Unterstützung für die Verbesserung dieser Seite beitragen
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bereitstellung privater Cluster mit eingeschränktem Internetzugang
In diesem Thema wird beschrieben, wie Sie einen Amazon EKS-Cluster bereitstellen, der in der AWS Cloud bereitgestellt wird, aber keinen ausgehenden Internetzugang hat. Wenn Sie einen lokalen Cluster auf AWS Outposts habenAmazon Linux-Knoten auf AWS Outposts erstellen, finden Sie statt dieses Themas weitere Informationen unter.
Wenn Sie mit dem Amazon-EKS-Netzwerk nicht vertraut sind, finden Sie unter Entmystifizierung von Cluster-Netzwerken für Amazon-EKS-Worker-Knoten
Anforderungen an die Cluster-Architektur
-
Ihr Cluster muss Images von einer Container-Registry in Ihrer VPC abrufen. Sie können eine Amazon Elastic Container Registry in Ihrer VPC erstellen und Container-Images dorthin kopieren, damit Ihre Knoten daraus abrufen können. Weitere Informationen finden Sie unter Kopieren eines Container-Images von einem Repository in ein anderes.
-
In Ihrem Cluster muss der private Endpunkt-Zugriff aktiviert sein. Dies ist erforderlich, damit sich Knoten beim Cluster-Endpunkt registrieren können. Der Endpunkt für öffentlichen Zugriff ist optional. Weitere Informationen finden Sie unter Cluster-API-Server-Endpunkt.
Knoten-Anforderungen
-
Selbstverwaltete Linux- und Windows-Knoten müssen die folgenden Bootstrap-Argumente enthalten, bevor sie gestartet werden. Diese Argumente umgehen die Amazon-EKS-Introspektion und erfordern keinen Zugriff auf die Amazon-EKS-API innerhalb der VPC.
-
Bestimmen Sie den Wert des Endpunkts Ihres Clusters mit dem folgenden Befehl. Ersetzen Sie
my-clustermit dem Namen Ihres Clusters.aws eks describe-cluster --name my-cluster --query cluster.endpoint --output textEine Beispielausgabe sieht wie folgt aus.
https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com -
Bestimmen Sie den Wert der Zertifizierungsstelle Ihres Clusters mit dem folgenden Befehl. Ersetzen Sie
my-clustermit dem Namen Ihres Clusters.aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output textDie zurückgegebene Ausgabe ist eine lange Zeichenfolge.
-
Ersetzen Sie die Werte von
apiServerEndpointundcertificateAuthorityim NodeConfig Objekt durch die Werte, die in der Ausgabe der vorherigen Befehle zurückgegeben wurden. Weitere Informationen zur Angabe von Bootstrap-Argumenten beim Starten von selbstverwalteten Amazon Linux 2023-Knoten finden Sie unter Selbstverwaltete Amazon-Linux-Knoten erstellen und. Selbstverwaltete Microsoft-Windows-Knoten erstellen-
Für Linux-Knoten:
--- MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="BOUNDARY" --BOUNDARY Content-Type: application/node.eks.aws --- apiVersion: node.eks.aws/v1alpha1 kind: NodeConfig spec: cluster: name: my-cluster apiServerEndpoint: [.replaceable]https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com certificateAuthority: [.replaceable]Y2VydGlmaWNhdGVBdXRob3JpdHk= ...Weitere Argumente finden Sie im Bootstrap-Skript
unter. GitHub -
Für Windows-Knoten:
Anmerkung
Wenn Sie CIDR für den benutzerdefinierten Service verwenden, müssen Sie diesen mithilfe des
-ServiceCIDR-Parameters angeben. Andernfalls schlägt die DNS-Auflösung für Pods im Cluster fehl.-APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authorityWeitere Argumente finden Sie unter Bootstrap-Skript-Konfigurationsparameter.
-
-
-
Das
aws-authConfigMapIhres Clusters muss innerhalb Ihrer VPC erstellt werden. Weitere Informationen zum Erstellen und Hinzufügen von Einträgen zuaws-authConfigMaperhalten Sie durch Eingabe voneksctl create iamidentitymapping --helpin Ihrem Terminal. FallsConfigMapauf Ihrem Server nicht vorhanden ist, wird es voneksctlerstellt, wenn Sie den Befehl zum Hinzufügen einer Identitätszuordnung verwenden.
Pod-Anforderungen
-
Pod Identity – Mit EKS Pod Identity konfigurierte Pods erhalten Anmeldeinformationen von der EKS-Auth-API. Wenn kein ausgehender Internetzugang vorhanden ist, müssen Sie einen VPC-Endpunkt für die EKS-Auth-API erstellen und verwenden:
com.amazonaws.region-code.eks-auth. Weitere Informationen zu den EKS- und EKS-Auth-VPC-Endpunkten finden Sie unter Zugriff auf Amazon EKS über AWS PrivateLink -
IRSA — Pods, die mit IAM-Rollen für Dienstkonten konfiguriert sind, beziehen Anmeldeinformationen aus einem API-Aufruf des AWS Security Token Service (AWS STS). Wenn es keinen ausgehenden Internetzugang gibt, müssen Sie einen AWS STS-VPC-Endpunkt in Ihrer VPC erstellen und verwenden. Die meisten AWS
v1SDKs verwenden standardmäßig den globalen AWS STS-Endpunkt (sts.amazonaws.com), der den AWS STS-VPC-Endpunkt nicht verwendet. Um den AWS STS-VPC-Endpunkt zu verwenden, müssen Sie Ihr SDK möglicherweise so konfigurieren, dass es den regionalen AWS STS-Endpunkt (sts.) verwendet. Weitere Informationen finden Sie unter Konfiguration des Endpunkts des AWS-Sicherheitstoken-Service für ein Servicekonto.region-code.amazonaws.com -
Die VPC-Subnetze Ihres Clusters müssen über einen VPC-Schnittstellenendpunkt für alle AWS Dienste verfügen, auf die Ihre Pods Zugriff benötigen. Weitere Informationen finden Sie unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt. Einige häufig verwendete Services und Endpunkte sind in der folgenden Tabelle aufgeführt. eine vollständige Liste der Endpunkte finden Sie unter AWS -Services, die mit AWS integriert sindPrivateLink im AWS PrivateLink -Handbuch.
Wir empfehlen Ihnen, private DNS-Namen für Ihre VPC-Endpunkte zu aktivieren, damit Workloads weiterhin ohne Probleme öffentliche AWS Dienstendpunkte verwenden können.
Service Endpoint Amazon EC2
com.amazonaws.
region-code.ec2Amazon Elastic Container Registry (zum Abrufen von Container-Images)
com.amazonaws.
region-code.ecr.api, com.amazonaws.region-code.ecr.dkr und com.amazonaws.region-code.s3Amazon Application Load Balancers und Network Load Balancers
com.amazonaws.
region-code.elastischer Lastenausgleich(Optional) AWS X-Ray (erforderlich für die an AWS X-Ray gesendete Rückverfolgung)
com.amazonaws.
region-code.xray(Optional) Amazon SSM (erforderlich für den SSM-Agenten für Knoten-Verwaltungsaufgaben. Alternative zu SSH)
com.amazonaws.
region-code.ssmAmazon CloudWatch Logs (erforderlich für Knoten- und Pod-Logs, die an Amazon CloudWatch Logs gesendet werden)
com.amazonaws.
region-code.protokolleAWS Security Token Service (erforderlich, wenn IAM-Rollen für Dienstkonten verwendet werden)
com.amazonaws.
region-code.stsAmazon-EKS-Authentifizierung (erforderlich bei Verwendung von Pod-Identity-Zuordnungen)
com.amazonaws.
region-code.eks-authAmazon EKS
com.amazonaws.
region-code.eks -
Alle selbstverwalteten Knoten müssen in Subnetzen bereitgestellt werden, die über die von Ihnen benötigten VPC-Schnittstellenendpunkte verfügen. Wenn Sie eine verwaltete Knotengruppe erstellen, muss die Endpunktsicherheitsgruppe der VPC-Schnittstelle das CIDR für die Subnetze zulassen, oder Sie müssen die erstellte Knotensicherheitsgruppe zur Endpunktsicherheitsgruppe der VPC-Schnittstelle hinzufügen.
-
EFS-Speicher — Wenn Ihre Pods Amazon EFS-Volumes verwenden, muss vor der Bereitstellung von Store an elastic file system with Amazon EFS die Datei kustomization.yaml
des Treibers so geändert werden, dass die Container-Images dieselbe AWS Region wie der Amazon EKS-Cluster verwenden. -
Route53 unterstützt nicht. AWS PrivateLink Es ist nicht möglich, Route53-DNS-Einträge von einem privaten Amazon-EKS-Cluster aus zu verwalten. Dies hat Auswirkungen auf Kubernetes external-dns
. -
Bei Verwendung der EKS-optimierten AMI sollten Sie den
ec2-Endpunkt in der obigen Tabelle aktivieren. Alternativ können Sie den Knoten-DNS-Namen manuell festlegen. Das optimierte AMI verwendet EC2 APIs , um den DNS-Namen des Knotens automatisch festzulegen. -
Sie können den Load AWS Balancer Controller verwenden, um AWS Application Load Balancers (ALB) und Network Load Balancers in Ihrem privaten Cluster bereitzustellen. Beim Bereitstellen sollten Sie Befehlszeilen-Flags
verwenden, um enable-shield,enable-wafundenable-wafv2auf falsch zu setzen. Die Zertifikatserkennungmit Hostnamen aus Eingangsobjekten wird nicht unterstützt. Dies liegt daran, dass der Controller AWS Certificate Manager erreichen muss, der keinen VPC-Schnittstellenendpunkt hat. Der Controller unterstützt Network Load Balancer mit IP-Zielen, die für die Verwendung mit Fargate erforderlich sind. Weitere Informationen erhalten Sie unter Anwendungen und HTTP-Datenverkehr mit Application Load Balancers weiterleiten und Erstellen eines Network Load Balancers.
-
Cluster Autoscaler
wird unterstützt. Stellen Sie beim Bereitstellen von Cluster-Autoscaler-Pods sicher, dass die Befehlszeile --aws-use-static-instance-list=trueenthält. Weitere Informationen finden Sie unter Statische Instanzliste verwendenauf GitHub. Die Worker-Node-VPC muss auch den AWS STS-VPC-Endpunkt und den VPC-Endpunkt für Autoscaling enthalten. -
Einige Container-Softwareprodukte verwenden API-Aufrufe, die auf den AWS Marketplace Metering Service zugreifen, um die Nutzung zu überwachen. Private Cluster lassen diese Aufrufe nicht zu, daher können Sie diese Containertypen nicht in privaten Clustern verwenden.
