J'ai quelques questions concernant l'architecture de mise en réseau des clusters dans Amazon Elastic Kubernetes Service (Amazon EKS).
Q : Quels sont les modes de mise en réseau des points de terminaison du cluster disponibles dans Amazon EKS ?
Amazon EKS propose trois modes de mise en réseau qui incluent les points de terminaison publics uniquement, les points de terminaison publics et privés et le point de terminaison privé uniquement. Le paramètre de point de terminaison que vous configurez détermine la manière dont vos nœuds se connectent au plan de contrôle Kubernetes. Pour plus d'informations, consultez la section Démystifier la mise en réseau des clusters pour les nœuds de travail Amazon EKS.
Q : Comment mes nœuds Amazon EKS se connectent-ils au plan de contrôle en mode point de terminaison public uniquement ?
Lorsque vous activez le mode point de terminaison public uniquement pour votre cluster, vos nœuds doivent disposer de l'une des routes suivantes pour se connecter au plan de contrôle Kubernetes :
- Une route IP publique via une passerelle Internet
- Une route IP privée via une passerelle NAT
Q : Comment les restrictions CIDR que j'ajoute à mon cluster contrôlent-elles l'accès à un point de terminaison public ?
Les restrictions CIDR limitent les adresses IP client qui peuvent se connecter à un point de terminaison public. Pour plus d'informations, consultez la section Modification de l'accès aux points de terminaison du cluster.
Q : Que se passe-t-il lorsque j'active des points de terminaison publics et privés pour mon cluster ?
L'activation des points de terminaison publics et privés permet aux requêtes d'API Kubernetes provenant du cloud privé virtuel (VPC) du cluster de communiquer avec le plan de contrôle via des interfaces réseau élastiques gérées. Le serveur d'API de votre cluster est alors accessible depuis Internet.
Q : Dois-je déployer mes nœuds de travail Amazon EKS dans les mêmes sous-réseaux que ceux que j'ai spécifiés lors de la création de mon cluster ?
Non. Vous pouvez déployer vos nœuds de travail dans d'autres sous-réseaux au sein du même Amazon Virtual Private Cloud (Amazon VPC) que votre cluster.
Q : Puis-je personnaliser les interfaces réseau élastiques gérées pour mon cluster Amazon EKS ?
Oui. Cependant, cette pratique est déconseillée. Amazon EKS gère la personnalisation des interfaces réseau élastiques gérées. Lorsque vous personnalisez les interfaces réseau élastiques gérées pour votre cluster, vous pouvez affecter la disponibilité du cluster.
Q : Que dois-je faire si mes nœuds de travail Amazon EKS ne peuvent pas se connecter au plan de contrôle Kubernetes via des interfaces réseau élastiques gérées ?
Si vos nœuds de travail rencontrent des problèmes de connectivité, prenez les mesures suivantes :
- Assurez-vous que les interfaces réseau élastiques gérées se trouvent dans le VPC de votre cluster.
- Assurez-vous que le groupe de sécurité ou la liste de contrôle d'accès réseau (liste ACL réseau) de votre cluster autorise le trafic entrant depuis les nœuds du port 443.
Q : Dans combien de temps puis-je utiliser le nouveau bloc CIDR que j'ai ajouté au VPC de mon cluster ?
Vous pouvez utiliser le nouveau bloc CIDR immédiatement après l'avoir ajouté. Cependant, étant donné que le plan de contrôle ne reconnaît le nouveau bloc CIDR qu'une fois la réconciliation terminée, exécutez les commandes kubectl exec et kubectl logs uniquement par la suite. La réconciliation prend environ 5 heures. De plus, si vos pods fonctionnent comme un backend webhook, vous devez attendre la fin de la réconciliation du plan de contrôle. Pour plus d'informations, consultez la section Exigences et considérations relatives au VPC.