私有集群要求
本主题将介绍如何部署部署在 Amazon Web Services 云 上但没有出站互联网访问权限的 Amazon EKS 集群。如果您在 Amazon Outposts 上有一个本地集群,请参阅 在 Outpost 上启动自行管理的 Amazon Linux 节点 而不是本主题。如果您不熟悉 Amazon EKS 联网,请参阅 Amazon EKS 工作线程节点的集群联网解密
-
您的集群必须从 VPC 中的容器注册表中拉取映像。您可以在 VPC 中创建 Amazon Elastic Container Registry,并将容器映像复制到其中,以供节点拉取。有关更多信息,请参阅将容器镜像从一个存储库复制到另一个存储库。
-
集群必须启用端点私有访问权限。需要启用该访问权限,节点才能注册到集群端点。终端节点公有访问权限是可选的。有关更多信息,请参阅Amazon EKS 集群端点访问控制。
-
自行管理 Linux 和 Windows 节点必须包含以下引导参数才能进行启动。这些实际参数绕过 Amazon EKS 自检,且无需从 VPC 内访问 Amazon EKS API。
-
使用以下命令确定集群端点的值。将
my-cluster
替换为您集群的名称。aws eks describe-cluster --name
my-cluster
--query cluster.endpoint --output text输出示例如下。
https://
EXAMPLE108C897D9B2F1B21D5EXAMPLE
.sk1
.region-code
.eks.amazonaws.com.cn 使用以下命令确定集群证书颁发机构的值。将
my-cluster
替换为您集群的名称。aws eks describe-cluster --name
my-cluster
--query cluster.certificateAuthority --output text返回的输出是一个长字符串。
-
请将以下命令中的
和cluster-endpoint
替换为上一个命令的输出中返回的值。有关在启动自行管理的节点时指定引导参数的更多信息,请参阅 启动自行管理的 Amazon Linux 节点 和 启动自行管理的 Windows 节点。certificate-authority
-
对于 Linux 节点:
--apiserver-endpoint
cluster-endpoint
--b64-cluster-cacertificate-authority
有关更多参数,请参阅 GitHub 上的引导脚本
。 -
对于 Windows 节点:
-APIServerEndpoint
cluster-endpoint
-Base64ClusterCAcertificate-authority
如果您使用自定义服务 CIDR,则需要使用
-ServiceCIDR
参数进行指定。有关更多参数,请参阅 Amazon EKS 优化版 Windows AMI。
-
-
必须从 VPC 内创建集群的
aws-auth
ConfigMap
。有关创建aws-auth
ConfigMap
的更多信息,请参阅 让 IAM 主体访问您的集群。 -
配置了服务账户 IAM 角色的 Pods 通过 Amazon Security Token Service(Amazon STS)API 调用获取凭证。如果没有出站互联网访问权限,则您必须在 VPC 中创建并使用 Amazon STS VPC 端点。预设情况下,大多数 Amazon
v1
开发工具包均使用全局 Amazon STS 端点(sts.amazonaws.com
),而此端点不使用 Amazon STS VPC 端点。要使用 Amazon STS VPC 端点,您可能需要将开发工具包配置为使用区域 Amazon STS 端点(sts.
)。有关更多信息,请参阅配置服务账户的 Amazon Security Token Service 端点。region-code
.amazonaws.com
-
集群的 VPC 子网必须具有 pods 需要访问的任何 Amazon Web Services 的 VPC 接口端点。有关更多信息,请参阅使用接口 VPC 端点访问 Amazon 服务。下表列出了一些常用的服务和端点。有关端点的完整列表,请参阅《Amazon PrivateLink 指南》中的 与 Amazon PrivateLink 集成的 Amazon 服务。
服务 端点 Amazon EC2 com.amazonaws. region-code
.ec2Amazon Elastic Container Registry(用于拉取容器映像) com.amazonaws. region-code
.ecr.api、com.amazonaws.region-code
.ecr.dkr 和 com.amazonaws.region-code
.s3Application Load Balancer 和 Network Load Balancer com.amazonaws. region-code
.elasticloadbalancingAmazon X-Ray com.amazonaws. region-code
.xrayAmazon CloudWatch Logs com.amazonaws. region-code
.logsAmazon Security Token Service(将 IAM 角色用于服务账户时为必需) com.amazonaws. region-code
.stsApp Mesh
-
不支持适用于 Kubernetes 的 App Mesh 控制器。有关更多信息,请参阅 GitHub 上的 App Mesh 控制器
。 -
支持Cluster Autoscaler。在部署 Cluster Autoscaler pods 时,请确保命令行包括
--aws-use-static-instance-list=true
。有关更多信息,请参阅 GitHub 上的使用静态实例列表。Worker 节点 VPC 还必须包括 Amazon STS VPC 端点和自动扩展 VPC 端点。
com.amazonaws. region-code
.appmesh-envoy-management -
注意事项
-
任何自行管理的节点都必须部署到具有您需要的 VPC 接口端点的子网中。如果您创建托管节点组,则 VPC 接口端点安全组必须允许子网的 CIDR,或者您必须将已创建的节点安全组添加到 VPC 接口端点安全组。
-
如果您的 pods 使用 Amazon EFS 卷,那么在部署 Amazon EFS CSI 驱动程序 之前,必须更改驱动程序的 kustomization.yaml
文件,以将容器映像设置为使用与 Amazon EKS 集群相同的 Amazon Web Services 区域。 -
某些容器软件产品使用访问 Amazon Marketplace Metering Service 的 API 调用来监控用量。私有集群不允许这些调用,因此您不能在私有集群中使用这些容器类型。