Hilf mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
EKSNetzwerkanforderungen VPC und Subnetze von Amazon anzeigen
Wenn Sie einen Cluster erstellen, geben Sie ein VPCund mindestens zwei Subnetze an, die sich in unterschiedlichen Availability Zones befinden. Dieses Thema bietet einen Überblick über die EKS Amazon-spezifischen Anforderungen und Überlegungen für die Subnetze VPC und die Subnetze, die Sie mit Ihrem Cluster verwenden. Wenn Sie keine mit Amazon verwenden VPC möchtenEKS, können Sie eine mit einer von Amazon EKS bereitgestellten AWS CloudFormation Vorlage erstellen. Wenn Sie einen lokalen oder erweiterten Cluster auf erstellen AWS Outposts, lesen Sie Erstellen Sie ein VPC und Subnetze für EKS Amazon-Cluster auf AWS Outposts statt dieses Thema weiter.
VPCAnforderungen und Überlegungen
Wenn Sie einen Cluster erstellen, muss der VPC von Ihnen angegebene Cluster die folgenden Anforderungen und Überlegungen erfüllen:
-
Sie VPC müssen über eine ausreichende Anzahl von IP-Adressen für den Cluster, alle Knoten und andere verfügen Kubernetes Ressourcen, die Sie erstellen möchten. Wenn dieVPC, die Sie verwenden möchten, nicht über eine ausreichende Anzahl von IP-Adressen verfügt, versuchen Sie, die Anzahl der verfügbaren IP-Adressen zu erhöhen.
Sie können dies tun, indem Sie die Clusterkonfiguration aktualisieren, um zu ändern, welche Subnetze und Sicherheitsgruppen der Cluster verwendet. Sie können von der neuesten Version der AWS Management Console, AWS CLI AWS CloudFormation, und
eksctl
Versionv0.164.0-rc.0
oder höher aus aktualisieren. Möglicherweise müssen Sie dies tun, um Subnetzen mehr verfügbare IP-Adressen zur Verfügung zu stellen, damit eine Clusterversion erfolgreich aktualisiert werden kann.Wichtig
Alle Subnetze, die Sie hinzufügen, müssen sich in derselben Gruppe befinden, die ursprünglich bei der AZs Erstellung des Clusters bereitgestellt wurde. Neue Subnetze müssen alle anderen Anforderungen erfüllen, z. B. müssen sie über ausreichend IP-Adressen verfügen.
Angenommen, Sie haben einen Cluster erstellt und vier Subnetze angegeben. In der Reihenfolge, in der Sie sie angegeben haben, befindet sich das erste Subnetz in der
us-west-2a
Availability Zone, das zweite und dritte Subnetz in derus-west-2b
Availability Zone und das vierte Subnetz in derus-west-2c
Availability Zone. Wenn Sie die Subnetze ändern möchten, müssen Sie in jeder der drei Availability Zones mindestens ein Subnetz angeben, und die Subnetze müssen sich in denselben Subnetzen befinden VPC wie die ursprünglichen Subnetze.Wenn Sie mehr IP-Adressen benötigen, als die CIDR Blöcke in den Blöcken VPC haben, können Sie zusätzliche CIDR Blöcke hinzufügen, indem Sie Ihrem weitere Classless Inter-Domain Routing () -Blöcke zuordnen. CIDR VPC Sie können private zuordnen (RFC 1918) und öffentlich (nicht-RFC 1918) CIDR blockiert Sie VPC entweder vor oder nach der Erstellung Ihres Clusters. Es kann bis zu fünf Stunden dauern, bis ein CIDR Block, den Sie einem Cluster zugeordnet habenVPC, erkannt wird.
Sie können die Nutzung von IP-Adressen schonen, indem Sie ein Transit-Gateway mit Shared Services VPC verwenden. Weitere Informationen finden Sie unter Isoliert VPCs mit Shared Services und Muster zur Erhaltung EKS VPC routingfähiger IP-Adressen von Amazon in einem Hybridnetzwerk
. -
Wenn Sie möchten Kubernetes um
IPv6
Adressen zuzuweisen Pods und Dienste, verknüpfen Sie einenIPv6
CIDR Block mit IhremVPC. Weitere Informationen finden Sie unter EinenIPv6
CIDR Block mit Ihrem verknüpfen VPC im VPC Amazon-Benutzerhandbuch. -
Sie VPC müssen
DNS
Hostname undDNS
Auflösungsunterstützung haben. Andernfalls können keine Knoten dem Cluster beitreten. Weitere Informationen finden Sie unter DNSAttribute für Sie VPC im VPC Amazon-Benutzerhandbuch. -
Dies erfordert VPC möglicherweise die Verwendung VPC AWS PrivateLink von Endgeräten. Weitere Informationen finden Sie unter Subnetz-Anforderungen und -Überlegungen.
