部署具有有限互联网访问权限的私有集群
本主题将介绍如何部署部署在 Amazon 云上但没有出站互联网访问权限的 Amazon EKS 集群。如果您在 Amazon 上有一个本地集群,请参阅在 Amazon Outpost 上创建 Amazon Linux 节点而不是本主题。
如果您不熟悉 Amazon EKS 联网,请参阅 Amazon EKS 工作线程节点的集群联网解密
-
您的集群必须从 VPC 中的容器注册表中拉取映像。您可以在 VPC 中创建 Amazon Elastic Container Registry,并将容器映像复制到其中,以供节点拉取。有关更多信息,请参阅 将容器镜像从一个存储库复制到另一个存储库。
-
集群必须启用端点私有访问权限。需要启用该访问权限,节点才能注册到集群端点。终端节点公有访问权限是可选的。有关更多信息,请参阅 控制对集群 API 服务器端点的网络访问权限。
-
自行管理 Linux 和 Windows 节点必须包含以下引导参数才能进行启动。这些实际参数绕过 Amazon EKS 自检,且无需从 VPC 内访问 Amazon EKS API。
-
使用以下命令确定集群端点的值。将
my-cluster
替换为您集群的名称。aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text
示例输出如下。
https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com
-
使用以下命令确定集群证书颁发机构的值。将
my-cluster
替换为您集群的名称。aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text
返回的输出是一个长字符串。
-
请将以下命令中的
cluster-endpoint
和certificate-authority
替换为上一个命令的输出中返回的值。有关在启动自行管理的节点时指定引导参数的更多信息,请参阅 创建自行管理的 Amazon Linux 节点 和 创建自行管理的 Microsoft Windows 节点。
-
-
必须从 VPC 内创建集群的
aws-auth
ConfigMap
。有关在aws-auth
ConfigMap
中创建和添加条目的更多信息,请在终端中输入eksctl create iamidentitymapping --help
。如果您的服务器上不存在ConfigMap
,则eksctl
将在您使用命令添加身份映射时创建。 -
配置了服务账户 IAM 角色的 Pods 通过 Amazon Security Token Service(Amazon STS)API 调用获取凭证。如果没有出站互联网访问权限,则您必须在 VPC 中创建并使用 Amazon STS VPC 端点。默认情况下,大多数 Amazon
v1
SDK 均使用全局 Amazon STS 端点(sts.amazonaws.com
),而此端点不使用 Amazon STS VPC 端点。要使用 Amazon STS VPC 端点,您可能需要将 SDK 配置为使用区域 Amazon STS 端点(sts.
)。有关更多信息,请参阅 为服务账户配置 Amazon Security Token Service 端点。region-code
.amazonaws.com -
集群的 VPC 子网必须具有 Pods 需要访问的任何 Amazon 服务的 VPC 接口端点。有关更多信息,请参阅使用接口 VPC 端点访问 Amazon 服务。下表列出了一些常用的服务和端点。有关端点的完整列表,请参阅《Amazon PrivateLink 指南》https://docs.amazonaws.cn/vpc/latest/privatelink/中的与 Amazon PrivateLink 集成的 Amazon 服务。
服务 终端节点 Amazon EC2
com.amazonaws.
region-code
.ec2Amazon Elastic Container Registry(用于拉取容器映像)
com.amazonaws.
region-code
.ecr.api、com.amazonaws.region-code
.ecr.dkr 和 com.amazonaws.region-code
.s3Application Load Balancer 和 Network Load Balancer
com.amazonaws.
region-code
.elasticloadbalancingAmazon X-Ray
com.amazonaws.
region-code
.xrayAmazon CloudWatch Logs
com.amazonaws.
region-code
.logsAmazon Security Token Service(将 IAM 角色用于服务账户时为必需)
com.amazonaws.
region-code
.sts -
任何自行管理的节点都必须部署到具有您需要的 VPC 接口端点的子网中。如果您创建托管节点组,则 VPC 接口端点安全组必须允许子网的 CIDR,或者您必须将已创建的节点安全组添加到 VPC 接口端点安全组。
-
如果您的 Pods 使用 Amazon EFS 卷,那么在部署使用 Amazon EFS 存储弹性文件系统之前,必须更改驱动程序的 kustomization.yaml
文件,以将容器映像设置为使用与 Amazon EKS 集群相同的 Amazon 区域。 -
您可以使用 Amazon Load Balancer Controller 将 Amazon Application Load Balancers(ALB)和 Network Load Balancers 部署到私有集群。部署时,您应该使用命令行标记
将 enable-shield
、enable-waf
和enable-wafv2
设置为 false。带有来自 Ingress 对象中的主机名的证书发现不受支持。这是因为控制器需要访问没有 VPC 接口端点的 Amazon Certificate Manager。 该控制器支持带有 IP 目标的网络负载均衡器,结合 Fargate 一起使用时需要网络负载均衡器。有关更多信息,请参阅使用应用程序负载均衡器路由应用程序和 HTTP 流量 和创建网络负载均衡器。
-
支持 Cluster Autoscaler
。在部署 Cluster Autoscaler Pods 时,请确保命令行包括 --aws-use-static-instance-list=true
。有关更多信息,请参阅 GitHub 上的使用静态实例列表。Worker 节点 VPC 还必须包括 Amazon STS VPC 端点和弹性伸缩 VPC 端点。 -
一些容器软件产品使用 API 调用来访问监控使用情况的 Amazon Marketplace Metering Service。私有集群不允许这些调用,因此您不能在私有集群中使用这些容器类型。