Come posso configurare le mie sottoreti per un cluster Amazon EKS?

4 minuti di lettura
0

Desidero configurare le sottoreti in modo che funzionino con il cluster Amazon Elastic Kubernetes Service (Amazon EKS).

Breve descrizione

Scegli una delle seguenti opzioni di configurazione:

  • Per ottenere l'accesso a Internet in uscita e in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete pubblica.
  • Per ottenere solo l'accesso a Internet in uscita dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata con accesso a Internet in uscita.
  • Per limitare l'accesso a Internet sia in uscita che in entrata dai nodi worker, completa la procedura descritta nella sezione Configurazione di una sottorete privata senza accesso a Internet. Ad esempio, scegli questa risoluzione per un cluster Amazon EKS privato.

Risoluzione

Configurazione di una sottorete pubblica

Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:

1.    Associa la sottorete a una tabella di instradamento configurata per instradare il traffico verso la destinazione 0.0.0.0/0 tramite un gateway Internet. Ad esempio: igw-xxxxxxxx

2.    Attiva l'attributo dell'indirizzo IPV4 pubblico di assegnazione automatica per la sottorete.

3.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Configurazione di una sottorete privata con accesso a Internet in uscita

Quando crei una sottorete per il tuo cluster Amazon EKS, considera quanto segue:

1.    Associa la sottorete a una tabella di instradamento configurata per instradare il traffico verso un gateway NAT per consentire solo la connettività in uscita a Internet.

2.    Verifica che l'indirizzo IPv4 pubblico ad assegnazione automatica per la sottorete non sia attivato.

3.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Configurazione di una sottorete privata senza accesso a Internet

1.    Verifica che la sottorete non sia associata a una tabella di instradamento configurata per instradare il traffico verso un gateway NAT o un gateway Internet. Ciò assicura che l'accesso a Internet sia bloccato dai nodi worker.

2.    Verifica che l'indirizzo IPv4 pubblico con assegnazione automatica non sia attivato.

3.    Crea gli endpoint Amazon Virtual Private Cloud (Amazon VPC) per il tuo VPC. I seguenti endpoint VPC sono necessari perché i nodi woker possano unirsi al cluster Amazon EKS:

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

Nota: sostituisci your_region con la tua tegione AWS.

4.    (Se richiesto) Crea endpoint VPC aggiuntivi in base ai requisiti dell'applicazione. Consulta gli esempi seguenti.

Per Amazon CloudWatch Logs

com.amazonaws.your_region.logs

Per un Kubernetes Cluster Autoscaler o ruoli AWS Identity and Access Management (IAM) per gli account di servizio:

com.amazonaws.your_region.sts

Per un Application Load Balancer:

com.amazonaws.your_region.elasticloadbalancing

Per un Kubernetes Cluster Autoscaler:

com.amazonaws.your_region.autoscaling

Per AWS App Mesh:

com.amazonaws.your_region.appmesh-envoy-management

Per AWS X-Ray:

com.amazonaws.your_region.xray

Nota: sostituisci your_region con la tua tegione AWS.

5.    Completa la procedura descritta nella sezione Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti.

Limitazione dell’implementazione dei bilanciatori del carico con assegnazione di tag alle sottoreti

L’assegnazione di tag alle sottoreti indica ad AWS Load Balancer Controller quale sottorete può essere utilizzata per creare il bilanciatore del carico esterno o interno.

Per le sottoreti pubbliche:

Per limitare l’implementazione di bilanciatori del carico esterni che utilizzano AWS Load Balancer Controller su una sottorete pubblica specifica del VPC, assegna i tag alla sottorete come segue:

Key - kubernetes.io/role/elb
Value - 1

Per le sottoreti private:

Per limitare l'implementazione dei load balancer interni che utilizzano AWS Load Balancer Controller su una sottorete privata specifica, assegna i tag alla sottorete come segue:

Key - kubernetes.io/role/internal-elb
Value - 1

Nota: puoi implementare nodi e risorse Kubernetes nelle stesse sottoreti specificate al momento della creazione del cluster. Puoi anche implementare nodi e risorse Kubernetes in sottoreti non specificate al momento della creazione del cluster. Qualsiasi sottorete in cui implementi nodi e risorse Kubernetes deve soddisfare i requisiti pertinenti. Per informazioni dettagliate, consulta Considerazioni e requisiti relativi alla sottorete.


Informazioni correlate

Requisiti e considerazioni su VPC e sottoreti di Amazon EKS

Nozioni di base di AWS PrivateLink

Requisiti del cluster privati

Bilanciamento del carico di applicazione su Amazon EKS

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa