Elección de casos de uso de redes de Pod
Amazon VPC CNI plugin for Kubernetes proporciona redes para Pods. La siguiente tabla lo ayudará a comprender qué casos de uso de redes se pueden utilizar juntos, así como las capacidades y la configuración del Amazon VPC CNI plugin for Kubernetes que puede utilizar con diferentes tipos de nodos de Amazon EKS. Toda la información de la tabla se aplica únicamente a los nodos de Linux IPv4
.
Tipo de nodo de Amazon EKS | Amazon EC2 | Fargate | ||
---|---|---|---|---|
Caso de uso | Direcciones IP individuales asignadas a la interfaz de red | Prefijos de IP asignados a la interfaz de red | Grupos de seguridad de Pods | |
Redes personalizadas para los pods: asignar direcciones IP desde una subred distinta a la subred del nodo | Sí | Sí | Sí | Sí (subredes controladas a través del perfil de Fargate) |
SNAT para Pods | Sí (el valor predeterminado es false ) |
Sí (el valor predeterminado es false ) |
Sí (solo true ) |
Sí (solo true ) |
Capacidades | ||||
Ámbito de grupo de seguridad | Nodo | Nodo |
Pod (si configuró |
Pod |
Tipos de subred de Amazon VPC | Pública y privada | Pública y privada | Solo privada | Solo privada |
Política de red (CNI de VPC) | Compatible | Compatible | Compatible Solo con la versión |
No compatible |
Densidad de pods por nodo | Medio | Alta | Baja | Uno |
Hora de lanzamiento del pod | Mejor | Óptima | Buena | Moderado |
Configuración del complemento CNI de Amazon VPC (para obtener más información acerca de cada opción, consulte amazon-vpc-cni-k8s |
||||
WARM_ENI_TARGET |
Sí | No aplicable | No aplicable | No aplicable |
WARM_IP_TARGET |
Sí | Sí | No aplicable | No aplicable |
MINIMUM_IP_TARGET |
Sí | Sí | No aplicable | No aplicable |
WARM_PREFIX_TARGET |
No aplicable | Sí | No aplicable | No aplicable |
nota
-
No puede utilizar
IPv6
con las redes personalizadas. -
Las direcciones
IPv6
no se traducen, por lo que no se aplica SNAT. -
El flujo de tráfico hacia y desde los Pods con grupos de seguridad asociados no está sujeto a la aplicación de políticas de red de Calico y solo se limita a la aplicación de grupos de seguridad de Amazon VPC.
-
Si utiliza la aplicación de políticas de red de Calico, le recomendamos que configure la variable de entorno
ANNOTATE_POD_IP
entrue
para evitar un problema conocido con Kubernetes. Para utilizar esta característica, debe añadir permisos depatch
para los pods aaws-node
ClusterRole. Tenga en cuenta que añadir permisos de parche aaws-node
DaemonSet aumenta el alcance de seguridad del plugin. Para obtener más información, consulte ANNOTATE_POD_IPen el repositorio de CNI de la VPC en GitHub. -
Los prefijos IP y las direcciones IP están asociados a las interfaces de red elásticas estándar de Amazon EC2. A los pods que requieren grupos de seguridad específicos se les asigna la dirección IP principal de una interfaz de red de ramificación. Puede mezclar Pods que obtengan direcciones IP o direcciones IP de prefijos IP con Pods que obtengan interfaces de red de ramificación en el mismo nodo.
Nodos del Windows
Cada nodo solo admite una interfaz de red. Puede utilizar direcciones IPv4
y prefijos IPv4
secundarios. De forma predeterminada, la cantidad de direcciones IPv4
disponibles en el nodo es igual a la cantidad de direcciones IPv4
secundarias que puede asignar a cada interfaz de red elástica, menos una. Sin embargo, puede aumentar las direcciones IPv4
disponibles y la densidad Pod en el nodo habilitando los prefijos IP. Para obtener más información, consulte Aumentar la cantidad de direcciones IP disponibles para sus nodos de Amazon EC2.
Las políticas de red de Calico son compatibles con Windows. No puede usar grupos de seguridad Pods ni redes personalizadas en Windows.