Route TCP and UDP Verkehr mit Network Load Balancers - Amazon EKS

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Route TCP and UDP Verkehr mit Network Load Balancers

Anmerkung

Neu: Der automatische Modus von Amazon EKS automatisiert Routineaufgaben für den Lastenausgleich. Weitere Informationen finden Sie unter:

Das Load Balancing des Netzwerkverkehrs erfolgt auf L4 des OSI-Modells. Für den Lastenausgleich L7 des Anwendungsverkehrs setzen Sie ein Kubernetes ingress, das einen AWS Application Load Balancer bereitstellt. Weitere Informationen finden Sie unter Routenanwendung und HTTP Verkehr mit Application Load Balancers. Weitere Informationen zu den Unterschieden zwischen den beiden Arten von Load Balancing finden Sie auf der AWS Website unter Elastic Load Balancing Balancing-Funktionen.

Wenn Sie eine erstellen Kubernetes ServiceBeim Typ LoadBalancer erstellt der Load Balancer-Controller des AWS Cloud-Anbieters standardmäßig AWS Classic Load Balancer, kann aber auch AWS Network Load Balancer erstellen. Dieser Controller erhält in Zukunft nur kritische Fehlerbehebungen. Weitere Informationen zur Verwendung des AWS Cloud-Provider-Loadbalancers finden Sie unter AWS Cloud-Provider-Loadbalancer-Controller im Kubernetes -Dokumentation. Seine Verwendung wird in diesem Thema nicht behandelt.

Wir empfehlen, dass Sie Version 2.7.2 oder höher des Load AWS Balancer Controllers anstelle des AWS Cloud-Provider-Load Balancer-Controllers verwenden. Das Tool AWS Load Balancer Controller erstellt AWS Network Load Balancer, aber keine AWS Classic Load Balancer. Der Rest dieses Themas befasst sich mit der Verwendung des Load AWS Balancer Controllers.

Ein AWS Network Load Balancer kann den Netzwerkverkehr lastausgleichen auf Pods für Amazon EC2 IP- und Instance-Ziele, für AWS Fargate-IP-Ziele oder für Amazon EKS-Hybridknoten als IP-Ziele bereitgestellt. Weitere Informationen finden Sie unter AWS Load Balancer Controller auf GitHub.

Voraussetzungen

Bevor Sie den Netzwerkverkehr mit dem Lastenausgleich durchführen können AWS Load Balancer Controller, müssen Sie die folgenden Anforderungen erfüllen.

  • Einen vorhandenen Cluster haben. Wenn Sie noch keinen Cluster haben, finden Sie weitere Informationen unterErste Schritte mit Amazon EKS. Wenn Sie die Version eines vorhandenen Clusters aktualisieren müssen, finden Sie unter Aktualisieren Sie den vorhandenen Cluster auf die neue Kubernetes-Version.

  • Haben Sie den AWS Load Balancer Controller auf Ihrem Cluster bereitgestellt. Weitere Informationen finden Sie unter Internetverkehr mit dem AWS Load Balancer Controller weiterleiten. Wir empfehlen Version 2.7.2 oder höher.

  • Mindestens ein Subnetz. Werden in einer Availability Zone mehrere markierte Subnetze gefunden, wählt der Controller das erste Subnetz, dessen Subnetz-ID lexikografisch an erster Stelle steht. Das Subnetz muss mindestens acht verfügbare IP-Adressen aufweisen.

