Come posso configurare le mie sottoreti per un cluster Amazon EKS?
Desidero configurare le sottoreti in modo che funzionino con il cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Breve descrizione
Scegli una delle seguenti opzioni di configurazione:
- Per ottenere l'accesso a Internet in uscita e in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete pubblica.
- Per ottenere solo l'accesso a Internet in uscita dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata con accesso a Internet in uscita.
- Per limitare l'accesso a Internet sia in uscita che in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata senza accesso a Internet. Ad esempio, scegli questa risoluzione per un cluster Amazon EKS privato.
Risoluzione
Configurazione di una sottorete pubblica
Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:
1. Associa la sottorete a una tabella di instradamento configurata per instradare il traffico verso la destinazione 0.0.0.0/0 tramite un gateway Internet. Ad esempio: igw-xxxxxxxx
2. Attiva l'attributo dell'indirizzo IPV4 pubblico di assegnazione automatica per la sottorete.
3. Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.
Configurazione di una sottorete privata con accesso a Internet in uscita
Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:
1. Associa la sottorete a una tabella di instradamento configurata per instradare il traffico verso un gateway NAT per consentire solo la connettività in uscita a Internet.
2. Verifica che l'indirizzo IPv4 pubblico ad assegnazione automatica per la sottorete non sia attivato.
3. Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.
Configurazione di una sottorete privata senza accesso a Internet
1. Verifica che la sottorete non sia associata a una tabella di instradamento configurata per instradare il traffico verso un gateway NAT o un gateway Internet. Ciò assicura che l'accesso a Internet sia bloccato dai nodi worker.
2. Verifica che l'indirizzo IPv4 pubblico con assegnazione automatica non sia attivato.
3. Crea gli endpoint Amazon Virtual Private Cloud (Amazon VPC) per il tuo VPC. I seguenti endpoint VPC sono necessari perché i nodi woker possano unirsi al cluster Amazon EKS:
com.amazonaws.your_region.ec2 com.amazonaws.your_region.ecr.api com.amazonaws.your_region.ecr.dkr com.amazonaws.your_region.s3
Nota: sostituisci your_region con la tua tegione AWS.
4. (Se richiesto) Crea endpoint VPC aggiuntivi in base ai requisiti dell'applicazione. Consulta gli esempi seguenti.
Per Amazon CloudWatch Logs
com.amazonaws.your_region.logs
Per un Kubernetes Cluster Autoscaler o ruoli AWS Identity and Access Management (IAM) per gli account di servizio:
com.amazonaws.your_region.sts
Per un Application Load Balancer:
com.amazonaws.your_region.elasticloadbalancing
Per un Kubernetes Cluster Autoscaler:
com.amazonaws.your_region.autoscaling
Per AWS App Mesh:
com.amazonaws.your_region.appmesh-envoy-management
Per AWS X-Ray:
com.amazonaws.your_region.xray
Nota: sostituisci your_region con la tua tegione AWS.
5. Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.
Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti
L’assegnazione di tag alle sottoreti indica ad AWS Load Balancer Controller quale sottorete può essere utilizzata per creare il bilanciatore del carico esterno o interno.
Per le sottoreti pubbliche:
Per limitare l’implementazione di bilanciatori del carico esterni che utilizzano AWS Load Balancer Controller su una sottorete pubblica specifica del VPC, assegna i tag alla sottorete come segue:
Key - kubernetes.io/role/elb Value - 1
Per le sottoreti private:
Per limitare l'implementazione dei load balancer interni che utilizzano AWS Load Balancer Controller su una sottorete privata specifica, assegna i tag alla sottorete come segue:
Key - kubernetes.io/role/internal-elb Value - 1
Nota: puoi implementare nodi e risorse Kubernetes nelle stesse sottoreti specificate al momento della creazione del cluster. Puoi anche implementare nodi e risorse Kubernetes in sottoreti non specificate al momento della creazione del cluster. Qualsiasi sottorete in cui implementi nodi e risorse Kubernetes deve soddisfare i requisiti pertinenti. Per informazioni dettagliate, consulta Considerazioni e requisiti relativi alla sottorete.
Informazioni correlate
Requisiti e considerazioni su VPC e sottoreti di Amazon EKS
Contenuto pertinente
- AWS UFFICIALEAggiornata 5 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 10 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa