Utiliser des sous-réseaux privés pour le groupe de nœuds initial Topologie de sous-réseau personnalisée

Paramètres du sous-réseau

Utiliser des sous-réseaux privés pour le groupe de nœuds initial

Si vous préférez isoler le groupe de nœuds initial de l'Internet public, vous pouvez utiliser le --node-private-networking drapeau. Lorsqu'il est utilisé conjointement avec le --ssh-access drapeau, le port SSH n'est accessible que depuis le VPC.

Note

L'utilisation de l'--node-private-networkingindicateur fera passer le trafic sortant par la passerelle NAT à l'aide de son adresse IP élastique. D'autre part, si les nœuds se trouvent dans un sous-réseau public, le trafic sortant ne passera pas par la passerelle NAT et, par conséquent, le trafic sortant possède l'adresse IP de chaque nœud individuel.

Topologie de sous-réseau personnalisée

eksctlla version 0.32.0 a introduit une personnalisation supplémentaire de la topologie des sous-réseaux avec la possibilité de :

Répertorier plusieurs sous-réseaux par AZ dans la configuration VPC
Spécifier les sous-réseaux dans la configuration des groupes de nœuds

Dans les versions antérieures, les sous-réseaux personnalisés devaient être fournis par zone de disponibilité, ce qui signifie qu'un seul sous-réseau par AZ pouvait être répertorié. À partir de 0.32.0 l'identification, les clés peuvent être arbitraires.


vpc:
  id: "vpc-11111"
  subnets:
    public:
      public-one:                           # arbitrary key
          id: "subnet-0153e560b3129a696"
      public-two:
          id: "subnet-0cc9c5aebe75083fd"
      us-west-2b:                           # or list by AZ
          id: "subnet-018fa0176ba320e45"
    private:
      private-one:
          id: "subnet-0153e560b3129a696"
      private-two:
          id: "subnet-0cc9c5aebe75083fd"

Important

Si vous utilisez l'AZ comme clé d'identification, la az valeur peut être omise.

Si vous utilisez une chaîne arbitraire comme clé d'identification, comme ci-dessus, soit :

iddoit être défini (azet cidr facultatif)
ou az doit être défini (cidrfacultatif)

Si un utilisateur spécifie un sous-réseau par AZ sans spécifier de CIDR ni d'ID, un sous-réseau de cette AZ sera choisi dans le VPC, arbitrairement s'il existe plusieurs sous-réseaux de ce type.

Note

Une spécification de sous-réseau complète doit être fournie, c'est-à-dire à la fois public et les private configurations déclarées dans la spécification du VPC.

Les groupes de nœuds peuvent être limités à des sous-réseaux nommés via la configuration. Lorsque vous spécifiez des sous-réseaux lors de la configuration du groupe de nœuds, utilisez la clé d'identification indiquée dans la spécification du VPC et non l'identifiant du sous-réseau. Par exemple :


vpc:
  id: "vpc-11111"
  subnets:
    public:
      public-one:
          id: "subnet-0153e560b3129a696"
    ... # subnet spec continued

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 2
    subnets:
      - public-one

Note

Un seul des subnets ou availabilityZones peut être fourni dans la configuration du groupe de nœuds.

Lorsque vous placez des groupes de nœuds dans un sous-réseau privé, vous privateNetworking devez définir la valeur true sur le groupe de nœuds :


vpc:
  id: "vpc-11111"
  subnets:
    public:
      private-one:
          id: "subnet-0153e560b3129a696"
    ... # subnet spec continued

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 2
    privateNetworking: true
    subnets:
      - private-one

Consultez 24-nodegroup-subnets.yaml dans le dépôt eksctl pour un exemple de configuration complet. GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

VPC Configuration

Accès au cluster