Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik untuk Jaringan

Sangat penting untuk memahami jaringan Kubernetes untuk mengoperasikan klaster dan aplikasi Anda secara efisien. Jaringan Pod, juga disebut jaringan cluster, adalah pusat dari jaringan Kubernetes. Kubernetes mendukung plugin Container Network Interface (CNI) untuk jaringan cluster.

Amazon EKS secara resmi mendukung plugin Amazon Virtual Private Cloud (VPC) CNI untuk mengimplementasikan jaringan Kubernetes Pod. VPC CNI menyediakan integrasi asli dengan AWS VPC dan bekerja dalam mode underlay. Dalam mode underlay, Pod dan host berada di lapisan jaringan yang sama dan berbagi namespace jaringan. Alamat IP Pod konsisten dari perspektif cluster dan VPC.

Panduan ini memperkenalkan Amazon VPC Container Network Interface (VPC CNI) dalam konteks jaringan cluster Kubernetes. VPC CNI adalah plugin jaringan default yang didukung oleh EKS dan karenanya menjadi fokus panduan ini. VPC CNI sangat dapat dikonfigurasi untuk mendukung kasus penggunaan yang berbeda. Panduan ini selanjutnya mencakup bagian khusus pada kasus penggunaan VPC CNI yang berbeda, mode operasi, sub-komponen, diikuti oleh rekomendasi.

Amazon EKS menjalankan Kubernetes hulu dan bersertifikat kesesuaian Kubernetes. Meskipun Anda dapat menggunakan plugin CNI alternatif, panduan ini tidak memberikan rekomendasi untuk mengelola CNI alternatif. Periksa dokumentasi EKS Alternate CNI untuk daftar mitra dan sumber daya untuk mengelola CNI alternatif secara efektif.

Model Jaringan Kubernetes

Kubernetes menetapkan persyaratan berikut pada jaringan klaster:

Lihat model jaringan Kubernetes untuk detail tentang apa yang Kubernetes harapkan dari implementasi jaringan yang kompatibel. Gambar berikut menggambarkan hubungan antara namespace jaringan Pod dan namespace jaringan host.

Antarmuka Jaringan Kontainer (CNI)

Kubernetes mendukung spesifikasi dan plugin CNI untuk mengimplementasikan model jaringan Kubernetes. CNI terdiri dari spesifikasi (versi saat ini 1.0.0) dan pustaka untuk menulis plugin untuk mengkonfigurasi antarmuka jaringan dalam wadah, bersama dengan sejumlah plugin yang didukung. CNI hanya menyangkut konektivitas jaringan kontainer dan menghapus sumber daya yang dialokasikan saat wadah dihapus.

Plugin CNI diaktifkan dengan meneruskan kubelet opsi baris perintah. --network-plugin=cni Kubelet membaca sebuah file dari --cni-conf-dir (default/etc/cni/net.d) dan menggunakan konfigurasi CNI dari file tersebut untuk menyiapkan jaringan masing-masing Pod. File konfigurasi CNI harus sesuai dengan spesifikasi CNI (minimum v0.4.0) dan plugin CNI yang diperlukan yang direferensikan oleh konfigurasi harus ada di direktori (default//bin). --cni-bin-dir opt/cni Jika ada beberapa file konfigurasi CNI di direktori, kubelet menggunakan file konfigurasi yang muncul pertama dengan nama dalam urutan leksikografis.

Amazon Virtual Private Cloud (VPC) CNI

AWS-provided VPC CNI adalah add-on jaringan default untuk kluster EKS. Add-on VPC CNI diinstal secara default saat Anda menyediakan kluster EKS. VPC CNI berjalan pada node pekerja Kubernetes. Add-on VPC CNI terdiri dari biner CNI dan plugin IP Address Management (ipamd). CNI memberikan alamat IP dari jaringan VPC ke Pod. Ipamd mengelola AWS Elastic Networking Interfaces (ENIs) ke setiap node Kubernetes dan mempertahankan kumpulan IP yang hangat. VPC CNI menyediakan opsi konfigurasi untuk pra-alokasi ENI dan alamat IP untuk waktu startup Pod yang cepat. Lihat Amazon VPC CNI untuk praktik terbaik manajemen plugin yang direkomendasikan.

Amazon EKS menyarankan Anda menentukan subnet di setidaknya dua zona ketersediaan saat Anda membuat klaster. Amazon VPC CNI mengalokasikan alamat IP ke Pod dari subnet node. Kami sangat menyarankan memeriksa subnet untuk alamat IP yang tersedia. Harap pertimbangkan rekomendasi VPC dan Subnet sebelum menerapkan kluster EKS.

