EKSNetzwerkanforderungen VPC und Subnetze von Amazon anzeigen - Amazon EKS

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKSNetzwerkanforderungen VPC und Subnetze von Amazon anzeigen

Wenn Sie einen Cluster erstellen, geben Sie ein VPCund mindestens zwei Subnetze an, die sich in unterschiedlichen Availability Zones befinden. Dieses Thema bietet einen Überblick über die EKS Amazon-spezifischen Anforderungen und Überlegungen für die Subnetze VPC und die Subnetze, die Sie mit Ihrem Cluster verwenden. Wenn Sie keine mit Amazon verwenden VPC möchtenEKS, können Sie eine mit einer von Amazon EKS bereitgestellten AWS CloudFormation Vorlage erstellen. Wenn Sie einen lokalen oder erweiterten Cluster auf erstellen AWS Outposts, lesen Sie Erstellen Sie ein VPC und Subnetze für EKS Amazon-Cluster auf AWS Outposts statt dieses Thema weiter.

VPCAnforderungen und Überlegungen

Wenn Sie einen Cluster erstellen, muss der VPC von Ihnen angegebene Cluster die folgenden Anforderungen und Überlegungen erfüllen:

  • Sie VPC müssen über eine ausreichende Anzahl von IP-Adressen für den Cluster, alle Knoten und andere verfügen Kubernetes Ressourcen, die Sie erstellen möchten. Wenn dieVPC, die Sie verwenden möchten, nicht über eine ausreichende Anzahl von IP-Adressen verfügt, versuchen Sie, die Anzahl der verfügbaren IP-Adressen zu erhöhen.

    Sie können dies tun, indem Sie die Clusterkonfiguration aktualisieren, um zu ändern, welche Subnetze und Sicherheitsgruppen der Cluster verwendet. Sie können von der neuesten Version der AWS Management Console, AWS CLI AWS CloudFormation, und eksctl Version v0.164.0-rc.0 oder höher aus aktualisieren. Möglicherweise müssen Sie dies tun, um Subnetzen mehr verfügbare IP-Adressen zur Verfügung zu stellen, damit eine Clusterversion erfolgreich aktualisiert werden kann.

    Wichtig

    Alle Subnetze, die Sie hinzufügen, müssen sich in derselben Gruppe befinden, die ursprünglich bei der AZs Erstellung des Clusters bereitgestellt wurde. Neue Subnetze müssen alle anderen Anforderungen erfüllen, z. B. müssen sie über ausreichend IP-Adressen verfügen.

    Angenommen, Sie haben einen Cluster erstellt und vier Subnetze angegeben. In der Reihenfolge, in der Sie sie angegeben haben, befindet sich das erste Subnetz in der us-west-2a Availability Zone, das zweite und dritte Subnetz in der us-west-2b Availability Zone und das vierte Subnetz in der us-west-2c Availability Zone. Wenn Sie die Subnetze ändern möchten, müssen Sie in jeder der drei Availability Zones mindestens ein Subnetz angeben, und die Subnetze müssen sich in denselben Subnetzen befinden VPC wie die ursprünglichen Subnetze.

    Wenn Sie mehr IP-Adressen benötigen, als die CIDR Blöcke in den Blöcken VPC haben, können Sie zusätzliche CIDR Blöcke hinzufügen, indem Sie Ihrem weitere Classless Inter-Domain Routing () -Blöcke zuordnen. CIDR VPC Sie können private zuordnen (RFC 1918) und öffentlich (nicht-RFC 1918) CIDR blockiert Sie VPC entweder vor oder nach der Erstellung Ihres Clusters. Es kann bis zu fünf Stunden dauern, bis ein CIDR Block, den Sie einem Cluster zugeordnet habenVPC, erkannt wird.

    Sie können die Nutzung von IP-Adressen schonen, indem Sie ein Transit-Gateway mit Shared Services VPC verwenden. Weitere Informationen finden Sie unter Isoliert VPCs mit Shared Services und Muster zur Erhaltung EKS VPC routingfähiger IP-Adressen von Amazon in einem Hybridnetzwerk.

  • Wenn Sie möchten Kubernetes um IPv6 Adressen zuzuweisen Pods und Dienste, verknüpfen Sie einen IPv6 CIDR Block mit IhremVPC. Weitere Informationen finden Sie unter Einen IPv6 CIDR Block mit Ihrem verknüpfen VPC im VPC Amazon-Benutzerhandbuch.

