了解 EKS Auto 模式的 VPC 網路和負載平衡 - Amazon EKS
網路功能負載平衡

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 EKS Auto 模式的 VPC 網路和負載平衡

本主題說明如何在 EKS Auto 模式中設定虛擬私有雲端 (VPC) 網路和負載平衡功能。雖然 EKS Auto Mode 會自動管理大多數聯網元件,您仍然可以透過NodeClass資源和負載平衡器註釋自訂叢集聯網組態的某些層面。

當您使用 EKS Auto Mode 時, 會 AWS 管理叢集的 VPC 容器網路界面 (CNI) 組態和負載平衡器佈建。您可以透過定義NodeClass物件並將特定註釋套用至服務和輸入資源來影響聯網行為,同時維護 EKS Auto Mode 提供的自動化操作模型。

網路功能

EKS Auto Mode 具有新的聯網功能,可處理節點和 Pod 網路。您可以透過建立 NodeClass Kubernetes 物件進行設定。

先前 AWS VPC CNI 的組態選項不適用於 EKS Auto 模式。

使用 設定聯網 NodeClass

EKS Auto Mode 中的NodeClass資源可讓您自訂聯網功能的某些層面。透過 NodeClass,您可以指定安全群組選擇、控制跨 VPC 子網路的節點放置、設定 SNAT 政策、設定網路政策,以及啟用網路事件記錄。此方法會維護 EKS Auto Mode 的自動化操作模型,同時提供網路自訂的彈性。

您可以使用 NodeClass來:

  • 選取節點的安全群組

  • 控制節點在 VPC 子網路上的放置方式

  • 將節點 SNAT 政策設定為 randomdisabled

  • 啟用 Kubernetes 網路政策,包括:

    • 將網路政策設定為預設拒絕或預設允許

    • 啟用檔案的網路事件記錄。

  • 透過將 Pod 連接到不同的子網路,將 Pod 流量與節點流量隔離。

了解如何建立 Amazon EKS NodeClass

考量事項

EKS Auto Mode 支援:

  • EKS 網路政策。

  • Kubernetes Pod 的 HostPortHostNetwork選項。

  • 公有或私有子網路中的節點和 Pod。

  • 在節點上快取 DNS 查詢。

EKS Auto Mode 不支援

  • 每個 Pod 的安全群組 (SGPP)。

  • 中的自訂聯網ENIConfig。您可以將 Pod 放在多個子網路中,或使用 將其與節點流量完全隔離Pod 的子網路選擇

  • 暖 IP、暖字首和暖 ENI 組態。

  • IP 目標組態下限。

  • 啟用或停用字首委派。

  • 開放原始碼 AWS VPC CNI 支援的其他組態。

  • 網路政策組態,例如連接計時器自訂 (預設為 300 秒)。

  • 將網路事件日誌匯出至 CloudWatch。

網路資源管理

EKS Auto Mode 透過監控網路組態的 NodeClass 資源來處理字首、IP 定址和網路介面管理。服務會自動執行數個金鑰操作:

字首委派

EKS Auto Mode 會將 /28 IPv4 字首佈建至節點的主要網路界面,並維護預先定義的暖集區,以根據排程的 Pod 數量進行擴展。必要時,它會佈建次要網路介面,其具有與節點子網路中主要介面相同的安全群組。如果子網路中不再提供字首,服務會回到次要 IPv4 地址。

冷卻時間管理

服務會針對不再使用的字首或次要 IPv4 地址實作冷卻集區。在冷卻時間到期後,這些資源會釋出回 VPC。不過,如果 Pod 在冷卻期間重複使用這些資源,則會從冷卻集區還原這些資源。

IPv6 支援

對於 IPv6 叢集,EKS Auto Mode 會在主要網路界面上為每個節點佈建 /80 IPv6 字首。

該服務也確保對所有網路介面進行適當的管理和垃圾收集。

負載平衡

您可以在服務和輸入資源上使用註釋來設定 EKS Auto Mode 佈建的 AWS Elastic Load Balancer。

如需詳細資訊,請參閱 建立 IngressClass 以設定 Application Load Balancer使用服務註釋來設定 Network Load Balancer

使用 EKS Auto Mode 進行負載平衡的考量

  • 預設目標模式是 IP 模式,而不是執行個體模式。

  • EKS Auto Mode 僅支援 Network Load Balancer 的安全群組模式。

  • AWS 不支援將負載平衡器從自我管理 AWS 負載平衡器控制器遷移至 EKS Auto Mode 管理。

  • 不支援TargetGroupBinding規格 中的 networking.ingress.ipBlock 欄位。

  • 如果您的工作者節點使用自訂安全群組 eks-cluster-sg- (而非命名模式),您的叢集角色需要額外的 IAM 許可。預設 EKS 受管政策僅允許 EKS 修改名為 的安全群組eks-cluster-sg-。如果沒有修改自訂安全群組的許可,EKS 無法新增允許 ALB/NLB 流量到達 Pod 的必要輸入規則。