Informations sur le réseau VPC et l’équilibrage de charge dans le mode automatique EKS - Amazon EKS
Fonctionnalité de réseauEquilibrage de charge

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Informations sur le réseau VPC et l’équilibrage de charge dans le mode automatique EKS

Cette rubrique explique comment configurer les fonctionnalités de réseau du cloud privé virtuel (VPC) et d’équilibrage de charge dans le mode automatique EKS. Même si le mode automatique EKS gère automatiquement la plupart des composants réseau, vous pouvez tout de même personnaliser certains aspects de la configuration réseau de votre cluster à l’aide de ressources NodeClass et d’annotations d’équilibreur de charge.

Lorsque vous utilisez le mode automatique EKS, AWS gère la configuration de l’interface réseau des conteneurs (Container Network Interface, CNI) VPC ainsi que le provisionnement des équilibreurs de charge pour votre cluster. Vous pouvez influencer le comportement du réseau en définissant des objets NodeClass et en appliquant des annotations spécifiques à vos ressources Service et Ingress, tout en conservant le modèle opérationnel automatisé fourni par le mode automatique EKS.

Fonctionnalité de réseau

Le mode automatique EKS introduit une nouvelle fonctionnalité de réseau qui gère le réseau des nœuds et des pods. Vous pouvez la configurer en créant un objet Kubernetes NodeClass.

Les options de configuration du précédent AWS VPC CNI ne s’appliquent pas au mode automatique EKS.

Configuration du réseau avec une NodeClass

La ressource NodeClass dans le mode automatique EKS permet de personnaliser certains aspects de la fonctionnalité de réseau. Grâce à NodeClass, vous pouvez définir la sélection des groupes de sécurité, contrôler le placement des nœuds dans les sous-réseaux du VPC ,définir des politiques SNAT, configurer des politiques réseau et activer la journalisation des événements réseau. Cette approche maintient le modèle opérationnel automatisé du mode automatique EKS, tout en offrant une flexibilité de personnalisation du réseau.

Vous pouvez utiliser une NodeClass pour :

  • Sélectionner un groupe de sécurité pour les nœuds

  • Contrôler la manière dont les nœuds sont placés sur les sous-réseaux VPC

  • Définisser la politique SNAT du nœud sur random ou disabled

  • Activer les politiques réseau Kubernetes, notamment :

    • Définir la politique réseau sur Refuser ou Autoriser par défaut

    • Activer la journalisation des événements réseau dans un fichier.

  • Isoler le trafic des pods du trafic des nœuds en attachant des pods à différents sous-réseaux.

Découvrez comment créer une NodeClass Amazon EKS.

Considérations

Le mode automatique EKS prend en charge :

  • Politiques réseau EKS.

  • Les options HostPort et HostNetwork pour les pods Kubernetes.

  • Nœuds et pods dans des sous-réseaux publics ou privés.

  • Mise en cache des requêtes DNS sur le nœud.

Le mode automatique EKS ne prend pas en charge :

  • Groupes de sécurité par pod (SGPP).

  • Réseau personnalisé dans la ENIConfig. Possibilité de placer des pods dans plusieurs sous-réseaux ou de les isoler complètement du trafic des nœuds via Sélection des sous-réseaux pour les pods.

  • Configurations Warm IP, Warm Prefix et Warm ENI.

  • Configuration minimale des cibles IP.

  • Activation ou désactivation de la délégation des préfixes.

  • Autres configurations prises en charge par la version open source d’AWS VPC CNI.

  • Configurations de politique réseau telles que la personnalisation du temporisateur Conntrack (la valeur par défaut est 300 s).

  • Exportation des journaux d’événements réseau vers CloudWatch.

Gestion des ressources réseau

Le mode automatique EKS gère la délégation de préfixes, l’attribution des adresses IP et la gestion des interfaces réseau en surveillant les ressources NodeClass pour appliquer les configurations réseau. Le service exécute automatiquement plusieurs opérations essentielles :

Délégation de préfixes

Le mode automatique EKS provisionne des préfixes IPv4 /28 sur l’interface réseau principale des nœuds et maintient un groupe de ressources préchauffé dont la taille s’ajuste automatiquement en fonction du nombre de pods planifiés. Lorsque cela est nécessaire, le service provisionne des interfaces réseau secondaires dotées des mêmes groupes de sécurité que l’interface principale du sous-réseau du nœud. Si aucun préfixe n’est disponible dans le sous-réseau, le service revient à l’utilisation d’adresses IPv4 secondaires.

Gestion de la stabilisation

Le service met en œuvre un groupe de stabilisation pour les préfixes ou adresses IPv4 secondaires qui ne sont plus utilisés. Une fois le temps de stabilisation expiré, ces ressources sont renvoyées au VPC. Cependant, si des pods réutilisent ces ressources pendant le temps de stabilisation, elles sont restaurées à partir du groupe de stabilisation.

Prise en charge d’IPv6

Pour les clusters IPv6, le mode automatique EKS provisionne un préfixe IPv6 /80 par nœud sur l’interface réseau principale.

Le service assure également une gestion et une récupération de mémoire appropriées de toutes les interfaces réseau.

Equilibrage de charge

Vous configurez les Elastic Load Balancers AWS provisionnés par le mode automatique EKS à l’aide d’annotations sur les ressources Service et Ingress.

Pour plus d’informations, consultez Création d’une IngressClass pour configurer un équilibreur de charge Application Load Balancer ou Utilisation des annotations de service pour configurer les équilibreurs de charge Network Load Balancer.

Considérations relatives à l’équilibrage de charge avec le mode automatique EKS

  • Le mode de ciblage par défaut est le mode IP, et non le mode instance.

  • Le mode automatique EKS prend uniquement en charge le mode groupe de sécurité pour les équilibreurs de charge réseau Network Load Balancer.

  • AWS ne prend pas en charge la migration des équilibreurs de charge du contrôleur d’équilibreur de charge autogéré AWS vers la gestion par le mode automatique EKS.

  • Le champ networking.ingress.ipBlock dans la spécification TargetGroupBinding n’est pas pris en charge.

  • Si vos composants master utilisent des groupes de sécurité personnalisés (et non ceux suivant le modèle de nommage eks-cluster-sg- ), le rôle de votre cluster doit disposer d’autorisations IAM supplémentaires. La politique gérée par EKS par défaut permet uniquement à EKS de modifier les groupes de sécurité nommés eks-cluster-sg-. Sans l’autorisation de modifier vos groupes de sécurité personnalisés, EKS ne peut pas ajouter les règles d’entrée requises pour permettre au trafic ALB/NLB d’atteindre vos pods.