私有集群要求 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

私有集群要求

本主题将介绍如何部署部署在 Amazon Web Services 云 上但没有出站互联网访问权限的 Amazon EKS 集群。如果您在 Amazon Outposts 上有一个本地集群,请参阅 在 Outpost 上启动自行管理的 Amazon Linux 节点 而不是本主题。

如果您不熟悉 Amazon EKS 联网,请参阅 Amazon EKS 工作线程节点的集群联网解密。如果集群没有出站互联网访问权限,则其必须满足以下要求:

  • 您的集群必须从 VPC 中的容器注册表中拉取映像。您可以在 VPC 中创建 Amazon Elastic Container Registry,并将容器映像复制到其中,以供节点拉取。有关更多信息,请参阅 将容器镜像从一个存储库复制到另一个存储库

  • 集群必须启用端点私有访问权限。需要启用该访问权限,节点才能注册到集群端点。终端节点公有访问权限是可选的。有关更多信息,请参阅 Amazon EKS 集群端点访问控制

  • 自行管理 Linux 和 Windows 节点必须包含以下引导参数才能进行启动。这些实际参数绕过 Amazon EKS 自检,且无需从 VPC 内访问 Amazon EKS API。

    1. 使用以下命令确定集群端点的值。将 my-cluster 替换为您集群的名称。

      aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text

      示例输出如下。

      https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com.cn
    2. 使用以下命令确定集群证书颁发机构的值。将 my-cluster 替换为您集群的名称。

      aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text

      返回的输出是一个长字符串。

    3. 请将以下命令中的 cluster-endpointcertificate-authority 替换为上一个命令的输出中返回的值。有关在启动自行管理的节点时指定引导参数的更多信息,请参阅 启动自行管理的 Amazon Linux 节点启动自行管理的 Windows 节点

    • 对于 Linux 节点:

      --apiserver-endpoint cluster-endpoint --b64-cluster-ca certificate-authority

      有关更多参数,请参阅 GitHub 上的引导脚本

    • 对于 Windows 节点:

      注意

      如果您使用自定义服务 CIDR,则需要使用 -ServiceCIDR 参数进行指定。否则,集群 Pods 中的 DNS 解析将失败。

      -APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authority

      有关更多参数,请参阅 引导脚本配置参数

  • 必须从 VPC 内创建集群的 aws-auth ConfigMap。有关在 aws-auth ConfigMap 中创建和添加条目的更多信息,请在终端中输入 eksctl create iamidentitymapping --help。如果您的服务器上不存在 ConfigMap,则 eksctl 将在您使用命令添加身份映射时创建。

  • 配置了服务账户 IAM 角色的 Pods 通过 Amazon Security Token Service(Amazon STS)API 调用获取凭证。如果没有出站互联网访问权限,则您必须在 VPC 中创建并使用 Amazon STS VPC 端点。预设情况下,大多数 Amazon v1 开发工具包均使用全局 Amazon STS 端点(sts.amazonaws.com),而此端点不使用 Amazon STS VPC 端点。要使用 Amazon STS VPC 端点,您可能需要将开发工具包配置为使用区域 Amazon STS 端点(sts.region-code.amazonaws.com)。有关更多信息,请参阅 为服务账户配置 Amazon Security Token Service 端点

  • 集群的 VPC 子网必须具有 Pods 需要访问的任何 Amazon Web Services 的 VPC 接口端点。有关更多信息,请参阅使用接口 VPC 端点访问 Amazon 服务。下表列出了一些常用的服务和端点。有关端点的完整列表,请参阅《Amazon PrivateLink 指南》中的 与 Amazon PrivateLink 集成的 Amazon 服务

    服务 终端节点
    Amazon EC2 com.amazonaws.region-code.ec2
    Amazon Elastic Container Registry(用于拉取容器映像) com.amazonaws.region-code.ecr.api、com.amazonaws.region-code.ecr.dkr 和 com.amazonaws.region-code.s3
    Application Load Balancer 和 Network Load Balancer com.amazonaws.region-code.elasticloadbalancing
    Amazon X-Ray com.amazonaws.region-code.xray
    Amazon CloudWatch Logs com.amazonaws.region-code.logs
    Amazon Security Token Service(将 IAM 角色用于服务账户时为必需) com.amazonaws.region-code.sts
注意事项
  • 任何自行管理的节点都必须部署到具有您需要的 VPC 接口端点的子网中。如果您创建托管节点组,则 VPC 接口端点安全组必须允许子网的 CIDR,或者您必须将已创建的节点安全组添加到 VPC 接口端点安全组。

  • 如果您的 Pods 使用 Amazon EFS 卷,那么在部署 Amazon EFS CSI 驱动程序 之前,必须更改驱动程序的 kustomization.yaml 文件,以将容器映像设置为使用与 Amazon EKS 集群相同的 Amazon Web Services 区域。

  • 支持 Cluster Autoscaler。在部署 Cluster Autoscaler Pods 时,请确保命令行包括 --aws-use-static-instance-list=true。有关更多信息,请参阅 GitHub 上的使用静态实例列表。Worker 节点 VPC 还必须包括 Amazon STS VPC 端点和自动扩展 VPC 端点。

  • 某些容器软件产品使用访问 Amazon Marketplace Metering Service 的 API 调用来监控用量。私有集群不允许这些调用,因此您不能在私有集群中使用这些容器类型。