungsfälle geeignet ist, aber keine strikte Anforderung ist. Die Anforderungen an Bandbreite und Latenz können je nach Anzahl der Hybridknoten und Ihren Workload-Merkmalen variieren, z. B. Größe des Anwendungsimages, Anwendungselastizität, Überwachungs- und Protokollierungskonfigurationen und Anwendungsabhängigkeiten beim Zugriff auf Daten, die in anderen AWS Diensten gespeichert sind. Wir empfehlen, dass Sie vor der Bereitstellung in der Produktion Tests mit Ihren eigenen Anwendungen und Umgebungen durchführen, um sicherzustellen, dass Ihr Netzwerk-Setup den Anforderungen für Ihre Workloads entspricht.

Netzwerkkonfiguration vor Ort

Sie müssen den eingehenden Netzwerkzugriff von der Amazon EKS-Steuerebene auf Ihre lokale Umgebung aktivieren, damit die Amazon EKS-Steuerebene mit den auf Hybridknoten kubelet ausgeführten Knoten und optional mit Webhooks, die auf Ihren Hybridknoten ausgeführt werden, kommunizieren kann. Darüber hinaus müssen Sie den ausgehenden Netzwerkzugriff für Ihre Hybridknoten und die darauf ausgeführten Komponenten aktivieren, um mit der Amazon EKS-Steuerebene zu kommunizieren. Sie können diese Kommunikation so konfigurieren, dass sie für Ihre AWS Direct Connect-, AWS Site-to-Site VPN- oder Ihre eigene VPN-Verbindung vollständig privat bleibt.

Die CIDR-Bereiche (Classless Inter-Domain Routing), die Sie für Ihre lokalen Knoten- und Pod-Netzwerke verwenden, müssen RFC-1918-Adressbereiche verwenden IPv4 . Ihr lokaler Router muss mit Routen zu Ihren lokalen Knoten und optional zu Pods konfiguriert sein. Netzwerkkonfiguration vor OrtWeitere Informationen zu den lokalen Netzwerkanforderungen, einschließlich der vollständigen Liste der erforderlichen Ports und Protokolle, die in Ihrer Firewall und Ihrer lokalen Umgebung aktiviert sein müssen, finden Sie unter.

EKS-Cluster-Konfiguration

Um die Latenz zu minimieren, empfehlen wir Ihnen, Ihren Amazon EKS-Cluster in der AWS Region zu erstellen, die Ihrer lokalen Umgebung oder Edge-Umgebung am nächsten liegt. Sie übergeben Ihren lokalen Knoten und Pod CIDRs während der Amazon EKS-Clustererstellung über zwei API-Felder: RemoteNodeNetwork undRemotePodNetwork. Möglicherweise müssen Sie mit Ihrem lokalen Netzwerkteam darüber sprechen, wie Sie Ihren lokalen Knoten und Pod identifizieren können. CIDRs Der Knoten-CIDR wird von Ihrem lokalen Netzwerk zugewiesen, und der Pod-CIDR wird von dem Container Network Interface (CNI) zugewiesen, das Sie verwenden, wenn Sie ein Overlay-Netzwerk für Ihr CNI verwenden. Cilium und Calico verwenden standardmäßig Overlay-Netzwerke.

Der lokale Knoten und der Pod, die CIDRs Sie über die RemotePodNetwork Felder RemoteNodeNetwork und konfigurieren, werden verwendet, um die Amazon EKS-Steuerebene so zu konfigurieren, dass der Datenverkehr über Ihre VPC zu den kubelet und den Pods geleitet wird, die auf Ihren Hybridknoten ausgeführt werden. Ihr lokaler Knoten und Ihr Pod CIDRs dürfen sich nicht miteinander, mit der VPC-CIDR, die Sie bei der Clustererstellung übergeben, oder mit der IPv4 Servicekonfiguration für Ihren Amazon EKS-Cluster überschneiden.

