協助改進此頁面

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

適用於 Amazon EKS 叢集的替代 CNI 外掛程式

Kubernetes 專用 Amazon VPC CNI 外掛程式是具有 Amazon EC2 節點的 Amazon EKS 唯一支援的 CNI 外掛程式。Amazon EKS 支援 Cilium 與 Calico 的核心功能，可用於 Amazon EKS 混合節點。Amazon EKS 會執行上游 Kubernetes，因此您可以將替代相容 CNI 外掛程式安裝到叢集中的 Amazon EC2 節點。如果您的叢集中有 Fargate 節點，則表示 Kubernetes 專用 Amazon VPC CNI 外掛程式已在 Fargate 節點上。這是唯一可以與 Fargate 節點搭配使用的 CNI 外掛程式。嘗試在 Fargate 節點上安裝替代 CNI 外掛程式失敗。

如果您打算在 Amazon EC2 節點中使用替代 CNI 外掛程式，那麼建議您取得外掛程式的商業支援，或擁有內部專業知識來排除問題，並為 CNI 外掛程式專案提供修正方法。

Amazon EKS 會持續與提供替代相容 CNI 外掛程式支援的合作夥伴網路建立關係。請參閱下列合作夥伴文件，獲取有關版本、資格和所執行測試的詳細資訊。

Amazon EKS 旨在為您提供各種選擇來涵蓋所有使用案例。

替代相容網路政策外掛程式

Calico 是廣泛採用的容器聯網與安全性解決方案。在 EKS 上使用 Calico 可為您的 EKS 叢集提供完全符合標準的網路政策強制執行。此外，您可選擇使用 Calico 的聯網功能，從而節省底層 VPC 的 IP 位址。Calico Cloud 增強了 Calico Open Source 的功能，提供進階的安全性與可觀測性能力。

具有關聯安全群組的 Pod 的流量不受 Calico 網路政策強制執行的約束，且僅限於 Amazon VPC 安全群組強制執行。

若您使用 Calico 網路政策強制執行，建議您將環境變數 ANNOTATE_POD_IP 設定為 true，以避免 Kubernetes 的已知問題。若要使用此功能，您必須將 Pod 的 patch 許可新增至 aws-node ClusterRole。請注意，向 aws-node DaemonSet 新增修補程式許可會增加此外掛程式的安全範圍。如需詳細資訊，請參閱 GitHub 上 VPC CNI 儲存庫中的 ANNOTATE_POD_IP。

Amazon EKS 自動模式的考量事項

Amazon EKS 自動模式不支援替代的 CNI 外掛程式或網路政策外掛程式。如需詳細資訊，請參閱 利用 EKS 自動模式自動運作叢集基礎設施。