Concetti di rete per nodi ibridi - Amazon EKS
Concetti di rete per EKS Hybrid NodesVincoli di rete

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Concetti di rete per nodi ibridi

Questa sezione descrive in dettaglio i concetti di rete principali e i vincoli da considerare durante la progettazione della topologia di rete per EKS Hybrid Nodes.

Concetti di rete per EKS Hybrid Nodes

Diagramma di rete di nodi ibridi di alto livello

VPC come hub di rete

Tutto il traffico che supera i limiti del cloud viene instradato attraverso il tuo VPC. Ciò include il traffico tra il piano di controllo (control-plane) EKS oppure i pod eseguiti in AWS che arrivano ai nodi ibridi o ai pod in esecuzione su di essi. Puoi considerare il VPC del cluster come all’hub di rete tra i nodi ibridi e il resto del cluster. Questa architettura offre pieno controllo del traffico e del relativo instradamento, ma ti impone anche la responsabilità di configurare correttamente instradamenti, gruppi di sicurezza e firewall per il VPC.

Dal piano di controllo (control-plane) EKS al VPC

Il piano di controllo (control-plane) EKS collega le interfacce di rete elastiche (ENI) al tuo VPC. Queste ENI gestiscono il traffico da e verso il server API EKS. Durante la configurazione del cluster, controlla il posizionamento delle ENI del piano di controllo (control-plane) EKS, poiché EKS collega queste ultime alle sottoreti passate durante la creazione del cluster.

EKS associa i gruppi di sicurezza alle ENI che EKS collega alle sottoreti. Questi gruppi di sicurezza consentono il traffico da e verso il piano di controllo (control-plane) EKS attraverso le ENI. Ciò è fondamentale per EKS Hybrid Nodes poiché devi consentire il traffico dai nodi ibridi e dai pod in esecuzione su di essi alle ENI del piano di controllo (control-plane) EKS.

Reti di nodi remoti

Le reti di nodi remoti, in particolare i CIDR dei nodi remoti, sono gli intervalli di IP assegnati alle macchine utilizzate come nodi ibridi. Quando esegui il provisioning dei nodi ibridi, questi risiedono nel data center on-premises o nella posizione edge, che è un dominio di rete diverso dal piano di controllo (control-plane) EKS e dal VPC. Ogni nodo ibrido ha uno o più indirizzi IP da un CIDR del nodo remoto distinto dalle sottoreti del tuo VPC.

Il cluster EKS viene configurato con questi CIDR a nodi remoti in modo che EKS riesca a instradare tutto il traffico destinato agli IP dei nodi ibridi attraverso il VPC del cluster, ad esempio le richieste all’API kubelet.

Reti di pod remoti

Le reti di pod remoti sono gli intervalli di IP assegnati ai pod in esecuzione su nodi ibridi. In genere, bisogna configurare la Container Network Interface (CNI) con questi intervalli e la funzionalità di Gestione indirizzi IP (IPAM) della CNI si occupa di assegnare una parte di tali intervalli a ciascun nodo ibrido. Quando crei un pod, la CNI assegna un IP al pod dalla sezione allocata al nodo in cui il pod è stato pianificato.

Puoi configurare il cluster EKS con questi CIDR dei pod remoti in modo che il piano di controllo (control-plane) EKS riesca a instradare tutto il traffico destinato ai pod in esecuzione su nodi ibridi attraverso il VPC del cluster, come la comunicazione con i webhook.

Reti di pod remoti

Dall’ambiente on-premises al VPC

La rete on-premises utilizzata per i nodi ibridi deve essere indirizzata al VPC usato per il cluster EKS. Sono disponibili diverse opzioni di connettività dalla rete ad Amazon VPC per connettere la rete on-premises a un VPC. Inoltre, puoi utilizzare la tua soluzione VPN.

È importante configurare correttamente l’instradamento lato cloud AWS nel VPC e nella rete on-premises, in modo che entrambe le reti instradino il traffico giusto attraverso la connessione per le due reti.

Nel VPC, tutto il traffico diretto alle reti di nodi e pod remoti deve essere instradato attraverso la connessione alla rete on-premises (denominata “gateway”). Se alcune sottoreti hanno tabelle di routing diverse, devi configurare ogni tabella con gli instradamenti per i nodi ibridi e i pod in esecuzione su di essi. Questo vale per le sottoreti a cui sono collegati le ENI del piano di controllo (control-plane) EKS e per le sottoreti che contengono nodi o pod EC2 che devono comunicare con i nodi ibridi.

Nella rete on-premises, devi configurare la rete per consentire il traffico da e verso il VPC del cluster EKS e gli altri servizi AWS richiesti per i nodi ibridi. Il traffico per il cluster EKS attraversa il gateway in entrambe le direzioni.