Wir empfehlen, für den Amazon EKS Kubernetes API-Serverendpunkt entweder öffentlichen oder privaten Endpunktzugriff zu verwenden. Wenn Sie „Öffentlich und privat“ wählen, wird der Amazon EKS Kubernetes API-Serverendpunkt IPs für Hybridknoten, die außerhalb Ihrer VPC laufen, immer öffentlich aufgelöst, wodurch verhindert werden kann, dass Ihre Hybridknoten dem Cluster beitreten. Wenn Sie den öffentlichen Endpunktzugriff verwenden, wird der Kubernetes-API-Serverendpunkt öffentlich aufgelöst IPs und die Kommunikation von Hybridknoten zur Amazon EKS-Kontrollebene wird über das Internet geleitet. Wenn Sie privaten Endpunktzugriff wählen, wird der Kubernetes-API-Serverendpunkt in privat aufgelöst IPs und die Kommunikation von Hybridknoten zur Amazon EKS-Kontrollebene wird über Ihre private Konnektivitätsverbindung, in den meisten Fällen AWS Direct Connect oder VPN, geleitet. AWS Site-to-Site

VPC-Konfiguration

Sie müssen die VPC, die Sie bei der Erstellung des Amazon EKS-Clusters übergeben, mit Routen in der Routing-Tabelle für Ihren lokalen Knoten und optional mit Pod-Netzwerken mit Ihrem Virtual Private Gateway (VGW) oder Transit Gateway (TGW) als Ziel konfigurieren. Es folgt ein Beispiel. Ersetzen Sie REMOTE_NODE_CIDR und durch die Werte für REMOTE_POD_CIDR Ihr lokales Netzwerk.

Bestimmungsort Ziel Beschreibung

10.226.0.0/16

local

Lokaler Verkehr zu den VPC-Routen innerhalb der VPC

REMOTE_NODE_CIDR

tgw-abcdef123456

CIDR am lokalen Knoten, leitet den Verkehr zum TGW weiter

REMODE_POD_CIDR

tgw-abcdef123456

CIDR vor Ort, leitet den Verkehr zum TGW weiter

Sicherheitsgruppenkonfiguration

Wenn Sie einen Cluster erstellen, erstellt Amazon EKS eine Sicherheitsgruppe mit einem Nameneks-cluster-sg-<cluster-name>-<uniqueID>. Sie können die Regeln für eingehende Nachrichten dieser Cluster-Sicherheitsgruppe nicht ändern, aber Sie können die Regeln für ausgehenden Datenverkehr einschränken. Sie müssen Ihrem Cluster eine zusätzliche Sicherheitsgruppe hinzufügen, damit das Kubelet und optional Webhooks, die auf Ihren Hybridknoten ausgeführt werden, die Amazon EKS-Kontrollebene kontaktieren können. Die erforderlichen Regeln für eingehende Nachrichten für diese zusätzliche Sicherheitsgruppe sind unten aufgeführt. Ersetzen Sie REMOTE_NODE_CIDR und REMOTE_POD_CIDR durch die Werte für Ihr lokales Netzwerk.

Name Regel-ID der Sicherheitsgruppe IP-Version Typ Protocol (Protokoll) Port-Bereich Quelle

Eingehender On-Prem-Knoten

sgr-abcdef123456

IPv4

HTTPS

TCP

443

REMOTE_NODE_CIDR

Eingehender On-Prem-Pod

sgr-abcdef654321

IPv4

HTTPS

TCP

443

REMOTE_POD_CIDR

Infrastruktur

Sie müssen über Bare-Metal-Server oder virtuelle Maschinen verfügen, die Sie als Hybridknoten verwenden können. Hybridknoten sind unabhängig von der zugrunde liegenden Infrastruktur und unterstützen x86- und ARM-Architekturen. Amazon EKS Hybrid Nodes folgt einem „Bring Your Own Infrastructure“ -Ansatz, bei dem Sie für die Bereitstellung und Verwaltung der Bare-Metal-Server oder virtuellen Maschinen verantwortlich sind, die Sie für Hybridknoten verwenden. Es gibt zwar keine strengen Mindestressourcenanforderungen, wir empfehlen jedoch, Hosts mit mindestens 1 vCPU und 1 GiB RAM für Hybridknoten zu verwenden.

