Esecuzione del routing del traffico TCP e UDP con Network Load Balancer - Amazon EKS
PrerequisitiConsiderazioniCreazione di un Network Load Balancer(Facoltativo) Implementare un'applicazione di esempio

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione del routing del traffico TCP e UDP con Network Load Balancer

Nota

Novità: la modalità automatica di Amazon EKS automatizza le attività di routine per il bilanciamento del carico. Per ulteriori informazioni, consulta:

Il traffico di rete è bilanciato al carico L4 del modello OSI. Per bilanciare il carico del traffico delle applicazioniL7, distribuisci un Kubernetesingress, che fornisce un Application Load AWS Balancer. Per ulteriori informazioni, consulta Instradare il traffico di applicazioni e HTTP con Application Load Balancer. Per ulteriori informazioni sulle differenze tra i due tipi di bilanciamento del carico, consulta le funzionalità di Elastic Load Balancing sul AWS sito Web.

Quando crei un Kubernetes Service di tipo KubernetesLoadBalancer, il controller di bilanciamento del carico del provider AWS cloud crea AWSClassic Load Balancer per impostazione predefinita, ma può anche creare Network Load Balancer. AWS Questo controller in futuro riceverà solo correzioni di bug critici. Per ulteriori informazioni sull'utilizzo del load balancer del provider AWS cloud, consulta il controller di bilanciamento del carico del provider AWS cloud nella documentazione di Kubernetes. Il suo utilizzo non è descritto in questo argomento.

Ti consigliamo di utilizzare una versione 2.7.2 o successiva del AWS Load Balancer Controller anziché il controller di bilanciamento del carico del provider AWS cloud. Il AWS Load Balancer Controller crea AWS Network Load Balancer, ma non crea AWS Classic Load Balancer. Il resto di questo argomento riguarda l'utilizzo del AWS Load Balancer Controller.

Un AWS Network Load Balancer può bilanciare il carico del traffico di rete su Pods distribuiti su destinazioni IP e istanze EC2 Amazon, su destinazioni IP AWS Fargate o su nodi ibridi Amazon EKS come destinazioni IP. Per ulteriori informazioni, vedere AWS Load Balancer Controller su. GitHub

Prerequisiti

Prima di poter bilanciare il carico del traffico di rete utilizzando il AWS Load Balancer Controller, è necessario soddisfare i seguenti requisiti.

  • Avere un cluster esistente. Se non si dispone di un cluster esistente, consultare Nozioni di base su Amazon EKS. Se è necessario aggiornare la versione di un cluster esistente, vedere Aggiornamento del cluster esistente alla nuova versione di Kubernetes.

  • Implementa il AWS Load Balancer Controller sul tuo cluster. Per ulteriori informazioni, consulta Indirizza il traffico Internet con AWS Load Balancer Controller. Consigliamo la versione 2.7.2 o successiva.

  • Disporre di almeno una sottorete. Se si trovano più sottoreti con tag in una zona di disponibilità, il controller sceglie la sottorete il cui ID sottorete viene prima in ordine lessicografico. La sottorete deve avere a disposizione almeno otto indirizzi IP.

  • Se utilizzi la versione AWS Load Balancer Controller 2.1.1 o precedente, le sottoreti devono essere etichettate come segue. Se si utilizza la versione 2.1.2 o successiva, questo tag è facoltativo. Potresti voler etichettare una sottorete se hai più cluster in esecuzione nello stesso VPC o più AWS servizi che condividono sottoreti in un VPC e desideri un maggiore controllo su dove vengono forniti i load balancer per ogni cluster. Se specifichi esplicitamente la sottorete IDs come annotazione su un oggetto servizio, Kubernetes e il Load AWS Balancer Controller utilizzano tali sottoreti direttamente per creare il load balancer. L’assegnazione di tag delle sottoreti non è obbligatoria se si sceglie di utilizzare questo metodo per il provisioning dei bilanciatori del carico ed è possibile ignorare i seguenti requisiti di assegnazione di tag delle sottoreti pubbliche e private. Sostituisci my-cluster con il nome del cluster.

