Reti Amazon EKS - Amazon EKS

Reti Amazon EKS

Questo capitolo fornisce una panoramica delle reti Amazon EKS. Il diagramma seguente mostra i componenti chiave di un cluster Amazon EKS e la relazione di questi componenti con un VPC.


            Reti EKS

Le spiegazioni seguenti consentono di comprendere in che modo i componenti del diagramma si relazionano tra loro e quali argomenti è possibile consultare in questa e in altre guide AWS per ulteriori informazioni.

  • Amazon VPC and subnets (Amazon VPC e sottoreti): tutte le risorse Amazon EKS vengono implementate in una Regione AWS in una sottorete e in un VPC esistenti. Per ulteriori informazioni, consultare VPC e sottoreti nella Guida per l'utente di Amazon VPC. Ogni sottorete si colloca in una zona di disponibilità. Il VPC e le sottoreti devono soddisfare i seguenti requisiti:

    • Le sottoreti e i VPC devono essere taggati in modo che Kubernetes sappia che può utilizzarle per implementare risorse, ad esempio i bilanciatori del carico. Per ulteriori informazioni, consulta . Assegnazione di tag alle sottoreti. Se si distribuisce il VPC utilizzando un AWS CloudFormationmodello fornito di Amazon EKS, o utilizzando eksctl, il VPC e le sottoreti vengono contrassegnate in modo appropriato per l'utente.

    • Una sottorete può avere o meno accesso a Internet. Se una sottorete non dispone di accesso a Internet, i pod distribuiti al suo interno devono essere in grado di accedere ad altri servizi AWS, ad esempio Amazon ECR, per estrarre le immagini del container. Per ulteriori informazioni sull'utilizzo di sottoreti che non dispongono di accesso a Internet, consultare Cluster privati.

    • Le sottoreti pubbliche utilizzate devono essere configurate per assegnare automaticamente gli indirizzi IPv4 pubblici o gli indirizzi IPv6 alle istanze Amazon EC2 avviate al loro interno. Per ulteriori informazioni, consulta . Assegnazione degli indirizzi IP VPC.

    • Se si utilizza IPv6, ogni sottorete deve essere configurata in modo da assegnare automaticamente gli indirizzi IPv6. Per ulteriori informazioni, consultare Modifica dell'attributo di assegnazione degli indirizzi IPv6 pubblici della sottorete nella Guida per l'utente di Amazon VPC.

    • I nodi e il piano di controllo devono essere in grado di comunicare su tutte le porte tramite gruppi di sicurezza opportunamente taggati. Per ulteriori informazioni, consulta . Considerazioni relative al gruppo di sicurezza Amazon EKS.

    • É possibile implementare la segmentazione della rete e una rete di policy di isolamento del locatario. Le policy di rete sono simili ai gruppi di sicurezza AWS, nel senso che è possibile creare regole di rete in ingresso e in uscita. Invece di assegnare le istanze a un gruppo di sicurezza, si assegnano policy di rete ai pod utilizzando selettori di pod ed etichette. Per ulteriori informazioni, consulta . Installazione del componente aggiuntivo Calico.

    È possibile implementare un VPC e sottoreti che soddisfano i requisiti di Amazon EKS tramite la configurazione manuale o distribuendo il VPC e le sottoreti utilizzando eksctl, o un modello AWS CloudFormation Amazon EKS fornito. Sia eksctl che il modello AWS CloudFormation creano il VPC e le sottoreti con la configurazione richiesta. Per ulteriori informazioni, consulta . Creazione di un VPC per il cluster Amazon EKS.

  • Piano di controllo di Amazon EKS – Distribuito e gestito da Amazon EKS in un VPC gestito da Amazon EKS. Quando viene creato il cluster, Amazon EKS crea e gestisce le interfacce di rete nell'account utente che presentano Amazon EKS <cluster name> nella loro descrizione. Queste interfacce di rete consentono alle Istanze di AWS Fargate e Amazon EC2 di comunicare con il piano di controllo.

