協助改進此頁面

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

混合節點的先決條件設定

若要使用 Amazon EKS 混合節點，您必須擁有從內部部署環境往返 AWS 的私有連線、具有支援的作業系統的裸機伺服器或虛擬機器，以及已設定 AWS IAM Roles Anywhere 或 AWS Systems Manager (SSM) 混合啟用。您負責在整個混合節點生命週期中管理這些先決條件。

混合網路連線

Amazon EKS 控制平面和混合節點之間的通訊會透過您在叢集建立期間傳遞的 VPC 和子網路路由，而該子網路以 Amazon EKS 中用於控制平面到節點聯網的現有機制為建構基礎。有多種記錄的選項可供您連接內部部署環境與 VPC，包括 AWS Site-to-Site VPN、AWS Direct Connect 或您自己的 VPN 連接。如需如何使用這些解決方案進行混合網路連線的詳細資訊，請參閱 AWS Site-to-Site VPN 和 AWS Direct Connect 使用者指南。

為了獲得最佳體驗，建議您為混合節點與 AWS 區域之間的連接，提供至少 100 Mbps 的可靠網路連線能力，以及最多 200 毫秒的往返延遲。這是適用於大多數使用案例的一般指引，但並非嚴格要求。頻寬和延遲需求可能會因混合節點的數量和工作負載特性而有所不同，例如應用程式映像大小、應用程式彈性、監控和記錄組態，以及存取儲存在其他 AWS 服務中的資料的應用程式相依性。建議您在部署到生產環境之前，先使用您自己的應用程式和環境進行測試，以驗證您的聯網設定是否符合工作負載的需求。

內部部署網路組態

您必須啟用從 Amazon EKS 控制平面到內部部署環境的傳入網路存取，以允許 Amazon EKS 控制平面與在混合節點上執行的 kubelet 通訊，並且也可以選擇與在混合節點上執行的 Webhook 通訊。此外，您必須為在其上執行的混合節點和元件啟用傳出網路存取，以便與 Amazon EKS 控制平面通訊。您可以設定此通訊，以便 AWS Direct Connect、AWS Site-to-Site VPN 或您自己的 VPN 連接保持完全私有。

您用於內部部署節點和 Pod 網路的無類別域間路由 (CIDR) 範圍必須使用 IPv4 RFC-1918 位址範圍。您的內部部署路由器必須設定為路由至您的內部部署節點和選用 Pod。如需內部部署網路需求的詳細資訊，請參閱 內部部署聯網組態，包括必須在防火牆和內部部署環境中啟用的必要連接埠和通訊協定的完整清單。

EKS 叢集組態

若要將延遲降至最低，建議您在最接近您內部部署或邊緣環境的 AWS 區域中建立 Amazon EKS 叢集。您可以在 Amazon EKS 叢集建立期間，透過兩個 API 欄位傳遞內部部署節點和 Pod CIDR：RemoteNodeNetwork 和 RemotePodNetwork。您可能需要與您的內部部署網路團隊討論，以識別您的內部部署節點和 Pod CIDR。如果您為 CNI 使用覆蓋網路，節點 CIDR 會從內部部署網路配置，而 Pod CIDR 會從您使用的容器網路介面 (CNI) 配置。根據預設，Cilium 和 Calico 會使用覆蓋網路。

您透過 RemoteNodeNetwork 和 RemotePodNetwork 欄位設定的內部部署節點和 Pod CIDR 可用於設定 Amazon EKS 控制平面，進而將流量透過 VPC 路由至 kubelet 以及在混合節點上執行的 Pod。您的內部部署節點和 Pod CIDR 不能彼此重疊，亦不能與您在叢集建立期間傳遞的 VPC CIDR 或 Amazon EKS 叢集的服務 IPv4 組態重疊。此外，Pod CIDR 對每個 EKS 叢集必須是唯一的，以便您的內部部署路由器可以路由流量。

建議您對 Amazon EKS Kubernetes API 伺服器端點使用公有或私有端點存取。如果您選擇「公有和私有」，Amazon EKS Kubernetes API 伺服器端點一律會解析為在 VPC 外部執行的混合節點的公有 IP，以防止您的混合節點加入叢集。當您使用公有端點存取時，Kubernetes API 伺服器端點會解析為公共 IP，而從混合節點到 Amazon EKS 控制平面的通訊將會透過網際網路路由。當您選擇私有端點存取時，Kubernetes API 伺服器端點會解析為私有 IP，並且從混合節點到 Amazon EKS 控制平面的通訊將透過您的私有連線連結路由，在大多數情況下是 AWS Direct Connect 或 AWS Site-to-Site VPN。

