Häufig gestellte Fragen: Cluster-Netzwerkarchitektur in Amazon EKS

Q: Welche Cluster-Endpunkt-Netzwerkmodi sind in Amazon EKS verfügbar?

Amazon EKS bietet drei Netzwerkmodi, die nur öffentliche Endpunkte, öffentliche und private Endpunkte und nur private Endpunkte umfassen. Die Endpunkteinstellung, die du konfigurierst, bestimmt, wie die Knoten eine Verbindung zur Kubernetes-Steuerebene herstellen. Weitere Informationen findest du unter Demystifizierung des Cluster-Netzwerks für Amazon EKS-Worker-Knoten.

Q: Wie stellen meine Amazon EKS-Knoten im Endpunktmodus „Nur öffentlich“ eine Verbindung zur Steuerebene her?

Wenn du den Endpunktmodus „Nur öffentlich“ für den Cluster aktivierst, müssen die Knoten über eine der folgenden Routen verfügen, um eine Verbindung zur Kubernetes-Steuerebene herzustellen:

• Eine öffentliche IP-Route durch ein Internet-Gateway
• Eine private IP-Route durch ein NAT-Gateway

Q: Wie steuern die CIDR-Einschränkungen, die ich meinem Cluster hinzufüge, den Zugriff auf einen öffentlichen Endpunkt?

Die CIDR-Einschränkungen beschränken die Client-IP-Adressen, die eine Verbindung zu einem öffentlichen Endpunkt herstellen können. Weitere Informationen findest du unter Ändern des Cluster-Endpunktzugriffs.

Q: Was passiert, wenn ich sowohl öffentliche als auch private Endpunkte für meinen Cluster aktiviere?

Durch die Aktivierung von öffentlichen und privaten Endpunkten können Kubernetes-API-Anfragen von der Virtual Private Cloud (VPC) des Clusters über verwaltete Elastic-Network-Schnittstellen mit der Steuerebene kommunizieren. Der API-Server des Clusters ist dann über das Internet zugänglich.

Q: Muss ich meine Amazon EKS-Worker-Knoten in denselben Subnetzen bereitstellen, die ich bei der Erstellung meines Clusters angegeben habe?

Nein. Du kannst die Worker-Knoten in anderen Subnetzen innerhalb derselben Amazon Virtual Private Cloud (Amazon VPC) des Clusters bereitstellen.

Q: Kann ich die verwalteten Elastic-Network-Schnittstellen für meinen Amazon EKS-Cluster anpassen?

Ja. Dies ist jedoch keine bewährte Methode. Amazon EKS verwaltet die Anpassung von verwalteten Elastic-Network-Schnittstellen. Wenn du die verwalteten Elastic Network-Schnittstellen für den Cluster anpasst, kann dies Auswirkungen auf die Cluster-Verfügbarkeit haben.

Q: Was mache ich, wenn meine Amazon EKS-Worker-Knoten über verwaltete Elastic-Network-Schnittstellen keine Verbindung zur Kubernetes-Steuerebene herstellen können?

Wenn bei den Worker-Knoten Verbindungsprobleme auftreten, ergreife die folgenden Maßnahmen:

• Stelle sicher, dass sich verwaltete Elastic-Network-Schnittstellen in der VPC des Clusters befinden.
• Stelle sicher, dass die Sicherheitsgruppe oder Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) des Clusters eingehenden Datenverkehr von Knoten auf Port 443 zulässt.

Q: Wie schnell kann ich den neuen CIDR-Block verwenden, den ich der VPC meines Clusters hinzugefügt habe?

Du kannst den neuen CIDR-Block sofort verwenden, nachdem du ihn hinzugefügt hast. Da die Steuerebene den neuen CIDR-Block jedoch erst erkennt, nachdem der Abgleich abgeschlossen ist, führe die Befehle kubectl exec und kubectl logs erst danach aus. Der Abgleich dauert ungefähr 5 Stunden. Wenn du Pods hast, die als Webhook-Backend fungieren, musst du außerdem warten, bis der Abgleich der Steuerebene abgeschlossen ist. Weitere Informationen findest du unter Anforderungen und Überlegungen zu VPCs.