    • Chiave: kubernetes.io/cluster/<my-cluster>

    • Valore: shared o owned

  • Le sottoreti pubbliche e private devono soddisfare i seguenti requisiti, a meno che non specifichi esplicitamente subnet come annotazione su un servizio o un oggetto di ingresso. IDs Se esegui il provisioning dei load balancer specificando esplicitamente la sottorete IDs come annotazione su un servizio o un oggetto di ingresso, Kubernetes e il Load Balancer Controller utilizzano tali sottoreti direttamente per creare il AWS load balancer e i seguenti tag non sono necessari.

    • Sottoreti private: deve essere taggato nel seguente formato. In questo modo Kubernetes e Load Balancer Controller sanno che le sottoreti possono essere utilizzate per bilanciatori di AWS carico interni. Se utilizzi eksctl o un AWS AWS CloudFormation modello Amazon EKS per creare il tuo VPC dopo il 26 marzo 2020, le sottoreti vengono etichettate in modo appropriato al momento della creazione. Per ulteriori informazioni sui modelli AWS AWS CloudFormation VPC Amazon EKS, vedere Creazione di un Amazon VPC per il cluster Amazon EKS..

      • Chiave: kubernetes.io/role/internal-elb

      • Valore: 1

    • Sottoreti pubbliche: deve essere taggato nel seguente formato. In questo modo Kubernetes sa come utilizzare solo quelle sottoreti per bilanciatori di carico esterni invece di scegliere una sottorete pubblica in ogni zona di disponibilità (in base all'ordine lessicografico della sottorete). IDs Se utilizzi eksctl o un AWS CloudFormation modello Amazon EKS per creare il tuo VPC dopo il 26 marzo 2020, le sottoreti vengono etichettate in modo appropriato al momento della creazione. Per ulteriori informazioni sui modelli AWS CloudFormation VPC di Amazon EKS, consulta. Creazione di un Amazon VPC per il cluster Amazon EKS.

      • Chiave: kubernetes.io/role/elb

      • Valore: 1

    Se i tag del ruolo della sottorete non vengono aggiunti in modo esplicito, il controller del servizio Kubernetes esamina la tabella di routing delle sottoreti VPC del cluster per determinare se la sottorete è privata o pubblica. Si consiglia di non fare affidamento su questo comportamento e di aggiungere esplicitamente i tag di ruolo pubblici o privati. Il AWS Load Balancer Controller non esamina le tabelle delle rotte e richiede la presenza dei tag privati e pubblici per una corretta individuazione automatica.

Considerazioni

  • La configurazione del load balancer è controllata da annotazioni che vengono aggiunte al manifest del servizio. Le annotazioni del servizio sono diverse quando si utilizza il AWS Load Balancer Controller rispetto a quando si utilizza AWS il controller di bilanciamento del carico del provider cloud. Assicurati di controllare le annotazioni per il AWS Load Balancer Controller prima di distribuire i servizi.

  • Quando si utilizza il plug-in Amazon VPC CNI per Kubernetes, il Load AWS Balancer Controller può bilanciare il carico su destinazioni IP o istanze EC2 Amazon e destinazioni IP Fargate. Quando utilizzi plug-in CNI compatibili alternativi, il controller può bilanciare il carico solo per le destinazioni di istanza, a meno che non si stia bilanciando il carico su Amazon EKS Hybrid Nodes. Per i nodi ibridi, il controller può bilanciare il carico delle destinazioni IP. Per ulteriori informazioni sui tipi di destinazioni dei Network Load Balancer, consultare Target type (Tipo di destinazione) nella Guida per l'utente di Network Load Balancer.