Wenn Sie einen Cluster erstellt haben mit Kubernetes 1.14
oder früher EKS hat Amazon Ihrem das folgende Tag hinzugefügtVPC:
Schlüssel | Wert |
---|---|
kubernetes.io/cluster/ |
owned |
Dieses Tag wurde nur von Amazon verwendetEKS. Sie können das Tag entfernen, ohne Ihre Services zu beeinträchtigen. Es wird nicht mit Clustern der Version 1.15
oder höher verwendet.
Subnetz-Anforderungen und -Überlegungen
Wenn Sie einen Cluster erstellen, EKS erstellt Amazon 2—4 elastische Netzwerkschnittstellen in den von Ihnen angegebenen Subnetzen. Diese Netzwerkschnittstellen ermöglichen die Kommunikation zwischen Ihrem Cluster und Ihrem. VPC Diese Netzwerkschnittstellen ermöglichen auch Kubernetes Funktionen wie kubectl exec
undkubectl logs
. Jede EKS von Amazon erstellte Netzwerkschnittstelle hat den Text Amazon EKS
in ihrer Beschreibung.cluster-name
Amazon EKS kann seine Netzwerkschnittstellen in jedem Subnetz erstellen, das Sie bei der Erstellung eines Clusters angeben. Sie können ändern, in welchen Subnetzen Amazon seine Netzwerkschnittstellen EKS erstellt, nachdem Ihr Cluster erstellt wurde. Wenn Sie das aktualisieren Kubernetes Als Version eines Clusters EKS löscht Amazon die ursprünglichen Netzwerkschnittstellen, die es erstellt hat, und erstellt neue Netzwerkschnittstellen. Diese Netzwerkschnittstellen können in denselben Subnetzen wie die ursprünglichen Netzwerkschnittstellen oder in anderen Subnetzen als die ursprünglichen Netzwerkschnittstellen erstellt werden. Um zu steuern, in welchen Subnetzen Netzwerkschnittstellen erstellt werden, können Sie die Anzahl der von Ihnen angegebenen Subnetze beim Erstellen eines Clusters auf zwei beschränken oder die Subnetze nach der Erstellung des Clusters aktualisieren.
Subnetzanforderungen für Cluster
Die Subnetze, die Sie angeben, wenn Sie einen Cluster erstellen oder aktualisieren, müssen die folgenden Anforderungen erfüllen:
-
Die Subnetze müssen jeweils mindestens sechs IP-Adressen haben, damit sie von Amazon EKS verwendet werden können. Wir empfehlen jedoch mindestens 16 IP-Adressen.
-
Die Subnetze dürfen sich nicht in AWS Outposts AWS Wavelength, oder einer AWS lokalen Zone befinden. Wenn Sie sie jedoch in Ihrer habenVPC, können Sie selbstverwaltete Knoten bereitstellen und Kubernetes Ressourcen für diese Arten von Subnetzen.
-
Die Subnetze können öffentlich oder privat sein. Es wird jedoch empfohlen, wenn möglich private Subnetze anzugeben. Ein öffentliches Subnetz ist ein Subnetz mit einer Routing-Tabelle, die eine Route zu einem Internet-Gateway enthält. Ein privates Subnetz ist ein Subnetz mit einer Routing-Tabelle, die keine Route zu einem Internet-Gateway enthält.
-
Die Subnetze dürfen sich nicht in folgenden Availability Zones befinden:
AWS-Region Name der Region Unzulässige Availability Zone IDs us-east-1
USA Ost (Nord-Virginia) use1-az3
us-west-1
USA West (Nordkalifornien) usw1-az2
ca-central-1
Kanada (Zentral) cac1-az3
Verwendung der IP-Adressfamilie nach Komponenten
Die folgende Tabelle enthält die IP-Adressfamilie, die von jeder Komponente von Amazon verwendet wirdEKS. Sie können eine Netzwerkadressübersetzung (NAT) oder ein anderes Kompatibilitätssystem verwenden, um eine Verbindung zu diesen Komponenten von Quell-IP-Adressen in Familien mit dem herzustellen "No" Wert für einen Tabelleneintrag.