  • Wenn Sie das verwenden AWS Load Balancer Controller Version 2.1.1 oder früher, Subnetze müssen wie folgt gekennzeichnet werden. Bei Verwendung der Version 2.1.2 oder höher ist dieses Tag optional. Möglicherweise möchten Sie ein Subnetz taggen, wenn mehrere Cluster in derselben VPC ausgeführt werden, oder wenn mehrere AWS Dienste Subnetze in einer VPC gemeinsam nutzen, und Sie mehr Kontrolle darüber haben möchten, wo Load Balancer für jeden Cluster bereitgestellt werden. Wenn Sie ein Subnetz explizit IDs als Anmerkung zu einem Serviceobjekt angeben, Kubernetes und das AWS Load Balancer Controller verwenden Sie diese Subnetze direkt, um den Load Balancer zu erstellen. Subnetz-Tagging ist nicht erforderlich, wenn Sie diese Methode für die Bereitstellung von Load Balancern verwenden, und Sie können die folgenden Anforderungen an die Kennzeichnung privater und öffentlicher Subnetze überspringen. Ersetzen Sie my-cluster mit Ihrem Clusternamen.

    • Schlüsselkubernetes.io/cluster/<my-cluster>

    • Wertshared oder owned

  • Ihre öffentlichen und privaten Subnetze müssen die folgenden Anforderungen erfüllen, es sei denn, Sie geben das Subnetz explizit IDs als Anmerkung zu einem Dienst- oder Eingangsobjekt an. Wenn Sie Load Balancer bereitstellen, indem Sie das Subnetz explizit IDs als Anmerkung zu einem Service- oder Ingress-Objekt angeben, Kubernetes und der AWS Load Balancer Controller Verwenden Sie diese Subnetze direkt, um den Load Balancer zu erstellen. Die folgenden Tags sind nicht erforderlich.

    • Private Subnetze – Müssen im folgenden Format markiert sein. Das ist so, dass Kubernetes und der Load AWS Balancer Controller wissen, dass die Subnetze für interne Load Balancer verwendet werden können. Wenn Sie eine Amazon AWS AWS CloudFormation EKS-Vorlage verwendeneksctl, um Ihre VPC nach dem 26. März 2020 zu erstellen, werden die Subnetze bei der Erstellung entsprechend gekennzeichnet. Weitere Informationen über die Amazon-EKS- AWS - AWS CloudFormation -VPC-Vorlagen finden Sie unter Erstellen Sie eine Amazon VPC für Ihren Amazon EKS-Cluster.

      • Schlüsselkubernetes.io/role/internal-elb

      • Wert1

    • Öffentliche Subnetze – Müssen im folgenden Format markiert sein. Das ist so, dass Kubernetes weiß, nur diese Subnetze für externe Load Balancer zu verwenden, anstatt in jeder Availability Zone ein öffentliches Subnetz auszuwählen (basierend auf der lexikografischen Reihenfolge des Subnetzes). IDs Wenn Sie eine Amazon AWS CloudFormation EKS-Vorlage verwendeneksctl, um Ihre VPC nach dem 26. März 2020 zu erstellen, werden die Subnetze bei der Erstellung entsprechend gekennzeichnet. Weitere Informationen zu den Amazon AWS CloudFormation EKS-VPC-Vorlagen finden Sie unterErstellen Sie eine Amazon VPC für Ihren Amazon EKS-Cluster.

      • Schlüsselkubernetes.io/role/elb

      • Wert1

    Wenn die Subnetz-Rollen-Tags nicht explizit hinzugefügt werden, wird Kubernetes Service Controller untersucht die Routentabelle Ihrer Cluster-VPC-Subnetze, um festzustellen, ob das Subnetz privat oder öffentlich ist. Wir empfehlen, dass Sie sich nicht auf dieses Verhalten verlassen und stattdessen explizit die privaten oder öffentlichen Rollen-Tags hinzufügen. Das Tool AWS Load Balancer Controller untersucht keine Routing-Tabellen und setzt voraus, dass die privaten und öffentlichen Tags für eine erfolgreiche auto Erkennung vorhanden sind.

Überlegungen

  • Die Konfiguration Ihres Load Balancers wird durch Anmerkungen gesteuert, die zu dem Manifest für Ihren Service hinzugefügt werden. Dienstanmerkungen unterscheiden sich bei der Verwendung von AWS Load Balancer Controller als bei Verwendung des Load Balancer-Controllers des AWS Cloud-Anbieters. Lesen Sie unbedingt die Anmerkungen für AWS Load Balancer Controller vor der Bereitstellung von Diensten.

