Amazon-EKS-Netzwerk - Amazon EKS

Amazon-EKS-Netzwerk

Dieses Kapitel bietet einen Überblick über das Amazon-EKS-Netzwerk. Das folgende Diagramm zeigt die wichtigsten Komponenten eines Amazon-EKS-Clusters und die Beziehung dieser Komponenten zu einer VPC.


            EKS-Netzwerk

Die folgenden Erläuterungen helfen Ihnen zu verstehen, wie die Komponenten des Diagramms miteinander in Beziehung stehen und auf welche Themen in diesem Leitfaden und anderen AWS-Leitfäden Sie für weitere Informationen verweisen können.

  • Amazon VPC und Subnetze – Alle Amazon-EKS-Ressourcen werden in einer Region in einem vorhandenen Subnetz in einer vorhandenen VPC bereitgestellt. Weitere Informationen finden Sie unter VPCs und Subnetze im Amazon-VPC-Benutzerhandbuch. Jedes Subnetz existiert in einer Availability Zone. Die VPC und die Subnetze müssen die folgenden Anforderungen erfüllen:

    • VPCs und Subnetze müssen entsprechend getaggt werden, damit Kubernetes weiß, dass es sie zum Bereitstellen von Ressourcen wie Lastenverteilung verwenden kann. Weitere Informationen finden Sie unter Subnetz-Markierung. Wenn Sie die VPC mithilfe einer von Amazon EKS bereitgestellten AWS CloudFormation-Vorlage oder mithilfe von eksctl bereitstellen, werden die VPC und die Subnetze entsprechend für Sie gekennzeichnet.

    • Ein Subnetz hat möglicherweise keinen Internetzugriff. Wenn ein Subnetz keinen Internetzugang hat, müssen die darin bereitgestellten Pods in der Lage sein, auf andere AWS-Dienste wie Amazon ECR zuzugreifen, um Container-Images abzurufen. Weitere Informationen zur Verwendung von Subnetzen ohne Internetzugriff finden Sie unter Private Cluster.

    • Alle öffentlichen Subnetze, die Sie verwenden, müssen so konfiguriert werden, dass öffentliche IP-Adressen für darin gestartete Amazon-EC2-Instances automatisch zugewiesen werden. Weitere Informationen finden Sie unter VPC-IP-Adressierung.

    • Die Knoten und die Steuerungsebene müssen über entsprechend gekennzeichnete Sicherheitsgruppen über alle Ports kommunizieren können. Weitere Informationen finden Sie unter Überlegungen zur Amazon-EKS-Sicherheitsgruppe.

    • Sie können eine Netzwerkrichtlinie für die Netzwerksegmentierung und die Mandantenisolation implementieren. Netzwerkrichtlinien haben mit AWS-Sicherheitsgruppen gemeinsam, dass Sie Regeln für eingehenden und ausgehenden Datenverkehr aufstellen können. Statt aber Sicherheitsgruppen Instances zuzuweisen, weisen Sie Pods über Pod-Auswahlen und -Bezeichnungen Netzwerkrichtlinien zu. Weitere Informationen finden Sie unter Installieren von Calico auf Amazon EKS.

    Sie können eine VPC und Subnetze bereitstellen, die die Amazon EKS-Anforderungen durch manuelle Konfiguration erfüllen, oder indem Sie die VPC und die Subnetze mithilfe von eksctl oder einer von Amazon EKS bereitgestellten AWS CloudFormation-Vorlage bereitstellen. Sowohl die eksctl- als auch die AWS CloudFormation-Vorlage erstellen die VPC und die Subnetze mit der erforderlichen Konfiguration. Weitere Informationen finden Sie unter Erstellen einer VPC für Ihren Amazon-EKS-Cluster.

  • Amazon-EKS-Steuerebene – Wird von Amazon EKS in einer von Amazon EKS verwalteten VPC bereitgestellt und verwaltet. Wenn Sie den Cluster erstellen, erstellt und verwaltet Amazon EKS Netzwerkschnittstellen in Ihrem Konto, deren Beschreibung Amazon EKS <cluster name> enthält. Diese Netzwerkschnittstellen ermöglichen es AWS-Fargate- und -Amazon-EC2-Instances, mit der Steuerebene zu kommunizieren.