  • Se si desidera aggiungere tag al bilanciatore del carico quando o dopo la sua creazione, aggiungere la seguente annotazione nella specifica del servizio. Per ulteriori informazioni, consulta AWS Resource Tags nella documentazione del AWS Load Balancer Controller.

    service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags

  • È possibile assegnare Indirizzi IP elastici al Network Load Balancer aggiungendo la seguente annotazione. Sostituisci i valori Allocation IDs di esempio con i tuoi indirizzi IP elastici. Il numero di Allocation IDs deve corrispondere al numero di sottoreti utilizzate per il load balancer. Per ulteriori informazioni, consultare la documentazione sul Controller del load balancer AWS.

    service.beta.kubernetes.io/aws-load-balancer-eip-allocations: eipalloc-xxxxxxxxxxxxxxxxx,eipalloc-yyyyyyyyyyyyyyyyy

  • Amazon EKS aggiunge una regola in entrata al gruppo di sicurezza del nodo per il traffico client e una regola per ogni sottorete del bilanciatore del carico nel VPC per i controlli dell’integrità per ogni Network Load Balancer creato. L'implementazione di un servizio di tipo LoadBalancer può non riuscire se Amazon EKS tenta di creare regole che superano la quota per il numero massimo di regole consentite per un gruppo di sicurezza. Per ulteriori informazioni, consultare Gruppi di sicurezza in Quote di Amazon VPC nella Guida per l'utente di Amazon VPC. Considerare le opzioni seguenti per ridurre al minimo le possibilità di superare il numero massimo di regole per un gruppo di sicurezza:

    • Richiedere un aumento delle regole per ogni quota di gruppo di sicurezza. Per ulteriori informazioni, consultare Richiesta di un aumento di quota nella Guida per l'utente di Service Quotas.

    • Al posto di destinazioni di istanza, utilizzare destinazioni IP. Con le destinazioni IP, è possibile condividere le regole per le stesse porte di destinazione. È possibile specificare manualmente le sottoreti del load balancer con un'annotazione. Per ulteriori informazioni, consulta Annotations on GitHub.

    • Utilizzare un ingresso invece di un servizio di tipo LoadBalancer per inviare traffico al tuo servizio. L' AWS Application Load Balancer richiede meno regole rispetto ai Network Load Balancer. È possibile condividere un ALB su più ingressi. Per ulteriori informazioni, consulta Instradare il traffico di applicazioni e HTTP con Application Load Balancer. Non è possibile condividere un Network Load Balancer su più servizi.

    • Implementa i cluster su più account.

  • Se i pod vengono eseguiti su Windows in un cluster Amazon EKS, un singolo servizio con un bilanciatore del carico può supportare fino a 1024 pod back-end. Ogni pod ha il proprio indirizzo IP univoco.

  • Consigliamo di creare nuovi Network Load Balancer solo con il Load AWS Balancer Controller. Il tentativo di sostituire i Network Load Balancer esistenti creati con il controller di bilanciamento del carico del provider di servizi AWS cloud può comportare la creazione di più Network Load Balancer che potrebbero causare tempi di inattività delle applicazioni.

Creazione di un Network Load Balancer

È possibile creare un Network Load Balancer con destinazioni IP o istanza.

Creare un Network Load Balancer: destinazioni IP

  • Puoi utilizzare destinazioni IP con pod distribuiti su EC2 nodi Amazon, Fargate o nodi ibridi Amazon EKS. Il servizio Kubernetes deve essere creato come tipo LoadBalancer. Per ulteriori informazioni, consulta Type LoadBalancer nella documentazione di Kubernetes.

    Per creare un load balancer che utilizzi destinazioni IP, aggiungere le seguenti annotazioni a un manifesto del servizio e implementare il servizio. Il external valore per aws-load-balancer-type è ciò che fa sì che il AWS Load Balancer Controller, anziché il controller del load balancer del provider AWS cloud, crei il Network Load Balancer. É possibile visualizzare un manifesto del servizio di esempio con le annotazioni.

    service.beta.kubernetes.io/aws-load-balancer-type: "external"
service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip"
    Nota

    Se si sta eseguendo il bilanciamento del carico sui pod IPv6, aggiungere la seguente annotazione. È possibile bilanciare il carico solo su destinazioni da IPv6 a IP, non su destinazioni di istanza. Senza questa annotazione, il bilanciamento del carico è su IPv4.

    service.beta.kubernetes.io/aws-load-balancer-ip-address-type: dualstack

    Per impostazione predefinita, i Network Load Balancer vengono creati con internal aws-load-balancer-scheme. È possibile avviare i Network Load Balancer in qualsiasi sottorete del VPC del cluster, incluse le sottoreti non specificate al momento della creazione del cluster.