  • Bei Verwendung des Amazon VPC CNI-Plug-ins für Kubernetes AWS Load Balancer Controller kann einen Lastausgleich auf Amazon EC2 IP- oder Instance-Ziele und Fargate-IP-Ziele durchführen. Wenn Sie alternative kompatible CNI-Plug-ins verwenden, kann der Controller nur einen Lastenausgleich auf Instance-Ziele durchführen, es sei denn, Sie führen einen Lastenausgleich auf Amazon EKS-Hybridknoten durch. Bei Hybridknoten kann der Controller den Lastenausgleich für IP-Ziele durchführen. Weitere Informationen zu Network-Load-Balancer-Zieltypen finden Sie unter Zieltyp im Benutzerhandbuch für Network Load Balancers.

  • Wenn Sie dem Load Balancer bei oder nach seiner Erstellung Tags hinzufügen möchten, fügen Sie Ihrer Servicespezifikation die folgende Anmerkung hinzu. Weitere Informationen finden Sie unter AWS Resource Tags im AWS Load Balancer Controller -Dokumentation.

    service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags
  • Sie können Elastic IP-Adressen zum Network Load Balancer hinzufügen, indem Sie die folgende Anmerkung hinzufügen. Ersetzen Sie die example values mit den Allocation IDs Ihrer elastischen IP-Adressen. Die Anzahl der Allocation IDs muss mit der Anzahl der Subnetze übereinstimmen, die für den Load Balancer verwendet werden. Weitere Informationen finden Sie unter Ressourcen-Tags in der AWS -Load-Balancer-Controller-Dokumentation.

    service.beta.kubernetes.io/aws-load-balancer-eip-allocations: eipalloc-xxxxxxxxxxxxxxxxx,eipalloc-yyyyyyyyyyyyyyyyy
  • Amazon EKS fügt der Sicherheitsgruppe des Knotens eine Regel für eingehenden Datenverkehr und eine Regel für jedes Load Balancer-Subnetz in der VPC für Zustandsprüfungen für jeden von Ihnen erstellten Network Load Balancer hinzu. Bereitstellung eines Dienstes vom TypLoadBalancerkann fehlschlagen, wenn Amazon EKS versucht, Regeln zu erstellen, die das Kontingent für die maximal zulässige Anzahl von Regeln für eine Sicherheitsgruppe überschreiten. Weitere Informationen dazu finden Sie im Abschnitt Sicherheitsgruppe in Amazon VPC-Kontingenten im Amazon VPC-Benutzerhandbuch. Berücksichtigen Sie die folgenden Optionen, um die Wahrscheinlichkeit zu minimieren, dass die maximale Anzahl von Regeln für eine Sicherheitsgruppe überschritten wird:

    • Fordern Sie eine Erhöhung Ihrer Regeln pro Sicherheitsgruppenkontingent an. Weitere Informationen dazu finden Sie unter Beantragen einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch.

    • Verwenden Sie IP-Ziele anstelle von Instance-Zielen. Mit IP-Zielen können Sie Regeln für dieselben Zielports freigeben. Sie können Load-Balancer-Subnetze manuell mit einer Anmerkung angeben. Weitere Informationen finden Sie unter Anmerkungen zu GitHub.

    • Verwenden Sie einen Eingang anstelle eines Services vom Typ LoadBalancer, um Datenverkehr an Ihren Service zu senden. Der AWS Application Load Balancer benötigt weniger Regeln als Network Load Balancer. Sie können einen ALB für mehrere Eingänge freigeben. Weitere Informationen finden Sie unter Routenanwendung und HTTP Verkehr mit Application Load Balancers. Sie können einen Network Load Balancer nicht für mehrere Dienste gemeinsam nutzen.

    • Stellen Sie Ihre Cluster für mehrere Konten bereit.

