我对 Amazon Elastic Kubernetes Service (Amazon EKS) 中的集群网络架构有一些疑问。
**问:**Amazon EKS 中可用的集群端点联网模式有哪些?
Amazon EKS 提供三种联网模式,包括仅公共端点、公共端点和私有端点、仅私有端点。您配置的端点设置决定了您的节点如何连接到 Kubernetes 控制面板。有关更多信息,请参阅揭秘 Amazon EKS Worker 节点集群网络。
**问:**我的 Amazon EKS 节点如何以仅公共端点模式连接到控制面板?
当您为集群开启仅公共端点模式时,您的节点必须具有以下路由之一才能连接到 Kubernetes 控制面板:
- 通过互联网网关的公共 IP 路由
- 通过 NAT 网关的私有 IP 路由
**问:**我添加到集群的 CIDR 限制会如何控制对公共端点的访问权限?
CIDR 限制会限制可以连接到公共端点的客户端 IP 地址。有关更多信息,请参阅修改集群端点访问权限。
**问:**当我为我的集群同时开启公共和私有端点时会发生什么?
开启公共和私有端点后,来自集群虚拟私有云 (VPC) 的 Kubernetes API 请求可通过托管式弹性网络接口与控制面板通信。然后可以从互联网访问您的集群的 API 服务器。
**问:**我是否需要在创建集群时指定的相同子网中部署我的 Amazon EKS Worker 节点?
不用。您可以在集群的同一个 Amazon Virtual Private Cloud (Amazon VPC) 内的其他子网中部署 Worker 节点。
**问:**我能否为我的 Amazon EKS 集群自定义托管式弹性网络接口?
可以。但是,这不是最佳实践。Amazon EKS 会管理托管式弹性网络接口的自定义。当您为集群自定义托管式弹性网络接口时,可能会影响集群的可用性。
**问:**如果我的 Amazon EKS Worker 节点无法通过托管式弹性网络接口连接到 Kubernetes 控制面板,我该怎么办?
如果您的 Worker 节点遇到连接问题,请采取以下措施:
- 确保托管式弹性网络接口位于您的集群的 VPC 中。
- 确保集群的安全组或网络访问控制列表(网络 ACL)允许来自端口 443 节点的入站流量。
**问:**我多久后能使用我添加到集群 VPC 的新 CIDR 区块?
添加新的 CIDR 块后,您可以立即使用它。但是,由于控制面板只有在协调完成后才能识别新的 CIDR 区块,因此只能在协调完成之后运行 kubectl exec 和 kubectl logs 命令。协调大约需要 5 个小时。此外,如果您有作为 webhook 后端运行的容器组 (pod),则必须等待控制面板协调完成。有关更多信息,请参阅 VPC 要求和注意事项。