Amazon EKS 클러스터에 대한 서브넷을 구성하려면 어떻게 해야 합니까?

3분 분량
0

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 사용할 서브넷을 구성하려고 합니다.

간략한 설명

다음 구성 옵션 중 하나를 선택합니다.

  • 작업자 노드에서 아웃바운드 및 인바운드 인터넷 액세스를 사용하려면 퍼블릭 서브넷 구성 섹션의 단계를 완료합니다.
  • 작업자 노드에서 아웃바운드 인터넷 액세스만 사용하려면 아웃바운드 인터넷 액세스로 프라이빗 서브넷 구성 섹션의 단계를 완료합니다.
  • 작업자 노드에서 아웃바운드 및 인바운드 인터넷 액세스를 모두 제한하려면 인터넷에 액세스할 수 없는 프라이빗 서브넷 구성 섹션의 단계를 완료합니다. 예를 들어 프라이빗 Amazon EKS 클러스터에 대해 이 해결 방법을 선택합니다.

해결 방법

퍼블릭 서브넷 구성

Amazon EKS 클러스터용 서브넷을 생성할 때는 다음 사항을 고려하세요.

1.    인터넷 게이트웨이를 통해 트래픽을 0.0.0.0/0 대상으로 라우팅하도록 구성된 라우팅 테이블에 서브넷을 연결합니다. 예: igw-xxxxxxxx

2.    서브넷에 대해 [퍼블릭 IPV4 주소 자동 할당(auto-assign public IPV4 address)] 속성을 사용하도록 활성화합니다.

3.    서브넷 태깅을 사용하여 로드 밸런서의 배포 제한 섹션의 단계를 완료합니다.

아웃바운드 인터넷 액세스로 프라이빗 서브넷 구성

Amazon EKS 클러스터용 서브넷을 생성할 때는 다음 사항을 고려하세요.

1.    트래픽을 NAT 게이트웨이로 라우팅하여 인터넷에 대한 아웃바운드 연결만 허용하도록 구성된 라우팅 테이블에 서브넷을 연결합니다.

2.    서브넷에 대해 [퍼블릭 IPV4 주소 자동 할당(auto-assign public IPV4 address)]이 활성화되지 않는지 확인합니다.

3.    서브넷 태깅을 사용하여 로드 밸런서의 배포 제한 섹션의 단계를 완료합니다.

인터넷에 액세스할 수 없는 프라이빗 서브넷 구성

1.    서브넷이 트래픽을 NAT 게이트웨이 또는 인터넷 게이트웨이로 라우팅하도록 구성된 라우팅 테이블에 연결되지 않았는지 확인합니다. 이렇게 하면 워커 노드에서의 인터넷 액세스가 차단됩니다.

2.    [퍼블릭 IPV4 주소 자동 할당(auto-assign public IPV4 address)]이 활성화되지 않는지 확인합니다.

3.    VPC에 대한 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성합니다. 작업자 노드에서 Amazon EKS 클러스터에 조인하려면 다음 VPC 엔드포인트가 필요합니다.

com.amazonaws.your_region.ec2
com.amazonaws.your_region.ecr.api
com.amazonaws.your_region.ecr.dkr
com.amazonaws.your_region.s3

참고: your_region을 해당하는 AWS 리전으로 바꿉니다.

4.    (필요한 경우) 애플리케이션 요구 사항에 따라 추가 VPC 엔드포인트를 생성합니다. 다음 예제를 참조하세요.

Amazon CloudWatch Logs의 경우:

com.amazonaws.your_region.logs

Kubernetes Cluster Autoscaler 또는 서비스 계정에 대한 AWS Identity and Access Management(IAM) 역할의 경우:

com.amazonaws.your_region.sts

Application Load Balancer의 경우:

com.amazonaws.your_region.elasticloadbalancing

Kubernetes Cluster Autoscaler의 경우:

com.amazonaws.your_region.autoscaling

AWS App Mesh의 경우:

com.amazonaws.your_region.appmesh-envoy-management

AWS X-Ray의 경우:

com.amazonaws.your_region.xray

참고: your_region을 해당하는 AWS 리전으로 바꿉니다.

5.    서브넷 태깅을 사용하여 로드 밸런서의 배포 제한 섹션의 단계를 완료합니다.

서브넷 태깅을 사용하여 로드 밸런서의 배포 제한

서브넷 태깅은 AWS Load Balancer 컨트롤러에 외부 또는 내부 로드 밸런서를 생성하는 데 사용할 수 있는 서브넷을 알려줍니다.

퍼블릭 서브넷의 경우:

VPC의 특정 퍼블릭 서브넷에서 AWS Load Balancer 컨트롤러를 사용하여 외부 로드 밸런서의 배포를 제한하려면 해당 서브넷을 다음과 같이 태깅합니다.

Key - kubernetes.io/role/elb
Value - 1

프라이빗 서브넷의 경우:

특정 프라이빗 서브넷에서 AWS Load Balancer 컨트롤러를 사용하여 내부 로드 밸런서의 배포를 제한하려면 해당 서브넷을 다음과 같이 태깅합니다.

Key - kubernetes.io/role/internal-elb
Value - 1

참고: 노드 및 Kubernetes 리소스를 클러스터를 생성할 때 지정한 동일한 서브넷에 배포할 수 있습니다. 또한 클러스터를 생성할 때 지정하지 않은 서브넷에 노드와 Kubernetes 리소스를 배포할 수 있습니다. 노드 및 Kubernetes 리소스를 배포하는 모든 서브넷은 관련 요구 사항을 충족해야 합니다. 자세한 내용은 서브넷 요구 사항 및 고려 사항을 참조하세요.


관련 정보

Amazon EKS VPC 및 서브넷 요구 사항 및 고려 사항

AWS PrivateLink 개념

프라이빗 클러스터 요구 사항

Amazon EKS에서 애플리케이션 로드 밸런싱

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