Die Funktionalität kann je nach Art unterschiedlich sein IP family (ipFamily
) Einstellung des Clusters. Diese Einstellung ändert den Typ der IP-Adressen, die für CIDR blockiere das Kubernetes ordnet zu Services. Ein Cluster mit dem Einstellungswert von IPv4 wird bezeichnet als IPv4Cluster, und ein Cluster mit dem Einstellungswert von IPv6 wird bezeichnet als IPv6Cluster.
Komponente | IPv4 nur Adressen |
IPv6 nur Adressen |
Dual-Stack-Adressen |
---|---|---|---|
EKSAPIöffentlicher Endpunkt | Ja 1,3 | Ja 1,3 | Ja 1,3 |
EKSAPIVPCEndpunkt | Ja | Nein | Nein |
EKSAPIÖffentlicher Endpunkt authentifizieren (EKSPod Identity) | Ja1 | Ja1 | Ja1 |
EKSAPIVPCAuthentifizierungsendpunkt (EKSPod Identity) | Ja1 | Ja1 | Ja1 |
Kubernetes öffentlicher Cluster-Endpunkt | Ja | Nein | Nein |
Kubernetes privater Cluster-Endpunkt | Ja2 | Ja2 | Nein |
Kubernetes Cluster-Subnetze | Ja2 | Nein | Ja2 |
Primäre IP-Adressen der Knoten | Ja2 | Nein | Ja2 |
Cluster CIDR Bereich für Service IP-Adressen | Ja2 | Ja2 | Nein |
Pod IP-Adressen aus dem VPC CNI | Ja2 | Ja2 | Nein |
IRSA OIDC Emittent URLs | Ja 1,3 | Ja 1,3 | Ja 1,3 |
Anmerkung
1 Der Endpunkt ist ein Dual-Stack mit beiden IPv4
IPv6
Adressen. Ihre Anwendungen außerhalb AWS, Ihre Knoten für den Cluster und Ihre Pods innerhalb des Clusters können diesen Endpunkt entweder mit IPv4
oder erreichenIPv6
.
2 Sie wählen zwischen einem IPv4
Cluster und einem IPv6
Cluster im IP family (ipFamily
) Einstellung des Clusters, wenn Sie einen Cluster erstellen, und diese Einstellung kann nicht geändert werden. Stattdessen müssen Sie eine andere Einstellung wählen, wenn Sie einen anderen Cluster erstellen und Ihre Workloads migrieren.
3 Der Dual-Stack-Endpunkt wurde im August 2024 eingeführt. Informationen zur Verwendung der Dual-Stack-Endpunkte mit dem AWS CLI finden Sie in der Konfiguration von Dual-Stack und FIPS Endpunkten im AWS SDKs Referenzhandbuch zu Tools. Im Folgenden sind die neuen Endpunkte aufgeführt:
- EKSAPIöffentlicher Endpunkt
eks.
region
.api.aws- IRSA OIDC Emittent URLs
oidc-eks.
region
.api.aws
Subnetzanforderungen für Knoten
Sie können Knoten bereitstellen und Kubernetes Ressourcen in denselben Subnetzen, die Sie bei der Erstellung Ihres Clusters angeben. Das ist aber nicht unbedingt notwendig. Dies liegt daran, dass Sie auch Knoten bereitstellen können und Kubernetes Ressourcen für Subnetze, die Sie bei der Erstellung des Clusters nicht angegeben haben. Wenn Sie Knoten in verschiedenen Subnetzen bereitstellen, erstellt Amazon in diesen Subnetzen EKS keine Cluster-Netzwerkschnittstellen. Jedes Subnetz, in dem Sie Knoten bereitstellen und Kubernetes Die Ressourcen müssen die folgenden Anforderungen erfüllen:
-
Die Subnetze müssen über genügend verfügbare IP-Adressen verfügen, um all Ihre Knoten bereitzustellen und Kubernetes Ressourcen für.