    Per impostazione predefinita, il piano di controllo espone un endpoint pubblico in modo che client e nodi possano comunicare con il cluster. È possibile limitare gli indirizzi IP di origine del client Internet in grado di comunicare con l'endpoint pubblico. In alternativa, è possibile abilitare un endpoint privato e disabilitare l'endpoint pubblico o abilitare entrambi gli endpoint pubblici e privati. Per ulteriori informazioni sugli endpoint cluster, consultare Controllo accessi all'endpoint del cluster Amazon EKS.

    I client della rete locale o di altri VPC possono comunicare con l'endpoint pubblico o privato, se è stata configurata la connettività tra il VPC in cui viene implementato il cluster e le altre reti. Per ulteriori informazioni sulla connessione del VPC ad altre reti, consultare nei documenti tecnici le AWS opzioni di Connettività tra rete e Amazon VPC e Opzioni di connettività da Amazon VPC ad Amazon VPC.

  • Istanze Amazon EC2 – ogni nodo Amazon EC2 viene implementato in una sottorete. A ogni nodo viene assegnato un indirizzo IP privato da un blocco CIDR assegnato alla sottorete. Se le sottoreti sono state create utilizzando uno dei modelli AWS CloudFormation forniti da Amazon EKS, allora ai nodi implementati nelle sottoreti pubbliche viene assegnato automaticamente un indirizzo IPv4 pubblico dalla sottorete. Ogni nodo viene implementato con il componente aggiuntivo CNI di Amazon VPC per impostazione predefinita. Il componente aggiuntivo assegna a ciascun pod un indirizzo IP privato dal blocco CIDR assegnato alla sottorete in cui si trova il nodo e aggiunge un indirizzo IPv4 come indirizzo IP secondario a una delle interfacce di rete allegate all'istanza. Questa risorsa AWS è nota come interfaccia di rete nella AWS Management Console e nell'API Amazon EC2. Pertanto, in questa documentazione utilizziamo "interfaccia di rete" anziché "interfaccia di rete elastica". Il termine "interfaccia di rete" in questa documentazione significa sempre "interfaccia di rete elastica".

    È possibile modificare questo comportamento assegnando ulteriori blocchi CIDR IPv4 al VPC e abilitando Rete personalizzata CNI, che assegna indirizzi IP ai pod da sottoreti diverse rispetto al nodo in cui viene implementato. Per utilizzare reti personalizzate, è necessario abilitarle all'avvio dei nodi. É possibile anche associare gruppi di sicurezza univoci ad alcuni dei pod in esecuzione su molti tipi di istanza Amazon EC2. Per ulteriori informazioni, consulta . Gruppi di sicurezza per pod.

    Per impostazione predefinita, l'indirizzo IPv4 di origine di ciascun pod che comunica con risorse al VPC viene tradotto tramite NAT (Network Address Translation) nell'indirizzo IP primario dell'interfaccia di rete primaria allegata al nodo. È possibile modificare questo comportamento in modo che un dispositivo NAT in una sottorete privata traduca l'indirizzo IPv4 di ciascun pod nell'indirizzo IPv4 del dispositivo NAT. Per ulteriori informazioni, consulta . Source Network Address Translation (SNAT) esterna.

    Se l'istanza viene implementata in un cluster che utilizza la famiglia IPv6, è necessario assegnare un blocco CIDR IPv6 al VPC e alle sottoreti. Il traffico IPv6 in uscita non è tradotto dall'indirizzo di rete. Per ulteriori informazioni sull'uso di IPv6 con il cluster, consultare Assegnazione di indirizzi IPv6 ai pod e ai servizi.

  • Pod Fargate – Implementato solo nelle sottoreti private. A ogni pod viene assegnato un indirizzo IPv4 privato (e facoltativamente un IPv6) dal blocco CIDR assegnato alla sottorete. Fargate non supporta tutte le opzioni di rete dei pod. Per ulteriori informazioni, consulta . AWSConsiderazioni su Fargate.