    Kubernetes esamina la tabella di routing delle sottoreti per stabilire se sono pubbliche o private. Le sottoreti pubbliche hanno una route direttamente a Internet tramite un gateway Internet; non vale altrettanto per le sottoreti private.

    Se desideri creare un Network Load Balancer in una sottorete pubblica per bilanciare il carico sui nodi Amazon EC2 (Fargate può essere solo privato), internet-facing specificalo con la seguente annotazione:

    service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing"
    Nota

    Al fine di garantire la compatibilità con le versioni precedenti, l'annotazione service.beta.kubernetes.io/aws-load-balancer-type: "nlb-ip" è ancora supportata. Consigliamo, tuttavia, di utilizzare le annotazioni precedenti per i load balancer anziché service.beta.kubernetes.io/aws-load-balancer-type: "nlb-ip".

    Importante

    Non modificare le annotazioni dopo aver creato il servizio. Se è necessario modificarlo, eliminare l'oggetto di servizio e crearlo nuovamente con il valore desiderato per questa annotazione.

Creare un Network Load Balancer: destinazioni di istanza

  • Il controller di bilanciamento del carico del provider AWS cloud crea Network Load Balancer solo con destinazioni di istanza. La versione 2.2.0 e le successive del AWS Load Balancer Controller creano anche Network Load Balancer con destinazioni di istanza. Ti consigliamo di utilizzarlo, anziché il controller di bilanciamento del carico del provider AWS cloud, per creare nuovi Network Load Balancer. Puoi utilizzare gli obiettivi delle istanze Network Load Balancer con i Pod distribuiti sui nodi EC2 Amazon, ma non su Fargate. Per bilanciare il carico del traffico di rete tra i pod implementati su Fargate, è necessario utilizzare destinazioni IP.

    Per implementare un Network Load Balancer in una sottorete privata, la specifica del servizio deve avere le seguenti annotazioni. É possibile visualizzare un manifesto del servizio di esempio con le annotazioni. Il external valore per aws-load-balancer-type è ciò che fa sì che il AWS Load Balancer Controller, anziché il controller del load balancer del provider AWS cloud, crei il Network Load Balancer.

    service.beta.kubernetes.io/aws-load-balancer-type: "external"
service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "instance"

    Per impostazione predefinita, i Network Load Balancer vengono creati con internal aws-load-balancer-scheme. Per i Network Load Balancer interni, il cluster Amazon EKS deve essere configurato per l'utilizzo di almeno una sottorete privata nel VPC. Kubernetes esamina la tabella di routing delle sottoreti per stabilire se sono pubbliche o private. Le sottoreti pubbliche hanno una route direttamente a Internet tramite un gateway Internet; non vale altrettanto per le sottoreti private.

    Se desideri creare un Network Load Balancer in una sottorete pubblica per bilanciare il carico EC2 sui nodi Amazon, specificalo internet-facing con la seguente annotazione:

    service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing"
    Importante

    Non modificare le annotazioni dopo aver creato il servizio. Se è necessario modificarlo, eliminare l'oggetto di servizio e crearlo nuovamente con il valore desiderato per questa annotazione.

(Facoltativo) Implementare un'applicazione di esempio

  • Almeno una sottorete pubblica o privata nel VPC del cluster.

  • Implementa il AWS Load Balancer Controller sul tuo cluster. Per ulteriori informazioni, consulta Indirizza il traffico Internet con AWS Load Balancer Controller. Consigliamo la versione 2.7.2 o successiva.

