Use sub-redes privadas para o grupo de nós inicial Topologia de sub-rede personalizada

Configurações de sub-rede

Use sub-redes privadas para o grupo de nós inicial

Se você preferir isolar o grupo de nós inicial da Internet pública, você pode usar o sinalizador. --node-private-networking Quando usada em conjunto com a --ssh-access bandeira, a porta SSH só pode ser acessada de dentro da VPC.

nota

O uso da --node-private-networking bandeira resultará no tráfego de saída para passar pelo gateway NAT usando seu IP elástico. Por outro lado, se os nós estiverem em uma sub-rede pública, o tráfego de saída não passará pelo gateway NAT e, portanto, o tráfego de saída terá o IP de cada nó individual.

Topologia de sub-rede personalizada

eksctlA versão 0.32.0 introduziu mais personalização da topologia de sub-rede com a capacidade de:

Listar várias sub-redes por AZ na configuração de VPC
Especifique sub-redes na configuração do grupo de nós

Nas versões anteriores, as sub-redes personalizadas precisavam ser fornecidas por zona de disponibilidade, o que significava que apenas uma sub-rede por AZ podia ser listada. 0.32.0A partir das chaves de identificação, pode ser arbitrário.


vpc:
  id: "vpc-11111"
  subnets:
    public:
      public-one:                           # arbitrary key
          id: "subnet-0153e560b3129a696"
      public-two:
          id: "subnet-0cc9c5aebe75083fd"
      us-west-2b:                           # or list by AZ
          id: "subnet-018fa0176ba320e45"
    private:
      private-one:
          id: "subnet-0153e560b3129a696"
      private-two:
          id: "subnet-0cc9c5aebe75083fd"

Importante

Se estiver usando o AZ como chave de identificação, o az valor pode ser omitido.

Se estiver usando uma string arbitrária como chave de identificação, como acima, faça o seguinte:

iddeve ser definido (aze cidr opcional)
ou az deve ser definido (cidropcional)

Se um usuário especificar uma sub-rede por AZ sem especificar CIDR e ID, uma sub-rede nessa AZ será escolhida da VPC, arbitrariamente se existirem várias dessas sub-redes.

nota

Uma especificação de sub-rede completa deve ser fornecida, ou seja, ambas public e as private configurações declaradas na especificação VPC.

Os grupos de nós podem ser restritos a sub-redes nomeadas por meio da configuração. Ao especificar sub-redes na configuração do grupo de nós, use a chave de identificação conforme fornecida na especificação da VPC, não o ID da sub-rede. Por exemplo:


vpc:
  id: "vpc-11111"
  subnets:
    public:
      public-one:
          id: "subnet-0153e560b3129a696"
    ... # subnet spec continued

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 2
    subnets:
      - public-one

nota

Somente um dos subnets ou availabilityZones pode ser fornecido na configuração do nodegroup.

Ao colocar grupos de nós dentro de uma sub-rede privada, privateNetworking deve ser definido como true no grupo de nós:


vpc:
  id: "vpc-11111"
  subnets:
    public:
      private-one:
          id: "subnet-0153e560b3129a696"
    ... # subnet spec continued

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 2
    privateNetworking: true
    subnets:
      - private-one

Consulte 24-nodegroup-subnets.yaml no repositório eksctl para ver um exemplo completo de configuração. GitHub

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração da VPC

Acesso ao cluster