  • Wenn Ihre Pods ausführen auf Windows In einem Amazon EKS-Cluster kann ein einzelner Service mit einem Load Balancer bis zu 1024 Back-End unterstützen Pods. Jeder Pod hat seine eigene eindeutige IP-Adresse.

  • Wir empfehlen, neue Network Load Balancer nur mit dem zu erstellen AWS Load Balancer Controller. Der Versuch, vorhandene Network Load Balancer zu ersetzen, die mit dem Load Balancer-Controller des AWS Cloud-Anbieters erstellt wurden, kann zu mehreren Network Load Balancers führen, was zu Anwendungsausfällen führen kann.

Erstellen eines Network Load Balancers

Sie können einen Netzwerk-Load-Balancer mit IP- oder Instance-Zielen erstellen.

Netzwerk-Loadbalancer erstellen — IP-Ziele

  • Sie können IP-Ziele verwenden mit Pods auf EC2 Amazon-Knoten, Fargate- oder Amazon EKS-Hybridknoten bereitgestellt. Ihre Kubernetes Der Service muss als Typ LoadBalancer erstellt werden. Weitere Informationen finden Sie unter Geben Sie LoadBalancer den ein Kubernetes -Dokumentation.

    Um einen Load Balancer zu erstellen, der IP-Ziele verwendet, fügen Sie die folgende Anmerkung zu einem Service-Manifest hinzu und stellen Sie den Dienst bereit. Der external Wert für aws-load-balancer-type ist der Grund für AWS Load Balancer Controller, und nicht den Load Balancer-Controller des AWS Cloud-Anbieters, um den Network Load Balancer zu erstellen. Sie können ein Beispiel-Service-Manifest mit den Anmerkungen anzeigen.

    service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip"
    Anmerkung

    Wenn Sie einen Lastenausgleich durchführen auf IPv6 Pods, fügen Sie die folgende Anmerkung hinzu. Load Balancing über IPv6 funktioniert nur auf IP-Ziele, nicht auf Instance-Ziele. Ohne diese Anmerkung verläuft das Load Balancing über IPv4.

    service.beta.kubernetes.io/aws-load-balancer-ip-address-type: dualstack

    Network Load Balancer werden standardmäßig mit dem internal aws-load-balancer-scheme erstellt. Sie können Network Load Balancers in jedem Subnetz in der VPC Ihres Clusters starten, einschließlich Subnetzen, die bei der Erstellung Ihres Clusters nicht angegeben wurden.

    Kubernetes untersucht die Routing-Tabelle für Ihre Subnetze, um festzustellen, ob es sich um öffentliche oder private Subnetze handelt. Öffentliche Subnetze verfügen über einen direkten Zugang zum Internet über ein Internet-Gateway, nicht aber private Subnetze.

    Wenn Sie einen Network Load Balancer in einem öffentlichen Subnetz für den Lastenausgleich auf EC2 Amazon-Knoten erstellen möchten (Fargate kann nur privat sein), geben Sie dies internet-facing mit der folgenden Anmerkung an:

    service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing"
    Anmerkung

    Aus Gründen der Abwärtskompatibilität wird service.beta.kubernetes.io/aws-load-balancer-type: "nlb-ip" weiterhin unterstützt. Wir empfehlen jedoch die Verwendung der vorherigen Anmerkungen für neue Load Balancer anstelle von service.beta.kubernetes.io/aws-load-balancer-type: "nlb-ip".

    Wichtig

    Bearbeiten Sie die Anmerkungen nicht, nachdem Sie Ihren Service erstellt haben. Wenn Sie es ändern müssen, löschen Sie das Service-Objekt und erstellen es erneut mit dem gewünschten Wert für diese Anmerkung.