-
Wenn du willst Kubernetes um
IPv6
Adressen zuzuweisen Pods und Dienste, dann müssen Sie einenIPv6
CIDR Block und einenIPv4
CIDR Block haben, die Ihrem Subnetz zugeordnet sind. Weitere Informationen finden Sie unter EinenIPv6
CIDR Block mit Ihrem Subnetz verknüpfen im VPC Amazon-Benutzerhandbuch. Die Routing-Tabellen, die Ihren Subnetzen zugeordnet sind, müssen Routen zuIPv4
- undIPv6
-Adressen enthalten. Weitere Informationen finden Sie unter Routes im VPC Amazon-Benutzerhandbuch. Pods werden nur einerIPv6
-Adresse zugewiesen. Den Netzwerkschnittstellen, die Amazon für Ihren Cluster und Ihre Knoten EKS erstellt, wird jedoch eineIPv4
und eineIPv6
Adresse zugewiesen. -
Wenn Sie eingehenden Zugriff aus dem Internet auf Ihr Pods, stellen Sie sicher, dass mindestens ein öffentliches Subnetz mit ausreichend verfügbaren IP-Adressen für die Bereitstellung von Load Balancers und Ingresses vorhanden ist. Sie können Load Balancer in öffentlichen Subnetzen bereitstellen. Load Balancer können den Lastenausgleich auf Pods in privaten oder öffentlichen Subnetzen. Wir empfehlen, Ihre Knoten nach Möglichkeit in privaten Subnetzen bereitzustellen.
-
Wenn Sie planen, Knoten in einem öffentlichen Subnetz bereitzustellen, muss das Subnetz automatisch öffentliche
IPv4
- oderIPv6
-Adressen zuweisen. Wenn Sie Knoten in einem privaten Subnetz bereitstellen, dem einIPv6
CIDR Block zugeordnet ist, muss das private Subnetz auch Adressen automatischIPv6
zuweisen. Wenn Sie für die Bereitstellung VPC nach dem 26. März 2020 eine EKS AWS CloudFormation Amazon-Vorlage verwendet haben, ist diese Einstellung aktiviert. Wenn Sie die Vorlagen VPC vor diesem Datum für die Bereitstellung verwendet haben oder wenn Sie Ihre eigenen verwendenVPC, müssen Sie diese Einstellung manuell aktivieren. Weitere Informationen finden Sie unter Ändern des öffentlichenIPv4
Adressierungsattributs für Ihr Subnetz und Ändern desIPv6
Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch. -
Wenn es sich bei dem Subnetz, in dem Sie einen Knoten bereitstellen, um ein privates Subnetz handelt und die Routing-Tabelle keine Route zu einem Gerät zur Netzwerkadressübersetzung (NAT) () oder einem reinen Ausgangsgateway (
IPv4
IPv6
) enthält, fügen Sie Endpunkte hinzu, indem Sie zu Ihrem. VPC AWS PrivateLink VPC VPCEndpunkte werden für all das benötigt, was Ihre Knoten und AWS-Services Pods müssen mit kommunizieren. Beispiele hierfür sind AmazonECR, Elastic Load Balancing CloudWatch AWS Security Token Service, Amazon und Amazon Simple Storage Service (Amazon S3). Der Endpunkt muss das Subnetz enthalten, in dem sich die Knoten befinden. Nicht alle AWS-Services unterstützen VPC Endpunkte. Weitere Informationen finden Sie unter Was ist AWS PrivateLink? und AWS Dienste, die sich in integrieren lassen AWS PrivateLink. Eine Liste weiterer EKS Amazon-Anforderungen finden Sie unterStellen Sie private Cluster mit eingeschränktem Internetzugang bereit. -
Wenn Sie Load Balancer in einem Subnetz bereitstellen möchten, muss das Subnetz das folgende Tag haben:
-
Private Subnetze
Schlüssel Wert kubernetes.io/role/internal-elb
1
-
Öffentliche Subnetze
Schlüssel Wert kubernetes.io/role/elb
1
-
Wann ein Kubernetes In einem Cluster, 1.18
dessen Version und früher erstellt wurden, EKS hat Amazon allen angegebenen Subnetzen das folgende Tag hinzugefügt.
Schlüssel | Wert |
---|---|
kubernetes.io/cluster/ |
shared |
Wenn Sie ein neues erstellen Kubernetes Clustern Sie jetzt, Amazon fügt das Tag EKS nicht zu Ihren Subnetzen hinzu. Wenn sich das Tag in Subnetzen befand, die von einem Cluster verwendet wurden, der zuvor eine Version vor 1.19
war, wurde das Tag nicht automatisch aus den Subnetzen entfernt, als der Cluster auf eine neuere Version aktualisiert wurde. Version 2.1.1
oder früher von AWS Load Balancer Controllerbenötigt dieses Tag. Wenn Sie eine neuere Version des Load Balancer Controllers verwenden, können Sie das Tag entfernen, ohne Ihre Services zu unterbrechen.
Wenn Sie eine VPC der Amazon-Vorlagen eksctl
oder eine der EKS AWS CloudFormation VPC Amazon-Vorlagen bereitgestellt haben, gilt Folgendes:
-
Am oder nach dem 26. März 2020 – Öffentliche
IPv4
-Adressen werden von öffentlichen Subnetzen automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden. -
Vor dem 26. März 2020 – Öffentliche
IPv4
-Adressen werden von öffentlichen Subnetzen nicht automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden.