  • Sie VPC müssen DNS Hostname und DNS Auflösungsunterstützung haben. Andernfalls können keine Knoten dem Cluster beitreten. Weitere Informationen finden Sie unter DNSAttribute für Sie VPC im VPC Amazon-Benutzerhandbuch.

  • Dies erfordert VPC möglicherweise die Verwendung VPC AWS PrivateLink von Endgeräten. Weitere Informationen finden Sie unter Subnetz-Anforderungen und -Überlegungen.

Wenn Sie einen Cluster erstellt haben mit Kubernetes 1.14oder früher EKS hat Amazon Ihrem das folgende Tag hinzugefügtVPC:

Schlüssel Wert
kubernetes.io/cluster/my-cluster owned

Dieses Tag wurde nur von Amazon verwendetEKS. Sie können das Tag entfernen, ohne Ihre Services zu beeinträchtigen. Es wird nicht mit Clustern der Version 1.15 oder höher verwendet.

Subnetz-Anforderungen und -Überlegungen

Wenn Sie einen Cluster erstellen, EKS erstellt Amazon 2—4 elastische Netzwerkschnittstellen in den von Ihnen angegebenen Subnetzen. Diese Netzwerkschnittstellen ermöglichen die Kommunikation zwischen Ihrem Cluster und Ihrem. VPC Diese Netzwerkschnittstellen ermöglichen auch Kubernetes Funktionen wie kubectl exec undkubectl logs. Jede EKS von Amazon erstellte Netzwerkschnittstelle hat den Text Amazon EKS cluster-name in ihrer Beschreibung.

Amazon EKS kann seine Netzwerkschnittstellen in jedem Subnetz erstellen, das Sie bei der Erstellung eines Clusters angeben. Sie können ändern, in welchen Subnetzen Amazon seine Netzwerkschnittstellen EKS erstellt, nachdem Ihr Cluster erstellt wurde. Wenn Sie das aktualisieren Kubernetes Als Version eines Clusters EKS löscht Amazon die ursprünglichen Netzwerkschnittstellen, die es erstellt hat, und erstellt neue Netzwerkschnittstellen. Diese Netzwerkschnittstellen können in denselben Subnetzen wie die ursprünglichen Netzwerkschnittstellen oder in anderen Subnetzen als die ursprünglichen Netzwerkschnittstellen erstellt werden. Um zu steuern, in welchen Subnetzen Netzwerkschnittstellen erstellt werden, können Sie die Anzahl der von Ihnen angegebenen Subnetze beim Erstellen eines Clusters auf zwei beschränken oder die Subnetze nach der Erstellung des Clusters aktualisieren.

Subnetzanforderungen für Cluster

Die Subnetze, die Sie angeben, wenn Sie einen Cluster erstellen oder aktualisieren, müssen die folgenden Anforderungen erfüllen:

  • Die Subnetze müssen jeweils mindestens sechs IP-Adressen haben, damit sie von Amazon EKS verwendet werden können. Wir empfehlen jedoch mindestens 16 IP-Adressen.

  • Die Subnetze dürfen sich nicht in AWS Outposts AWS Wavelength, oder einer AWS lokalen Zone befinden. Wenn Sie sie jedoch in Ihrer habenVPC, können Sie selbstverwaltete Knoten bereitstellen und Kubernetes Ressourcen für diese Arten von Subnetzen.

  • Die Subnetze können öffentlich oder privat sein. Es wird jedoch empfohlen, wenn möglich private Subnetze anzugeben. Ein öffentliches Subnetz ist ein Subnetz mit einer Routing-Tabelle, die eine Route zu einem Internet-Gateway enthält. Ein privates Subnetz ist ein Subnetz mit einer Routing-Tabelle, die keine Route zu einem Internet-Gateway enthält.