    Standardmäßig macht die Steuerebene einen öffentlichen Endpunkt verfügbar, damit Clients und Knoten mit dem Cluster kommunizieren können. Sie können die Quell-IP-Adressen der Internet-Clients einschränken, die mit dem öffentlichen Endpunkt kommunizieren können. Alternativ können Sie einen privaten Endpunkt aktivieren und den öffentlichen Endpunkt deaktivieren oder sowohl den öffentlichen als auch den privaten Endpunkt aktivieren. Weitere Informationen zu Clusterendpunkten finden Sie unter Zugriffskontrolle für den Amazon-EKS-Cluster-Endpunkt.

    Clients in Ihrem lokalen Netzwerk oder anderen VPCs können mit dem öffentlichen oder privaten Endpunkt kommunizieren, wenn Sie die Konnektivität zwischen der VPC, in der der Cluster bereitgestellt wird, und den anderen Netzwerken konfiguriert haben. Weitere Informationen zum Verbinden Ihrer VPC mit anderen Netzwerken finden Sie in den technischen Papieren zu den Konnektivitätsoptionen von AWS-Netzwerk-zu-Amazon-VPC und Amazon-VPC-zu-Amazon-VPC-Konnektivitätsoptionen.

  • Amazon-EC2-Instances – Jeder Amazon-EC2-Knoten wird in einem Subnetz bereitgestellt. Jedem Knoten wird eine private IP-Adresse aus einem dem Subnetz zugewiesenen CIDR-Block zugewiesen. Wenn die Subnetze mit einer der von Amazon EKS bereitgestellten AWS CloudFormation-Vorlagen erstellt wurden, wird den in öffentlichen Subnetzen bereitgestellten Knoten automatisch eine öffentliche IP-Adresse vom Subnetz zugewiesen. Jeder Knoten wird mit dem Pod-Netzwerk (CNI) bereitgestellt, das standardmäßig jedem Pod eine private IP-Adresse aus dem CIDR-Block zuweist, der dem Subnetz zugewiesen ist, in dem sich der Knoten befindet, und die IP-Adresse als sekundäre IP-Adresse zu einer der angeschlossenen Netzwerkschnittstellen hinzufügt die Instance. Diese AWS-Ressource wird in der AWS Management Console und in der Amazon EC2-API als network interface (Netzwerkschnittstelle) bezeichnet. Daher verwenden wir „Netzwerkschnittstelle“ in dieser Dokumentation anstelle von „Elastic Network-Schnittstelle“. Der Begriff „Netzwerkschnittstelle“ in dieser Dokumentation bedeutet immer „Elastic Network-Schnittstelle“.

    Sie können dieses Verhalten ändern, indem Sie Ihrer VPC zusätzliche CIDR-Blöcke zuweisen und Benutzerdefinierte CNI-Netzwerke aktivieren, wodurch Pods IP-Adressen aus anderen Subnetzen zugewiesen werden, als der Knoten bereitgestellt wird. Um benutzerdefiniertes Netzwerk zu verwenden, müssen Sie es beim Starten Ihrer Knoten aktivieren. Sie können auch einigen der Pods, die auf vielen Amazon-EC2-Instance-Typen ausgeführt werden, eindeutige Sicherheitsgruppen zuordnen. Weitere Informationen finden Sie unter Sicherheitsgruppen für Pods.

    Standardmäßig wird die Quell-IP-Adresse jedes Pods, der mit Ressourcen außerhalb der VPC kommuniziert, durch Network Address Translation (NAT) in die primäre IP-Adresse der primären Netzwerkschnittstelle übersetzt, welche mit dem Knoten verbunden ist. Sie können dieses Verhalten so ändern, dass stattdessen ein NAT-Gerät in einem privaten Subnetz die IP-Adresse jedes Pods in die IP-Adresse des NAT-Geräts übersetzt. Weitere Informationen finden Sie unter Externes Source Network Address Translation (SNAT).

  • Fargate-Pods – Wird nur in privaten Subnetzen bereitgestellt. Jedem Pod wird eine private IP-Adresse aus dem dem Subnetz zugewiesenen CIDR-Block zugewiesen. Fargate unterstützt nicht alle Pod-Netzwerkoptionen. Weitere Informationen finden Sie unter Überlegungen zu AWS-Fargate.