    1. Se si sta eseguendo l’implementazione su Fargate, assicurarsi di avere una sottorete privata disponibile nel VPC e di creare un profilo Fargate. Se non si sta eseguendo l’implementazione su Fargate, salta questo passaggio. Puoi creare il profilo eseguendo il seguente comando o nella Console di gestione AWS utilizzando gli stessi valori per name e namespace che si trovano nel comando. Sostituire i valori di esempio con i propri valori.

      eksctl create fargateprofile \
    --cluster my-cluster \
    --region region-code \
    --name nlb-sample-app \
    --namespace nlb-sample-app

    2. Implementa un'applicazione di esempio.

      1. Crea un namespace per l'applicazione.

        kubectl create namespace nlb-sample-app

      2. Salva nel computer i seguenti contenuti in un file denominato sample-deployment.yaml.

        apiVersion: apps/v1
kind: Deployment
metadata:
  name: nlb-sample-app
  namespace: nlb-sample-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
        - name: nginx
          image: public.ecr.aws/nginx/nginx:1.23
          ports:
            - name: tcp
              containerPort: 80

      3. Applica il file manifesto al cluster.

        kubectl apply -f sample-deployment.yaml

    3. Crea un servizio con un Network Load Balancer connesso a Internet che bilanci il carico sulle destinazioni IP.

      1. Salva sul computer i seguenti contenuti in un file denominato sample-service.yaml. Se si sta eseguendo l’implementazione sui nodi Fargate, rimuovere la riga service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing.

        apiVersion: v1
kind: Service
metadata:
  name: nlb-sample-service
  namespace: nlb-sample-app
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: external
    service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip
    service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing
spec:
  ports:
    - port: 80
      targetPort: 80
      protocol: TCP
  type: LoadBalancer
  selector:
    app: nginx

      2. Applica il file manifesto al cluster.

        kubectl apply -f sample-service.yaml

    4. Verifica che il servizio sia stato distribuito.

      kubectl get svc nlb-sample-service -n nlb-sample-app

      Di seguito viene riportato un output di esempio.

      NAME            TYPE           CLUSTER-IP         EXTERNAL-IP                                                                    PORT(S)        AGE
sample-service  LoadBalancer   10.100.240.137   k8s-nlbsampl-nlbsampl-xxxxxxxxxx-xxxxxxxxxxxxxxxx.elb.region-code.amazonaws.com  80:32400/TCP   16h
      Nota

      I valori di 10.100.240.137 e xxxxxxxxxx - xxxxxxxxxxxxxxxx saranno diversi dall'output di esempio (saranno univoci per il sistema di bilanciamento del carico) e us-west-2 potrebbero essere diversi per te, a seconda della AWS regione in cui si trova il cluster.

    5. Apri Amazon EC2 Console di gestione AWS. Seleziona Target Groups (Gruppi di destinazioni) in Load Balancing (Bilanciamento del carico) nel pannello di navigazione a sinistra. Nella colonna Nome, seleziona il nome del gruppo di destinazione in cui il valore nella colonna bilanciatore del carico corrisponde al nome nella colonna EXTERNAL-IP dell’output nel passaggio precedente. Ad esempio, se l’output era uguale all’output indicato sopra sarà necessario selezionare il gruppo di destinazione denominato k8s-default-samplese-xxxxxxxxxx . Target type (Tipo di destinazione) è IP perché è stato specificato nel manifesto del servizio di esempio.

    6. Selezionare il proprio Gruppo di destinazione e poi scegliere la scheda Destinazioni. In Destinazioni registrate, verranno visualizzati tre indirizzi IP delle tre repliche implementate in un passaggio precedente. Prima di continuare, attendere fino a quando lo stato di tutti gli obiettivi è Integro. Potrebbero passare diversi minuti prima che tutti gli obiettivi siano healthy. Gli obiettivi potrebbero essere in uno stato unhealthy prima di passare a uno stato healthy.

    7. Invia il traffico al servizio sostituendo xxxxxxxxxx-xxxxxxxxxxxxxxxx e us-west-2 con i valori restituiti nell'output di un operazione precedente per EXTERNAL-IP. Se hai eseguito l’implementazione a una sottorete privata, devi visualizzare la pagina da un dispositivo all’interno del VPC, ad esempio un host bastione. Per ulteriori informazioni, consulta Bastion host Linux in AWS.

      curl k8s-default-samplese-xxxxxxxxxx-xxxxxxxxxxxxxxxx.elb.region-code.amazonaws.com

      Di seguito viene riportato un output di esempio.

      <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
[...]

    8. Al termine dell’implementazione, del servizio e del namespace esemplificativi, rimuoverli.

      kubectl delete namespace nlb-sample-app