Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nodi ibridi EKS

Introduzione

AWS EKS introduce Hybrid Nodes, una nuova funzionalità che consente di eseguire applicazioni locali e periferiche su un'infrastruttura gestita dal cliente con gli stessi cluster, caratteristiche e strumenti AWS EKS che usi nel cloud AWS. AWS EKS Hybird Nodes offre un'esperienza Kubernetes gestita da AWS negli ambienti locali per consentire ai clienti di semplificare e standardizzare il modo in cui esegui le applicazioni in ambienti locali, edge e cloud. Scopri di più su EKS Hybrid Nodes.

Per facilitare il supporto di questa funzionalità, eksctl introduce un nuovo campo di primo livello chiamato. remoteNetworkConfig Qualsiasi configurazione relativa ai nodi ibridi deve essere impostata tramite questo campo, come parte del file di configurazione; non ci sono flag CLI equivalenti. Inoltre, all'avvio, qualsiasi configurazione di rete remota può essere configurata solo durante la creazione del cluster e non può essere aggiornata in seguito. Ciò significa che non sarà possibile aggiornare i cluster esistenti per utilizzare i nodi ibridi.

La remoteNetworkConfig sezione del file di configurazione consente di configurare le due aree principali quando si tratta di unire nodi remoti ai cluster EKS: rete e credenziali.

Rete

EKS Hybrid Nodes è flessibile e si adatta al metodo preferito per connettere le reti locali a un VPC AWS. Sono disponibili diverse opzioni documentate, tra cui AWS Site-to-Site VPN e AWS Direct Connect, e puoi scegliere il metodo più adatto al tuo caso d'uso. Nella maggior parte dei metodi che puoi scegliere, il tuo VPC sarà collegato a un gateway privato virtuale (VGW) o a un gateway di transito (TGW). Se ti affidi a eksctl per creare un VPC per te, eksctl configurerà anche, nell'ambito del tuo VPC, tutti i prerequisiti relativi alla rete per facilitare la comunicazione tra il tuo piano di controllo EKS e i nodi remoti, ad es.

File di configurazione di esempio:

remoteNetworkConfig:
  vpcGatewayID: tgw-xxxx # either VGW or TGW to be attached to your VPC
  remoteNodeNetworks:
    # eksctl will create, behind the scenes, SG rules, routes, and a VPC gateway attachment,
    # to facilitate communication between remote network(s) and EKS control plane, via the attached gateway
    - cidrs: ["10.80.146.0/24"]
  remotePodNetworks:
    - cidrs: ["10.86.30.0/23"]

Se il tuo metodo di connettività preferito non prevede l'utilizzo di un TGW o VGW, non devi fare affidamento su eksctl per creare il VPC per te, ma fornirne invece uno preesistente. In una nota correlata, se utilizzi un VPC preesistente, eksctl non apporterà alcuna modifica ad esso e la garanzia che tutti i requisiti di rete siano soddisfatti è sotto la tua responsabilità.

Credenziali

I nodi ibridi EKS utilizzano AWS IAM Authenticator e credenziali IAM temporanee fornite da AWS SSM o AWS IAM Roles Anywhere per l'autenticazione con il cluster EKS. Analogamente ai gruppi di nodi autogestiti, se non diversamente specificato, eksctl creerà per te un ruolo IAM di Hybrid Nodes che verrà assunto dai nodi remoti. Inoltre, quando si utilizza IAM Roles Anywhere come fornitore di credenziali, eksctl configurerà un profilo e tratterà un ancoraggio basato su un determinato pacchetto di autorità di certificazione (), ad es. iam.caBundleCert

remoteNetworkConfig:
  iam:
    # the provider for temporary IAM credentials. Default is SSM.
    provider: IRA
    # the certificate authority bundle that serves as the root of trust,
    # used to validate the X.509 certificates provided by your nodes.
    # can only be set when provider is IAMRolesAnywhere.
    caBundleCert: xxxx

L'ARN del ruolo Hybrid Nodes creato da eksctl è necessario più avanti nel processo di unione dei nodi remoti al clusternodeadm, NodeConfig per la configurazione e la creazione di attivazioni (se si utilizza SSM). Per recuperarlo, usa:

aws cloudformation describe-stacks \
  --stack-name eksctl-<CLUSTER_NAME>-cluster \
  --query 'Stacks[].Outputs[?OutputKey==`RemoteNodesRoleARN`].[OutputValue]' \
  --output text

Allo stesso modo, se usi IAM Roles Anywhere, puoi recuperare l'ARN del trust anchor e del profilo anywhere creato da eksctl, modificando il comando precedente sostituendolo con o, rispettivamente. RemoteNodesRoleARN RemoteNodesTrustAnchorARN RemoteNodesAnywhereProfileARN

Se disponi di una configurazione IAM Roles Anywhere preesistente o stai utilizzando SSM, puoi fornire un ruolo IAM per i nodi ibridi tramite. remoteNetworkConfig.iam.roleARN Tieni presente che in questo scenario, eksctl non creerà per te il profilo trust anchor e anywhere. Ad es.

remoteNetworkConfig:
  iam:
    roleARN: arn:aws:iam::000011112222:role/HybridNodesRole

Per mappare il ruolo a un'identità Kubernetes e autorizzare i nodi remoti a unirsi al cluster EKS, eksctl crea una voce di accesso con Hybrid Nodes IAM Role come ARN principale e di tipo. ad es. HYBRID_LINUX

eksctl get accessentry --cluster my-cluster --principal-arn arn:aws:iam::000011112222:role/eksctl-my-cluster-clust-HybridNodesSSMRole-XiIAg0d29PkO --output json
[
    {
        "principalARN": "arn:aws:iam::000011112222:role/eksctl-my-cluster-clust-HybridNodesSSMRole-XiIAg0d29PkO",
        "kubernetesGroups": [
            "system:nodes"
        ]
    }
]

Supporto per componenti aggiuntivi

Container Networking Interface (CNI): la CNI di AWS VPC non può essere utilizzata con nodi ibridi. Le funzionalità principali di Cilium e Calico sono supportate per l'uso con nodi ibridi. Puoi gestire il tuo CNI con strumenti di tua scelta come Helm. Per ulteriori informazioni, consulta Configurare un CNI per nodi ibridi.

Ulteriori riferimenti