  • Die Subnetze dürfen sich nicht in folgenden Availability Zones befinden:

    AWS-Region Name der Region Unzulässige Availability Zone IDs
    us-east-1 USA Ost (Nord-Virginia) use1-az3
    us-west-1 USA West (Nordkalifornien) usw1-az2
    ca-central-1 Kanada (Zentral) cac1-az3

Verwendung der IP-Adressfamilie nach Komponenten

Die folgende Tabelle enthält die IP-Adressfamilie, die von jeder Komponente von Amazon verwendet wirdEKS. Sie können eine Netzwerkadressübersetzung (NAT) oder ein anderes Kompatibilitätssystem verwenden, um eine Verbindung zu diesen Komponenten von Quell-IP-Adressen in Familien mit dem herzustellen "No" Wert für einen Tabelleneintrag.

Die Funktionalität kann je nach Art unterschiedlich sein IP family (ipFamily) Einstellung des Clusters. Diese Einstellung ändert den Typ der IP-Adressen, die für CIDR blockiere das Kubernetes ordnet zu Services. Ein Cluster mit dem Einstellungswert von IPv4 wird bezeichnet als IPv4Cluster, und ein Cluster mit dem Einstellungswert von IPv6 wird bezeichnet als IPv6Cluster.

Komponente IPv4nur Adressen IPv6nur Adressen Dual-Stack-Adressen
EKSAPIöffentlicher Endpunkt Ja 1,3 Ja 1,3 Ja 1,3
EKSAPIVPCEndpunkt Ja Nein Nein
EKSAPIÖffentlicher Endpunkt authentifizieren (EKSPod Identity) Ja1 Ja1 Ja1
EKSAPIVPCAuthentifizierungsendpunkt (EKSPod Identity) Ja1 Ja1 Ja1
Kubernetes öffentlicher Cluster-Endpunkt Ja Nein Nein
Kubernetes privater Cluster-Endpunkt Ja2 Ja2 Nein
Kubernetes Cluster-Subnetze Ja2 Nein Ja2
Primäre IP-Adressen der Knoten Ja2 Nein Ja2
Cluster CIDR Bereich für Service IP-Adressen Ja2 Ja2 Nein
Pod IP-Adressen aus dem VPC CNI Ja2 Ja2 Nein
IRSA OIDC Emittent URLs Ja 1,3 Ja 1,3 Ja 1,3
Anmerkung

1 Der Endpunkt ist ein Dual-Stack mit beiden IPv4 IPv6 Adressen. Ihre Anwendungen außerhalb AWS, Ihre Knoten für den Cluster und Ihre Pods innerhalb des Clusters können diesen Endpunkt entweder mit IPv4 oder erreichenIPv6.

2 Sie wählen zwischen einem IPv4 Cluster und einem IPv6 Cluster im IP family (ipFamily) Einstellung des Clusters, wenn Sie einen Cluster erstellen, und diese Einstellung kann nicht geändert werden. Stattdessen müssen Sie eine andere Einstellung wählen, wenn Sie einen anderen Cluster erstellen und Ihre Workloads migrieren.

3 Der Dual-Stack-Endpunkt wurde im August 2024 eingeführt. Informationen zur Verwendung der Dual-Stack-Endpunkte mit dem AWS CLI finden Sie in der Konfiguration von Dual-Stack und FIPS Endpunkten im AWS SDKs Referenzhandbuch zu Tools. Im Folgenden sind die neuen Endpunkte aufgeführt:

EKSAPIöffentlicher Endpunkt

eks.region.api.aws

IRSA OIDC Emittent URLs

oidc-eks.region.api.aws

Subnetzanforderungen für Knoten

Sie können Knoten bereitstellen und Kubernetes Ressourcen in denselben Subnetzen, die Sie bei der Erstellung Ihres Clusters angeben. Das ist aber nicht unbedingt notwendig. Dies liegt daran, dass Sie auch Knoten bereitstellen können und Kubernetes Ressourcen für Subnetze, die Sie bei der Erstellung des Clusters nicht angegeben haben. Wenn Sie Knoten in verschiedenen Subnetzen bereitstellen, erstellt Amazon in diesen Subnetzen EKS keine Cluster-Netzwerkschnittstellen. Jedes Subnetz, in dem Sie Knoten bereitstellen und Kubernetes Die Ressourcen müssen die folgenden Anforderungen erfüllen:

  • Die Subnetze müssen über genügend verfügbare IP-Adressen verfügen, um all Ihre Knoten bereitzustellen und Kubernetes Ressourcen für.