Diese Änderung wirkt sich folgendermaßen auf neue Knotengruppen aus, die in öffentlichen Subnetzen bereitgestellt werden:
-
Verwaltete Knotengruppen – Wenn die Knotengruppe am oder nach dem 22. April 2020 in einem öffentlichen Subnetz bereitgestellt wird, muss für das öffentliche Subnetz die automatische Zuweisung öffentlicher IP-Adressen aktiviert sein. Weitere Informationen finden Sie unter Ändern des öffentlichen
IPv4
-Adressierungsattributs für Ihr Subnetz. -
Linux, Windows, oder selbstverwaltete ARM-Knotengruppen — Wenn die Knotengruppe am oder nach dem 26. März 2020 in einem öffentlichen Subnetz bereitgestellt wird, muss die automatische Zuweisung öffentlicher IP-Adressen für das öffentliche Subnetz aktiviert sein. Andernfalls müssen die Knoten mit einer öffentlichen IP-Adresse gestartet werden. Weitere Informationen finden Sie unter Ändern des öffentlichen
IPv4
-Adressattributs für Ihr Subnetz oder Zuweisen einer öffentlichenIPv4
-Adresse während des Instance-Starts.
Anforderungen und Überlegungen für gemeinsam genutzte Subnetze
Sie können das VPCTeilen verwenden, um Subnetze mit anderen AWS Konten innerhalb desselben Kontos zu teilen. AWS Organizations Sie können EKS Amazon-Cluster in gemeinsam genutzten Subnetzen erstellen, wobei die folgenden Überlegungen zu beachten sind:
-
Der Eigentümer des VPC Subnetzes muss ein Subnetz mit einem Teilnehmerkonto teilen, bevor dieses Konto darin einen EKS Amazon-Cluster erstellen kann.
-
Sie können keine Ressourcen mit der Standardsicherheitsgruppe für starten, VPC da sie dem Eigentümer gehört. Außerdem können Teilnehmer keine Ressourcen mit Sicherheitsgruppen starten, die anderen Teilnehmern oder dem Eigentümer gehören.
-
In einem gemeinsam genutzten Subnetz kontrollieren der Teilnehmer und der Eigentümer die Sicherheitsgruppen innerhalb des jeweiligen Kontos separat. Der Subnetzbesitzer kann von den Teilnehmern erstellte Sicherheitsgruppen zwar anzeigen, jedoch keine Aktionen bei diesen durchführen. Wenn der Subnetzbesitzer diese Sicherheitsgruppen entfernen oder ändern möchte, muss der Teilnehmer, der die Sicherheitsgruppe erstellt hat, die Aktion durchführen.
-
Wenn ein Cluster von einem Teilnehmer erstellt wird, gelten die folgenden Überlegungen:
IAMClusterrollen- und IAM Knotenrollen müssen in diesem Konto erstellt werden. Weitere Informationen erhalten Sie unter EKSIAMAmazon-Cluster-Rolle und Amazon-EKS-Knoten-IAM-Rolle.
-
Alle Knoten müssen vom selben Teilnehmer erstellt werden, einschließlich verwalteter Knotengruppen.
-
Der gemeinsame VPC Besitzer kann einen Cluster, den ein Teilnehmer im gemeinsam genutzten Subnetz erstellt, nicht anzeigen, aktualisieren oder löschen. Dies gilt zusätzlich zu den VPC Ressourcen, auf die jedes Konto unterschiedlich zugreifen kann. Weitere Informationen finden Sie unter Verantwortlichkeiten und Berechtigungen für Inhaber und Teilnehmer im VPCAmazon-Benutzerhandbuch.
-
Wenn Sie die benutzerdefinierte Netzwerkfunktion des verwenden Amazon VPC CNI plugin for Kubernetes, müssen Sie die im Besitzerkonto aufgeführten Availability Zone-ID-Zuordnungen verwenden, um die einzelnen Zuordnungen zu erstellen.
ENIConfig
Weitere Informationen finden Sie unter Bereitstellung pods in alternativen Subnetzen mit benutzerdefiniertem Netzwerk.
Weitere Informationen zur gemeinsamen Nutzung von VPC Subnetzen finden Sie unter Teilen Sie Ihr Konto VPC mit anderen Konten im VPCAmazon-Benutzerhandbuch.