建立 Amazon EKS 的節點類別 - Amazon EKS
建立節點類別建立節點類別存取項目節點類別規格考量事項Pod 的子網路選擇

協助改進此頁面

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

建立 Amazon EKS 的節點類別

Amazon EKS 節點類別是範本,可讓您精細控制 EKS 自動模式受管節點的組態。節點類別定義套用至 EKS 叢集中節點群組的基礎結構層級設定,包括網路組態、儲存設定和資源標記。本主題闡釋如何建立和設定節點類別,以滿足您的特定操作需求。

當您需要自訂 EKS 自動模式在預設設定之外,佈建和設定 EC2 執行個體的方式時,建立節點類別可讓您精確控制關鍵基礎結構參數。例如,您可以指定私有子網路放置以增強安全性,為效能敏感的工作負載設定執行個體暫時性儲存,或套用自訂標記以進行成本分配。

建立節點類別

要建立 NodeClass,請執行下列步驟:

  1. 使用節點類別組態建立 YAML 檔案 (例如 nodeclass.yaml)

  2. 使用 kubectl 將組態套用至您的叢集

  3. 在節點集區組態中參考節點類別。如需詳細資訊,請參閱 為 EKS 自動模式建立節點集區

您需要已安裝並設定 kubectl。如需詳細資訊,請參閱 設定以使用 Amazon EKS

基本節點類別範例

以下是一個節點類別範例:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: private-compute
spec:
  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"
        kubernetes.io/role/internal-elb: "1"
  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"
  ephemeralStorage:
    size: "160Gi"

此 NodeClass 會增加節點上的暫時性儲存量。

透過以下方式套用此組態:

kubectl apply -f nodeclass.yaml

接下來,在節點集區組態中參考節點類別。如需詳細資訊,請參閱 為 EKS 自動模式建立節點集區

建立節點類別存取項目

如果您建立了自訂節點類別,則需要建立 EKS 存取項目以允許節點加入叢集。在當您使用內建節點類別和節點集區時,EKS 會自動建立存取項目。

如需項目存取方法的相關資訊,請參閱 使用 EKS 存取項目授予 IAM 使用者 Kubernetes 的存取權

為 EKS 自動模式節點類別建立存取項目時,您需要使用 EC2 存取項目類型。

使用 CLI 建立存取項目

要建立 EC2 節點的存取項目,並關聯 EKS Auto Node 政策:

使用您的叢集名稱和節點角色 ARN 更新以下 CLI 命令。節點角色 ARN 在節點類別 YAML 中指定。

# Create the access entry for EC2 nodes
aws eks create-access-entry \
  --cluster-name <cluster-name> \
  --principal-arn <node-role-arn> \
  --type EC2

# Associate the auto node policy
aws eks associate-access-policy \
  --cluster-name <cluster-name> \
  --principal-arn <node-role-arn> \
  --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy \
  --access-scope type=cluster

使用 CloudFormation 建立存取項目

要建立 EC2 節點的存取項目,並關聯 EKS Auto Node 政策:

使用您的叢集名稱和節點角色 ARN 更新以下 CloudFormation。節點角色 ARN 在節點類別 YAML 中指定。

EKSAutoNodeRoleAccessEntry:
  Type: AWS::EKS::AccessEntry
  Properties:
    ClusterName: <cluster-name>
    PrincipalArn: <node-role-arn>
    Type: "EC2"
    AccessPolicies:
      - AccessScope:
          Type: cluster
        PolicyArn: arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy
  DependsOn: [ <cluster-name> ] # previously defined in CloudFormation

有關部署 CloudFormation 堆疊的資訊,請參閱 CloudFormation 入門

節點類別規格

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: my-node-class
spec:
  # Required fields
  role: MyNodeRole  # IAM role for EC2 instances

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"
        kubernetes.io/role/internal-elb: "1"
    # Alternative using direct subnet ID
    # - id: "subnet-0123456789abcdef0"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"
    # Alternative approaches:
    # - id: "sg-0123456789abcdef0"
    # - name: "eks-cluster-security-group"