Betriebssystem

Bottlerocket, Amazon Linux 2023 (AL2023), Ubuntu und RHEL werden fortlaufend für die Verwendung als Knotenbetriebssystem für Hybridknoten validiert. Bottlerocket wird nur AWS in VMware vSphere-Umgebungen unterstützt. AL2023 ist nicht durch AWS Supportpläne abgedeckt, wenn sie außerhalb von Amazon EC2 ausgeführt werden. AL2023 kann nur in lokalen virtualisierten Umgebungen verwendet werden. Weitere Informationen finden Sie im Amazon Linux 2023 User Guide. AWS unterstützt die Integration von Hybridknoten mit Ubuntu- und RHEL-Betriebssystemen, bietet jedoch keine Unterstützung für das Betriebssystem selbst.

Sie sind für die Bereitstellung und Verwaltung des Betriebssystems verantwortlich. Wenn Sie Hybridknoten zum ersten Mal testen, ist es am einfachsten, die Amazon EKS Hybrid Nodes CLI (nodeadm) auf einem bereits bereitgestellten Host auszuführen. Für Produktionsbereitstellungen empfehlen wir, dass Sie nodeadm in Ihr goldenes Betriebssystem Images aufnehmen, die so konfiguriert sind, dass sie als Systemd-Service ausgeführt werden, um Hosts beim Host-Start automatisch mit Amazon EKS-Clustern zu verbinden.

Anbieter von IAM-Anmeldeinformationen vor Ort

Amazon EKS-Hybridknoten verwenden temporäre IAM-Anmeldeinformationen, die durch AWS SSM-Hybrid-Aktivierungen oder AWS IAM Roles Anywhere bereitgestellt werden, um sich beim Amazon EKS-Cluster zu authentifizieren. Sie müssen entweder AWS SSM-Hybrid-Aktivierungen oder AWS IAM Roles Anywhere mit der Amazon EKS Hybrid Nodes CLI () verwenden. nodeadm Wir empfehlen, AWS SSM-Hybrid-Aktivierungen zu verwenden, wenn Sie nicht über eine bestehende Public Key-Infrastruktur (PKI) mit einer Zertifizierungsstelle (CA) und Zertifikaten für Ihre lokalen Umgebungen verfügen. Wenn Sie bereits über PKI und Zertifikate vor Ort verfügen, verwenden Sie IAM Roles Anywhere. AWS

Ähnlich wie bei Knoten, die auf Amazon laufen EC2, erstellen Sie eine IAM-Rolle Amazon-EKS-Knoten-IAM-Rolle für Hybridknoten mit den erforderlichen Berechtigungen, um Hybridknoten mit Amazon EKS-Clustern zu verbinden. Wenn Sie AWS IAM Roles Anywhere verwenden, konfigurieren Sie eine Vertrauensrichtlinie, die es AWS IAM Roles Anywhere ermöglicht, die IAM-Rolle Hybrid Nodes zu übernehmen, und konfigurieren Sie Ihr AWS IAM Roles Anywhere-Profil mit der Hybrid Nodes IAM-Rolle als wahrscheinlicher Rolle. Wenn Sie AWS SSM verwenden, konfigurieren Sie eine Vertrauensrichtlinie, die es AWS SSM ermöglicht, die IAM-Rolle Hybrid Nodes zu übernehmen und die Hybrid-Aktivierung mit der Hybrid Nodes IAM-Rolle zu erstellen. Informationen Anmeldedaten für Hybridknoten vorbereiten zum Erstellen der IAM-Rolle Hybrid Nodes mit den erforderlichen Berechtigungen finden Sie unter.