Netzwerk-Loadbalancer erstellen — Instance-Ziele

  • Der Load Balancer-Controller des AWS Cloud-Anbieters erstellt Network Load Balancer nur mit Instanzzielen. Version 2.2.0 und höher des Load AWS Balancer Controllers erstellen auch Network Load Balancer mit Instanzzielen. Wir empfehlen, ihn anstelle des Load Balancer-Controllers des AWS Cloud-Anbieters zu verwenden, um neue Network Load Balancer zu erstellen. Sie können Network Load Balancer Balancer-Instanzziele verwenden mit Pods auf EC2 Amazon-Knoten bereitgestellt, aber nicht auf Fargate. Zum Lastenausgleich des Netzwerkverkehrs zwischen Pods in Fargate eingesetzt, müssen Sie IP-Ziele verwenden.

    Um einen Network Load Balancer in einem privaten Subnetz bereitzustellen, muss Ihre Service-Spezifikation über die folgenden Anmerkungen verfügen. Sie können ein Beispiel-Service-Manifest mit den Anmerkungen anzeigen. Der external aws-load-balancer-type Wert für veranlasst den Load AWS Balancer Controller und nicht den Load Balancer Controller des AWS Cloud-Anbieters, den Network Load Balancer zu erstellen.

    service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "instance"

    Network Load Balancer werden standardmäßig mit dem internal aws-load-balancer-scheme erstellt. Für interne Network Load Balancer muss Ihr Amazon-EKS-Cluster so konfiguriert werden, dass er mindestens ein privates Subnetz in Ihrer VPC verwendet. Kubernetes untersucht die Routing-Tabelle für Ihre Subnetze, um festzustellen, ob es sich um öffentliche oder private Subnetze handelt. Öffentliche Subnetze verfügen über einen direkten Zugang zum Internet über ein Internet-Gateway, nicht aber private Subnetze.

    Wenn Sie einen Network Load Balancer in einem öffentlichen Subnetz für den Lastenausgleich auf EC2 Amazon-Knoten erstellen möchten, geben Sie dies internet-facing mit der folgenden Anmerkung an:

    service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing"
    Wichtig

    Bearbeiten Sie die Anmerkungen nicht, nachdem Sie Ihren Service erstellt haben. Wenn Sie es ändern müssen, löschen Sie das Service-Objekt und erstellen es erneut mit dem gewünschten Wert für diese Anmerkung.

(Optional) Bereitstellen einer Beispielanwendung

  • Mindestens ein öffentliches oder privates Subnetz in Ihrer Cluster-VPC.

  • Haben Sie den AWS Load Balancer Controller auf Ihrem Cluster bereitgestellt. Weitere Informationen finden Sie unter Internetverkehr mit dem AWS Load Balancer Controller weiterleiten. Wir empfehlen Version 2.7.2 oder höher.

    1. Wenn Sie in Fargate bereitstellen, stellen Sie sicher, dass in Ihrer VPC ein privates Subnetz verfügbar ist, und erstellen Sie ein Fargate-Profil. Wenn Sie nicht auf Fargate bereitstellen, überspringen Sie diesen Schritt. Sie können das Profil erstellen, indem Sie den folgenden Befehl ausführen oder in AWS Management Console die gleichen Werte für name und namespace verwenden, die im Befehl enthalten sind. Ersetzen Sie das example values durch Ihr eigenes.

      eksctl create fargateprofile \ --cluster my-cluster \ --region region-code \ --name nlb-sample-app \ --namespace nlb-sample-app
    2. Bereitstellen einer Beispielanwendung

      1. Erstellen Sie einen Namespace für die Anwendung.

        kubectl create namespace nlb-sample-app
      2. Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen „sample-deployment.yaml“ auf Ihrem Computer.

        apiVersion: apps/v1 kind: Deployment metadata: name: nlb-sample-app namespace: nlb-sample-app spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: public.ecr.aws/nginx/nginx:1.23 ports: - name: tcp containerPort: 80
      3. Wenden Sie die Manifestdatei auf Ihren Cluster an.

        kubectl apply -f sample-deployment.yaml
    3. Erstellen Sie einen Service mit einem zum Internet offenen Network Load Balancer, der Load Balancing auf IP-Ziele vornimmt.