VPC 組態

您必須為您的內部部署節點，使用其路由表中的路由設定在 Amazon EKS 叢集建立期間傳遞的 VPC，以及使用作為目標的虛擬私有閘道 (VGW) 或傳輸閘道 (TGW) 設定 Pod 網路 (選用)。以下所示為範例。使用內部部署網路的值取代 REMOTE_NODE_CIDR 和 REMOTE_POD_CIDR。

安全群組組態

當您建立叢集時，Amazon EKS 會建立名稱為 eks-cluster-sg-<cluster-name>-<uniqueID> 的安全群組。您無法更改此叢集安全群組的傳入規則，但可以限制傳出規則。您必須將其他安全群組新增至叢集，才能啟用在混合節點上執行的 kubelet 和 Webhook (選用)，進而聯絡 Amazon EKS 控制平面。這個其他安全群組所需的傳入規則如下所示。使用內部部署網路的值取代 REMOTE_NODE_CIDR 和 REMOTE_POD_CIDR。

基礎設施

您必須擁有可用作混合節點的裸機伺服器或虛擬機器。混合節點與底層基礎結構無關，並可支援 x86 和 ARM 架構。Amazon EKS 混合節點遵循「自有基礎結構」方法，而您要負責佈建和管理用於混合節點的裸機伺服器或虛擬機器。雖然沒有嚴格的最低資源需求，但我們建議您為混合節點使用至少具有 1 個 vCPU 和 1GiB RAM 的主機。

作業系統

Bottlerocket、Amazon Linux 2023 (AL2023)、Ubuntu 和 RHEL 經過持續驗證，可用作混合節點的節點作業系統。AWS 僅在 VMware vSphere 環境中支援 Bottlerocket。當 AL2023 在 Amazon EC2 外部執行時，其即不在 AWS Support Plans 的涵蓋範圍內。AL2023 僅能在內部部署虛擬化環境中使用，如需詳細資訊，請參閱《Amazon Linux 2023 使用者指南》。AWS 會支援與 Ubuntu 和 RHEL 作業系統整合的混合節點，但不支援作業系統本身。

您負責作業系統佈建和管理。在首次測試混合節點時，最簡單的方式是在已佈建的主機上執行 Amazon EKS 混合節點 CLI (nodeadm)。對於生產部署，建議您在黃金作業系統映像中包含 nodeadm，並將它設定為作為 systemd 服務執行，以便在主機啟動時自動將主機加入 Amazon EKS 叢集。

內部部署 IAM 憑證提供者

Amazon EKS 混合節點使用由 AWS SSM 混合啟用或 AWS IAM Roles Anywhere 佈建的臨時 IAM 憑證 對 Amazon EKS 叢集進行驗證。您必須搭配 Amazon EKS 混合節點 CLI (nodeadm) 使用 AWS SSM 混合啟用或 AWS IAM Roles Anywhere。如果您現有的公有金鑰基礎結構 (PKI) 沒有憑證認證機構 (CA) 和內部部署環境憑證，建議您使用 AWS SSM 混合啟用。如果您有現有的 PKI 和內部部署憑證，請使用 AWS IAM Roles Anywhere。

與在 Amazon EC2 上執行的節點的 Amazon EKS 節點 IAM 角色 類似，您將建立混合節點 IAM 角色，其中包含將混合節點加入 Amazon EKS 叢集所需的許可。如果您使用的是 AWS IAM Roles Anywhere，請設定信任政策，其中該政策允許 AWS IAM Roles Anywhere 擔任混合節點 IAM 角色，並使用混合節點 IAM 角色作為可擔任的角色來設定 AWS IAM Roles Anywhere 設定檔。如果您使用的是 AWS SSM，請設定信任政策，其中該政策允許 AWS SSM 擔任混合節點 IAM 角色，並使用混合節點 IAM 角色建立混合啟用。如需有關如何建立具有必要許可的混合節點 IAM 角色的資訊，請參閱 準備混合節點的憑證。