Vincoli di rete

Rete completamente instradata

Il vincolo principale è che il piano di controllo (control-plane) EKS e tutti i nodi, cloud o ibridi, devono formare una rete completamente instradata. Ciò significa che tutti i nodi devono essere in grado di raggiungersi a vicenda al terzo livello, tramite indirizzo IP.

Il piano di controllo (control-plane) EKS e i nodi cloud sono già raggiungibili a vicenda perché si trovano in una rete piatta (il VPC). I nodi ibridi, tuttavia, si trovano in un dominio di rete diverso. Ecco perché è necessario configurare un routing aggiuntivo nel VPC e nella rete on-premises per instradare il traffico tra i nodi ibridi e il resto del cluster. Se i nodi ibridi sono raggiungibili a vicenda e dal VPC, i nodi ibridi possono trovarsi in un’unica rete piatta o in più reti segmentate.

CIDR dei pod remoti instradabili

Affinché il piano di controllo (control-plane) EKS comunichi con i pod in esecuzione su nodi ibridi (ad esempio, webhook o Metrics Server) o affinché i pod in esecuzione su nodi cloud comunichino con quelli in esecuzione su nodi ibridi (comunicazione est-ovest del carico di lavoro), il CIDR del pod remoto deve essere instradabile dal VPC. Ciò significa che il VPC deve essere in grado di instradare il traffico verso i CIDR dei pod attraverso il gateway verso la rete on-premises e che quest’ultima deve poter instradare il traffico di un pod verso il nodo giusto.

È importante notare la distinzione tra i requisiti di routing dei pod nel VPC e on-premises. Il VPC deve solo sapere che tutto il traffico diretto a un pod remoto deve passare attraverso il gateway. Se disponi di un solo CIDR del pod remoto, è necessario un solo instradamento.

Questo requisito è valido per tutti gli hop della rete on-premises fino al router locale nella stessa sottorete dei nodi ibridi. Questo è l’unico router che deve conoscere la sezione CIDR del pod assegnata a ciascun nodo, assicurandosi che il traffico per un pod specifico venga recapitato al nodo in cui è stato pianificato.

Puoi scegliere di propagare questi instradamenti per i CIDR dei pod on-premises dal router locale alle tabelle di routing del VPC, ma non è necessario. Se i CIDR dei pod on-premises cambiano frequentemente e le tabelle di routing VPC devono essere aggiornate per riflettere le modifiche dei CIDR dei pod, ti consigliamo di propagare i CIDR dei pod on-premises alle tabelle di routing del VPC, ma ciò è raro.

Nota, il vincolo per rendere instradabili i CIDR dei pod on-premises è facoltativo. Se non devi eseguire webhook sui nodi ibridi o disporre di pod su nodi cloud che comunicano con i pod su nodi ibridi, non è necessario configurare il routing per i CIDR dei pod sulla rete on-premises.

Perché i CIDR dei pod on-premises devono essere instradabili con nodi ibridi?

Quando si utilizza EKS con la CNI del VPC per i nodi cloud, quest’ultima assegna gli IP direttamente dal VPC ai pod. Ciò significa che non è necessario alcun routing speciale, poiché sia i pod cloud che il piano di controllo (control-plane) EKS possono raggiungere direttamente gli IP dei Pod.

Quando vengono eseguiti on-premises (e con altre CNI nel cloud), i pod vengono generalmente eseguiti in una rete sovrapposta isolata e la CNI si occupa della distribuzione del traffico tra i pod. Ciò avviene in genere tramite l’incapsulamento: la CNI converte il traffico da pod a pod in traffico da nodo a nodo, occupandosi dell’incapsulamento e del deincapsulamento su entrambe le estremità. In questo modo, non è necessaria alcuna configurazione aggiuntiva sui nodi e sui router.

La rete con nodi ibridi è unica perché presenta una combinazione di entrambe le topologie: il piano di controllo (control-plane) EKS e i nodi cloud (con la CNI del VPC) si aspettano una rete piatta che includa nodi e pod, mentre i pod in esecuzione su nodi ibridi si trovano in una rete sovrapposta utilizzando VXLAN per l’incapsulamento (impostazione predefinita in Cilium). I pod in esecuzione su nodi ibridi possono raggiungere il piano di controllo (control-plane) EKS e i pod in esecuzione su nodi cloud, presupponendo che la rete on-premises possa essere instradata verso il VPC. Tuttavia, senza il routing dei CIDR dei pod sulla rete on-premises, qualsiasi traffico che ritorna a un IP del pod on-premises alla fine verrà interrotto se la rete non sa come raggiungere la rete sovrapposta e indirizzarlo ai nodi corretti.