Amazon VPC CNI mengalokasikan kumpulan hangat ENI dan alamat IP sekunder dari subnet yang dilampirkan ke ENI primer node. Mode VPC CNI ini disebut mode IP sekunder. Jumlah alamat IP dan karenanya jumlah Pod (kepadatan Pod) ditentukan oleh jumlah ENI dan alamat IP per ENI (limit) seperti yang didefinisikan oleh jenis instance. Mode sekunder adalah default dan berfungsi dengan baik untuk cluster kecil dengan tipe instance yang lebih kecil. Harap pertimbangkan untuk menggunakan mode awalan jika Anda mengalami tantangan kepadatan pod. Anda juga dapat meningkatkan alamat IP yang tersedia pada node untuk Pod dengan menetapkan awalan ke ENI.

Amazon VPC CNI terintegrasi secara native dengan AWS VPC dan memungkinkan pengguna menerapkan praktik terbaik keamanan dan jaringan AWS VPC yang ada untuk membangun kluster Kubernetes. Ini termasuk kemampuan untuk menggunakan log aliran VPC, kebijakan perutean VPC, dan grup keamanan untuk isolasi lalu lintas jaringan. Secara default, Amazon VPC CNI menerapkan grup keamanan yang terkait dengan ENI primer pada node ke Pod. Pertimbangkan untuk mengaktifkan grup keamanan untuk Pod saat Anda ingin menetapkan aturan jaringan yang berbeda untuk sebuah Pod.

Secara default, VPC CNI memberikan alamat IP ke Pod dari subnet yang ditetapkan ke ENI primer dari sebuah node. Adalah umum untuk mengalami kekurangan alamat IPv4 saat menjalankan cluster besar dengan ribuan beban kerja. AWS VPC memungkinkan Anda memperluas IP yang tersedia dengan menetapkan CIDR sekunder untuk mengatasi kehabisan blok CIDR IPv4. AWS VPC CNI memungkinkan Anda menggunakan rentang CIDR subnet yang berbeda untuk Pod. Fitur VPC CNI ini disebut jaringan khusus. Anda dapat mempertimbangkan untuk menggunakan jaringan khusus untuk digunakan 100.64.0.0/10 dan 198.19.0.0/16 CIDR (CG-NAT) dengan EKS. Ini secara efektif memungkinkan Anda untuk membuat lingkungan di mana Pod tidak lagi menggunakan alamat IP RFC1918 dari VPC Anda.

Jaringan khusus adalah salah satu opsi untuk mengatasi masalah kelelahan alamat IPv4, tetapi memerlukan overhead operasional. Kami merekomendasikan kluster IPv6 melalui jaringan khusus untuk mengatasi masalah ini. Secara khusus, kami sarankan untuk bermigrasi ke kluster IPv6 jika Anda benar-benar kehabisan semua ruang alamat IPv4 yang tersedia untuk VPC Anda. Evaluasi rencana organisasi Anda untuk mendukung IPv6, dan pertimbangkan apakah berinvestasi di IPv6 mungkin memiliki nilai jangka panjang yang lebih besar.

Dukungan EKS untuk IPv6 difokuskan pada pemecahan masalah kelelahan IP yang disebabkan oleh ruang alamat IPv4 yang terbatas. Menanggapi masalah pelanggan dengan kehabisan IPv4, EKS telah memprioritaskan IPv6-only Pod daripada Pod dual-stack. Artinya, Pod mungkin dapat mengakses sumber daya IPv4, tetapi mereka tidak diberi alamat IPv4 dari rentang CIDR VPC. VPC CNI memberikan alamat IPv6 ke Pod dari blok CIDR VPC IPv6 AWS yang dikelola.

Kalkulator Subnet

Proyek ini mencakup Dokumen Excel Kalkulator Subnet. Dokumen kalkulator ini mensimulasikan konsumsi alamat IP dari beban kerja tertentu di bawah opsi konfigurasi ENI yang berbeda, seperti WARM_IP_TARGET dan. WARM_ENI_TARGET Dokumen ini mencakup dua lembar, yang pertama untuk mode ENI Hangat, dan yang kedua untuk mode IP Hangat. Tinjau panduan VPC CNI untuk informasi lebih lanjut tentang mode ini.

Masukan:

Keluaran: