Amazon EKS 联网 - Amazon EKS
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EKS 联网

本章概述了 Amazon EKS 网络。下图显示了 Amazon EKS 集群的关键组件,以及这些组件与 VPC 的关系。


            EKS 联网

以下说明可帮助您了解图中各组件之间的关系,以及本指南和其他Amazon指南,您可以参阅以了解更多信息。

  • Amazon VPC 和子网— 所有 Amazon EKS 资源都部署到现有 VPC 中现有子网中的一个区域。有关更多信息,请参阅 。VPC 和子网(在 Amazon VPC 用户指南 中)。每个子网都存在于一个可用区内。VPC 和子网必须满足以下要求:

    • 必须对 VPC 和子网进行适当的标记,以便 Kubernetes 知道它可以将其用于部署资源(如负载均衡器)。有关更多信息,请参阅 VPC 标记要求子网添加标签。如果您使用提供的 Amazon EKS 部署 VPCAmazon CloudFormation模板或使用eksctl,则为您适当标记 VPC 和子网。

    • 子网可能具有或可能不具有 Internet 访问权限。如果子网没有 Internet 访问权限,则其中部署的容器必须能够访问其他Amazon服务(例如 Amazon ECR)提取容器映像。有关使用没有 Internet 访问权限的子网的更多信息,请参阅私有集群

    • 您使用的任何公有子网都必须配置为在中启动的 Amazon EC2 实例自动分配公有 IP 地址。有关更多信息,请参阅 VPC IP 寻址

    • 节点和控制平面必须能够通过适当标记的安全组。有关更多信息,请参阅 Amazon EKS 安全组注意事项

    • 您可以实现网络段和租户隔离网络策略。网络策略类似于 Amazon 安全组的一点是,您可以创建网络传入和传出规则。您使用 Pod 选择器和标签向 Pod 分配网络策略,而不是向安全组分配实例。有关更多信息,请参阅 在 Amazon EKS 上安装 Calico

    您可以通过手动配置部署符合 Amazon EKS 要求的 VPC 和子网,也可以通过使用eksctl,或者提供的 Amazon EKSAmazon CloudFormation模板。二者eksctl和Amazon CloudFormation模板创建具有所需配置的 VPC 和子网。有关更多信息,请参阅 为 Amazon EKS 集群创建 VPC

  • Amazon EKS 控制层面— 由亚马逊 EKS 在亚马逊 EKS 托管的 VPC 中部署和管理。当您创建集群时,Amazon EKS 会在您的账户中创建并管理具有Amazon EKS <cluster name>(在描述中)。这些网络接口允许AmazonFargate 和 Amazon EC2 实例与控制平面进行通信。

    默认情况下,控制平面会公开一个公共端点,以便客户端和节点可以与群集进行通信。您可以限制可以与公共终端节点通信的 Internet 客户端源 IP 地址。或者,您可以启用专用终端节点并禁用公共终端节点,或同时启用公共终端节点和私有终端节点。要了解有关集群终端节点的详细信息,请参阅Amazon EKS 集群终端节点访问控制

    如果您已配置集群部署到的 VPC 与其他网络之间的连接,您的内部部署网络或其他 VPC 中的客户端可以与公共或仅私有终端节点通信。有关将 VPC 连接到其他网络的更多信息,请参阅Amazon 网络到 Amazon VPC 的连接选项Amazon VPC 到 Amazon VPC VPC 的连接选项技术文件。

  • Amazon EC2 实例— 每个 Amazon EC2 节点都部署到一个子网。为每个节点分配一个私有 IP 地址分配给该子网的 CIDR 块。如果子网是使用Amazon EKS 已提供Amazon CloudFormation模板,则部署到公有子网的节点会自动分配公有 IP 地址添加子网。每个节点都使用Pod 联网 (CNI)默认情况下,它会从分配给节点所在子网的 CIDR 块中为每个容器分配一个私有 IP 地址,并将 IP 地址作为辅助 IP 地址添加到网络接口附加到实例。该Amazon资源被称为网络接口中的Amazon Web Services Management Console和 Amazon EC2 API。因此,我们在本文档中使用“网络接口”,而不是“弹性网络接口”。本文档中的“网络接口”术语始终表示“弹性网络接口”。

    您可以通过为您的 VPC 分配额外的 CIDR 块并启用CNI 自定义网络,它将 IP 地址分配给节点部署到的不同子网中的容器。要使用自定义网络连接,必须在启动节点时启用它。您还可以将唯一安全组与在许多 Amazon EC2 实例类型上运行的一些容器关联起来。有关更多信息,请参阅 窗格的安全组

    默认情况下,与 VPC 外部资源通信的每个容器的源 IP 地址将通过网络地址转换 (NAT) 转换为连接到节点的主网络接口的主 IP 地址。您可以将此行为更改为让私有子网中的 NAT 设备将每个容器的 IP 地址转换为 NAT 设备的 IP 地址。有关更多信息,请参阅 外部源网络地址转换 (SNAT)

  • Fargate Pods— 仅部署到私有子网。将向每个 Pod 分配一个来自分配到子网的 CIDR 块的私有 IP 地址。Fargate 不支持所有容器联网选项。有关更多信息,请参阅 AmazonFargate 注意事项