  • Wenn du willst Kubernetes um IPv6 Adressen zuzuweisen Pods und Dienste, dann müssen Sie einen IPv6 CIDR Block und einen IPv4 CIDR Block haben, die Ihrem Subnetz zugeordnet sind. Weitere Informationen finden Sie unter Einen IPv6 CIDR Block mit Ihrem Subnetz verknüpfen im VPC Amazon-Benutzerhandbuch. Die Routing-Tabellen, die Ihren Subnetzen zugeordnet sind, müssen Routen zu IPv4- und IPv6-Adressen enthalten. Weitere Informationen finden Sie unter Routes im VPC Amazon-Benutzerhandbuch. Pods werden nur einer IPv6-Adresse zugewiesen. Den Netzwerkschnittstellen, die Amazon für Ihren Cluster und Ihre Knoten EKS erstellt, wird jedoch eine IPv4 und eine IPv6 Adresse zugewiesen.

  • Wenn Sie eingehenden Zugriff aus dem Internet auf Ihr Pods, stellen Sie sicher, dass mindestens ein öffentliches Subnetz mit ausreichend verfügbaren IP-Adressen für die Bereitstellung von Load Balancers und Ingresses vorhanden ist. Sie können Load Balancer in öffentlichen Subnetzen bereitstellen. Load Balancer können den Lastenausgleich auf Pods in privaten oder öffentlichen Subnetzen. Wir empfehlen, Ihre Knoten nach Möglichkeit in privaten Subnetzen bereitzustellen.

  • Wenn Sie planen, Knoten in einem öffentlichen Subnetz bereitzustellen, muss das Subnetz automatisch öffentliche IPv4- oder IPv6-Adressen zuweisen. Wenn Sie Knoten in einem privaten Subnetz bereitstellen, dem ein IPv6 CIDR Block zugeordnet ist, muss das private Subnetz auch Adressen automatisch IPv6 zuweisen. Wenn Sie für die Bereitstellung VPC nach dem 26. März 2020 eine EKS AWS CloudFormation Amazon-Vorlage verwendet haben, ist diese Einstellung aktiviert. Wenn Sie die Vorlagen VPC vor diesem Datum für die Bereitstellung verwendet haben oder wenn Sie Ihre eigenen verwendenVPC, müssen Sie diese Einstellung manuell aktivieren. Weitere Informationen finden Sie unter Ändern des öffentlichen IPv4 Adressierungsattributs für Ihr Subnetz und Ändern des IPv6 Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch.

  • Wenn es sich bei dem Subnetz, in dem Sie einen Knoten bereitstellen, um ein privates Subnetz handelt und die Routing-Tabelle keine Route zu einem Gerät zur Netzwerkadressübersetzung (NAT) () oder einem reinen Ausgangsgateway (IPv4IPv6) enthält, fügen Sie Endpunkte hinzu, indem Sie zu Ihrem. VPC AWS PrivateLink VPC VPCEndpunkte werden für all das benötigt, was Ihre Knoten und AWS-Services Pods müssen mit kommunizieren. Beispiele hierfür sind AmazonECR, Elastic Load Balancing CloudWatch AWS Security Token Service, Amazon und Amazon Simple Storage Service (Amazon S3). Der Endpunkt muss das Subnetz enthalten, in dem sich die Knoten befinden. Nicht alle AWS-Services unterstützen VPC Endpunkte. Weitere Informationen finden Sie unter Was ist AWS PrivateLink? und AWS Dienste, die sich in integrieren lassen AWS PrivateLink. Eine Liste weiterer EKS Amazon-Anforderungen finden Sie unterStellen Sie private Cluster mit eingeschränktem Internetzugang bereit.

  • Wenn Sie Load Balancer in einem Subnetz bereitstellen möchten, muss das Subnetz das folgende Tag haben:

    • Private Subnetze

      Schlüssel Wert
      kubernetes.io/role/internal-elb 1
    • Öffentliche Subnetze

      Schlüssel Wert
      kubernetes.io/role/elb 1

Wann ein Kubernetes In einem Cluster, 1.18 dessen Version und früher erstellt wurden, EKS hat Amazon allen angegebenen Subnetzen das folgende Tag hinzugefügt.

Schlüssel Wert
kubernetes.io/cluster/my-cluster shared

Wenn Sie ein neues erstellen Kubernetes Clustern Sie jetzt, Amazon fügt das Tag EKS nicht zu Ihren Subnetzen hinzu. Wenn sich das Tag in Subnetzen befand, die von einem Cluster verwendet wurden, der zuvor eine Version vor 1.19 war, wurde das Tag nicht automatisch aus den Subnetzen entfernt, als der Cluster auf eine neuere Version aktualisiert wurde. Version 2.1.1 oder früher von AWS Load Balancer Controllerbenötigt dieses Tag. Wenn Sie eine neuere Version des Load Balancer Controllers verwenden, können Sie das Tag entfernen, ohne Ihre Services zu unterbrechen.

Wenn Sie eine VPC der Amazon-Vorlagen eksctloder eine der EKS AWS CloudFormation VPC Amazon-Vorlagen bereitgestellt haben, gilt Folgendes:

  • Am oder nach dem 26. März 2020 – Öffentliche IPv4-Adressen werden von öffentlichen Subnetzen automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden.

  • Vor dem 26. März 2020 – Öffentliche IPv4-Adressen werden von öffentlichen Subnetzen nicht automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden.

Diese Änderung wirkt sich folgendermaßen auf neue Knotengruppen aus, die in öffentlichen Subnetzen bereitgestellt werden:

Anforderungen und Überlegungen für gemeinsam genutzte Subnetze

Sie können das VPCTeilen verwenden, um Subnetze mit anderen AWS Konten innerhalb desselben Kontos zu teilen. AWS Organizations Sie können EKS Amazon-Cluster in gemeinsam genutzten Subnetzen erstellen, wobei die folgenden Überlegungen zu beachten sind:

  • Der Eigentümer des VPC Subnetzes muss ein Subnetz mit einem Teilnehmerkonto teilen, bevor dieses Konto darin einen EKS Amazon-Cluster erstellen kann.

  • Sie können keine Ressourcen mit der Standardsicherheitsgruppe für starten, VPC da sie dem Eigentümer gehört. Außerdem können Teilnehmer keine Ressourcen mit Sicherheitsgruppen starten, die anderen Teilnehmern oder dem Eigentümer gehören.

  • In einem gemeinsam genutzten Subnetz kontrollieren der Teilnehmer und der Eigentümer die Sicherheitsgruppen innerhalb des jeweiligen Kontos separat. Der Subnetzbesitzer kann von den Teilnehmern erstellte Sicherheitsgruppen zwar anzeigen, jedoch keine Aktionen bei diesen durchführen. Wenn der Subnetzbesitzer diese Sicherheitsgruppen entfernen oder ändern möchte, muss der Teilnehmer, der die Sicherheitsgruppe erstellt hat, die Aktion durchführen.

  • Wenn ein Cluster von einem Teilnehmer erstellt wird, gelten die folgenden Überlegungen:

    • IAMClusterrollen- und IAM Knotenrollen müssen in diesem Konto erstellt werden. Weitere Informationen erhalten Sie unter EKSIAMAmazon-Cluster-Rolle und Amazon-EKS-Knoten-IAM-Rolle.

    • Alle Knoten müssen vom selben Teilnehmer erstellt werden, einschließlich verwalteter Knotengruppen.

  • Der gemeinsame VPC Besitzer kann einen Cluster, den ein Teilnehmer im gemeinsam genutzten Subnetz erstellt, nicht anzeigen, aktualisieren oder löschen. Dies gilt zusätzlich zu den VPC Ressourcen, auf die jedes Konto unterschiedlich zugreifen kann. Weitere Informationen finden Sie unter Verantwortlichkeiten und Berechtigungen für Inhaber und Teilnehmer im VPCAmazon-Benutzerhandbuch.

  • Wenn Sie die benutzerdefinierte Netzwerkfunktion des verwenden Amazon VPC CNI plugin for Kubernetes, müssen Sie die im Besitzerkonto aufgeführten Availability Zone-ID-Zuordnungen verwenden, um die einzelnen Zuordnungen zu erstellen. ENIConfig Weitere Informationen finden Sie unter Bereitstellung pods in alternativen Subnetzen mit benutzerdefiniertem Netzwerk.

Weitere Informationen zur gemeinsamen Nutzung von VPC Subnetzen finden Sie unter Teilen Sie Ihr Konto VPC mit anderen Konten im VPCAmazon-Benutzerhandbuch.