      1. Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen „sample-service.yaml“ -Datei auf Ihrem Computer. Wenn Sie auf Fargate-Knoten bereitstellen, entfernen Sie die service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing Leitung.

        apiVersion: v1 kind: Service metadata: name: nlb-sample-service namespace: nlb-sample-app annotations: service.beta.kubernetes.io/aws-load-balancer-type: external service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing spec: ports: - port: 80 targetPort: 80 protocol: TCP type: LoadBalancer selector: app: nginx
      2. Wenden Sie die Manifestdatei auf Ihren Cluster an.

        kubectl apply -f sample-service.yaml
    4. Stellen Sie sicher, dass der Dienst bereitgestellt wurde.

      kubectl get svc nlb-sample-service -n nlb-sample-app

      Eine Beispielausgabe sieht wie folgt aus.

      NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE sample-service LoadBalancer 10.100.240.137 k8s-nlbsampl-nlbsampl-xxxxxxxxxx-xxxxxxxxxxxxxxxx.elb.region-code.amazonaws.com 80:32400/TCP 16h
      Anmerkung

      Die Werte für 10.100.240.137 und xxxxxxxxxx - unterscheiden xxxxxxxxxxxxxxxx sich von der Beispielausgabe (sie gelten nur für Ihren Load Balancer) und us-west-2 können für Sie unterschiedlich sein, je nachdem, in welcher AWS Region sich Ihr Cluster befindet.

    5. Öffne den Amazon EC2 AWS Management Console. Wählen Sie Target Groups (Zielgruppen) unter Load Balancing (Lastausgleich) im linken Navigationsbereich aus. Wählen Sie in der Spalte Name den Namen der Zielgruppe aus, wobei der Wert in der Spalte Load Balancer einem Teil des Namens in der EXTERNAL-IP Spalte der Ausgabe im vorherigen Schritt entspricht. Sie würden beispielsweise die benannte Zielgruppe auswählen, k8s-default-samplese-xxxxxxxxxx wenn Ihre Ausgabe mit der vorherigen Ausgabe identisch wäre. Der Zieltyp ist IP, weil dies im Beispiel-Manifest des Services angegeben wurde.

    6. Wählen Sie Ihre Zielgruppe und danach die Registerkarte Ziele aus. Unter Registrierte Ziele sollten Sie drei IP-Adressen der drei Replikate sehen, die in einem vorherigen Schritt bereitgestellt wurden. Warten Sie, bis der Status aller Ziele fehlerfrei ist, bevor Sie fortfahren. Möglicherweise dauert es ein paar Minuten, bis alle Ziele healthy sind. Die Ziele können sich in einem unhealthy-Zustand befinden, bevor sie in einen healthy-Zustand wechseln.

    7. Senden Sie Datenverkehr an den Dienst, indem Sie xxxxxxxxxx-xxxxxxxxxxxxxxxx und us-west-2 durch die Werte ersetzen, die in der Ausgabe für einen vorherigen Schritt für EXTERNAL-IP zurückgegeben wurden. Wenn Sie die Bereitstellung in einem privaten Subnetz durchgeführt haben, müssen Sie die Seite von einem Gerät in Ihrer VPC aus aufrufen, z. B. von einem Bastion-Host aus. Weitere Informationen finden Sie unter Linux-Bastion-Hosts in AWS.

      curl k8s-default-samplese-xxxxxxxxxx-xxxxxxxxxxxxxxxx.elb.region-code.amazonaws.com

      Eine Beispielausgabe sieht wie folgt aus.

      <!DOCTYPE html> <html> <head> <title>Welcome to nginx!</title> [...]
    8. Wenn Sie mit der Beispielbereitstellung, dem Service und dem Namespace fertig sind, entfernen Sie sie.

      kubectl delete namespace nlb-sample-app