  # Optional: Pod subnet selector for advanced networking
  podSubnetSelectorTerms:
    - tags:
        Name: "pod-subnet"
        kubernetes.io/role/pod: "1"
    # Alternative using direct subnet ID
    # - id: "subnet-0987654321fedcba0"
# must include Pod security group selector also
 podSecurityGroupSelectorTerms:
  - tags:
      Name: "eks-pod-sg"
    # Alternative using direct security group ID
    # - id: "sg-0123456789abcdef0"

  # Optional: Selects on-demand capacity reservations and capacity blocks
  # for EKS Auto Mode to prioritize.
  capacityReservationSelectorTerms:
    - id: cr-56fac701cc1951b03
    # Alternative Approaches
    - tags:
        Name: "targeted-odcr"
      # Optional owning account ID filter
      owner: "012345678901"

  # Optional fields
  snatPolicy: Random  # or Disabled

  networkPolicy: DefaultAllow  # or DefaultDeny
  networkPolicyEventLogs: Disabled  # or Enabled

  ephemeralStorage:
    size: "80Gi"    # Range: 1-59000Gi or 1-64000G or 1-58Ti or 1-64T
    iops: 3000      # Range: 3000-16000
    throughput: 125 # Range: 125-1000
    # Optional KMS key for encryption
    kmsKeyID: "arn:aws:kms:region:account:key/key-id"
    # Accepted formats:
    # KMS Key ID
    # KMS Key ARN
    # Key Alias Name
    # Key Alias ARN

  advancedNetworking:
    # Optional: Controls whether public IP addresses are assigned to instances that are launched with the nodeclass.
    # If not set, defaults to the MapPublicIpOnLaunch setting on the subnet.
    associatePublicIPAddress: false

    # Optional: Forward proxy, commonly requires certificateBundles as well
    # for EC2, see https://repost.aws/knowledge-center/eks-http-proxy-containerd-automation
    httpsProxy: http://192.0.2.4:3128 #commonly port 3128 (Squid) or 8080 (NGINX) #Max 255 characters
    #httpsProxy: http://[2001:db8::4]:3128 # IPv6 address with port, use []
    noProxy: #Max 50 entries
        - localhost #Max 255 characters each
        - 127.0.0.1
        #- ::1 # IPv6 localhost
        #- 0:0:0:0:0:0:0:1 # IPv6 localhost
        - 169.254.169.254 # EC2 Instance Metadata Service
        #- [fd00:ec2::254] # IPv6 EC2 Instance Metadata Service
        # Domains to exclude, put all VPC endpoints here
        - .internal
        - .eks.amazonaws.com

  # Optional: Custom certificate bundles.
  certificateBundles:
    - name: "custom-cert"
      data: "base64-encoded-cert-data"

  # Optional: Additional EC2 tags (with restrictions)
  tags:
    Environment: "production"
    Team: "platform"
    # Note: Cannot use restricted tags like:
    # - kubernetes.io/cluster/*
    # - karpenter.sh/provisioner-name
    # - karpenter.sh/nodepool
    # - karpenter.sh/nodeclaim
    # - karpenter.sh/managed-by
    # - eks.amazonaws.com/nodeclass

考量事項

  • 如果您想要確認執行個體有多少本機儲存,可以描述節點以查看暫時性儲存資源。

  • 磁碟區加密 - EKS 使用設定的自訂 KMS 金鑰來加密執行個體的唯讀根磁碟區及讀取/寫入資料磁碟區。

  • 取代節點 IAM 角色 - 如果您變更與 NodeClass 相關聯的節點 IAM 角色,則需要建立新的存取項目。EKS 在叢集建立期間會自動為節點 IAM 角色建立存取項目。節點 IAM 角色需要 AmazonEKSAutoNodePolicy EKS 存取政策。如需詳細資訊,請參閱 使用 EKS 存取項目授予 IAM 使用者 Kubernetes 的存取權

