Amazon EKS クラスターの代替 CNI プラグイン

Amazon VPC CNI plugin for Kubernetes は、Amazon EC2 ノードにおいて Amazon EKS によりサポートされている唯一の CNI プラグインです。Amazon EKS は、Amazon EKS Hybrid Nodes 用の Cilium および Calico のコア機能をサポートしています。Amazon EKS では、アップストリーム Kubernetes が実行されており、クラスター内の Amazon EC2 ノードに互換性のある CNI プラグインをインストールできます。クラスターに Fargate ノードがある場合、Amazon VPC CNI plugin for Kubernetes は既に Fargate ノードに存在します。これは Fargate ノードで使用できる唯一の CNI プラグインです。Fargate ノードに代替 CNI プラグインをインストールしようとすると失敗します。

Amazon EC2 ノードで代替 CNI プラグインを使用する予定であれば、当該プラグインの商用サポートを受けるか、社内のエキスパートによるトラブルシューティングを行い、解決策を CNI プラグインプロジェクトに提供することをお勧めします。

Amazon EKS は、互換性のある代替 CNI プラグインのサポートを提供するパートナーネットワークと連携しています。バージョンと認定、および実行されたテストの詳細については、次のパートナーのドキュメントを参照してください。

パートナー	製品	ドキュメント
Tigera	Calico	インストール手順
Isovalent	Cilium	インストール手順
ジュニパー	クラウドネイティブ Contrail Networking (CN2)	インストール手順
VMware	Antrea	インストール手順

Amazon EKS では、すべてのユースケースをカバーする幅広いオプションの提供を目指しています。

互換性のある代替ネットワークポリシープラグイン

Calico は、コンテナネットワークとセキュリティのために広く採用されているソリューションです。Calico on EKS を使用すると、EKS クラスターに完全準拠のネットワークポリシーが適用されます。さらに、基盤となる VPC の IP アドレスを節約する Calico’s のネットワークを使用することもできます。Calico Cloud は Calico Open Source の機能を強化するとともに、高度なセキュリティとオブザーバビリティ機能を提供します。

セキュリティグループが関連付けられている Pods との間のトラフィックフローは、Calico ネットワークポリシーの適用の対象ではなく、Amazon VPC セキュリティ グループの適用のみに限定されます。

Calico ネットワークポリシーの適用を使用する場合は、Kubernetes の既知の問題を回避するために、環境変数 ANNOTATE_POD_IP を true に設定することをお勧めします。この機能を使用するには、ポッドの patch のアクセス許可を aws-node ClusterRole に追加する必要があります。aws-node DaemonSet にパッチのアクセス許可を追加すると、プラグインのセキュリティ範囲が広がることに注意してください。詳細については、GitHub の VPC CNI リポジトリの ANNOTATE_POD_IP を参照してください。

Amazon EKS Auto Mode の考慮事項

Amazon EKS Auto Mode は、代替 CNI プラグインおよびネットワークポリシープラグインをサポートしていません。詳細については、「EKS Auto Mode を使用してクラスターインフラストラクチャを自動化する」を参照してください。