  • 最大 Pod 密度 - EKS 會將節點上的最大 Pod 數量限制為 110。此限制是在現有的最大 Pod 計算之後套用的。如需詳細資訊,請參閱 選擇最佳的 Amazon EC2 節點執行個體類型

  • 標籤 - 如果您想要將標籤從 Kubernetes 傳播到 EC2,需要設定其他 IAM 許可。如需詳細資訊,請參閱 了解 EKS 自動模式中的身分和存取

  • 預設節點類別 - 請勿將您的自訂節點類別命名為 default。這是因為 EKS 自動模式包含一個名為 defaultNodePool,當您啟用至少一個內建 NodeClass 時會自動佈建該類別。如需啟用內建 NodePools 的詳細資訊,請參閱 啟用或停用內建的 NodePool

  • 具有多個子網路的 subnetSelectorTerms 行為 - 如果有多個子網路符合 subnetSelectorTerms 條件或您按 ID 提供的子網路,EKS 自動模式會建立分佈於各個子網路中的節點。

    • 如果子網路位於不同的可用區域 (AZ),您可以使用 Kubernetes 功能,例如 Pod 拓撲分散限制條件和拓撲感知路由,分別將 Pod 和流量分散到各個區域。

    • 如果同一個 AZ 中有多個子網路符合 subnetSelectorTerms,則 EKS 自動模式會在該可用區域中分散在各個子網路的每個節點上建立 Pod。EKS 自動模式會在相同 AZ 中其他子網路中的每個節點建立次要網路介面。它根據每個子網路中可用 IP 位址的數量進行選擇,以更高效地使用子網路。但是,您無法指定 EKS 自動模式為每個 Pod 使用的子網路;如果您需要 Pod 在特定子網路中執行,請改用 Pod 的子網路選擇

Pod 的子網路選擇

podSubnetSelectorTermspodSecurityGroupSelectorTerms 欄位允許 Pod 在與其節點不同的子網路中執行,從而啟用進階聯網組態。這種分離可增強對網路流量路由與安全政策的控制。請注意,使用 podSubnetSelectorTerms 時,必須搭配 podSecurityGroupSelectorTerms

使用案例

當您需要以下功能時,可使用 podSubnetSelectorTerms

  • 將基礎架構流量 (節點到節點通訊) 與應用程式流量 (Pod 到 Pod 通訊) 分開

  • 對節點子網路和 Pod 子網套用不同的聯網組態。

  • 對節點和 Pod 實作不同的安全政策或路由規則。

  • 專門為節點流量設定反向代理或網路篩選, 而不影響 Pod 流量。使用 advancedNetworkingcertificateBundles 來定義您的反向代理,以及代理的任何自簽署或私有憑證。

範例組態

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: advanced-networking
spec:
  role: MyNodeRole

  # Subnets for EC2 instances (nodes)
  subnetSelectorTerms:
    - tags:
        Name: "node-subnet"
        kubernetes.io/role/internal-elb: "1"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  # Separate subnets for Pods
  podSubnetSelectorTerms:
    - tags:
        Name: "pod-subnet"
        kubernetes.io/role/pod: "1"

  podSecurityGroupSelectorTerms:
  - tags:
      Name: "eks-pod-sg"

Pod 子網路選擇器的考量

  • 降低的 Pod 密度:使用 podSubnetSelectorTerms 時,每個節點上可以執行的 Pod 數量會減少,因為節點的主要網路介面位於節點子網路中,無法用於 Pod 子網路中的 Pod。

  • 子網路選擇器限制:標準 subnetSelectorTermssecurityGroupSelectorTerms 組態不適用於 Pod 子網路選擇。

  • 網路規劃:確保節點和 Pod 子網路中有足夠的 IP 位址空間,以支援您的工作負載需求。

  • 路由組態:確認 Pod 子網路的路由表和網路存取控制清單 (ACL) 已正確設定,以便在節點和 Pod 子網路之間進行通訊。

  • 可用區域:確認您已在多個 AZ 中建立 Pod 子網路。若您使用特定的 Pod 子網路,它必須與節點子網路 AZ 位於相同的 AZ 中。