Amazon EKS ネットワーク - Amazon EKS

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon EKS ネットワーク

この章では、 Amazon EKS ネットワーキングの概要を示します。次の図は、 Amazon EKS クラスターの主要なコンポーネントと、これらのコンポーネントと VPC との関係を示しています。


            EKS ネットワーキング

以下の説明は、図のコンポーネントがどのように相互に関連するか、およびこのガイドのどのトピックと、詳細については他のAWSガイドを参照できるかを理解するのに役立ちます。

  • Amazon VPC および サブネット – すべてのAmazon EKSリソースは、既存の VPC 内の既存のサブネット内の 1 つのリージョンにデプロイされます。詳細については、 ユーザーガイドの「Amazon VPCVPCsとサブネット」を参照してください。各サブネットは 1 つの に存在しますアベイラビリティーゾーン。VPC とサブネットは、次のような要件を満たしている必要があります。

    • VPCsとサブネットには、ロードバランサーなどのリソースのデプロイに使用できることを Kubernetes が認識できるように、適切なタグを付ける必要があります。詳細については、「VPC のタグ付け要件」および「サブネットのタグ付け」を参照してください。Amazon EKS 提供されたAWS CloudFormationテンプレートまたは を使用して VPC をデプロイする場合eksctl、VPC とサブネットには適切なタグが付けられます。

    • サブネットは、インターネットにアクセスできる場合と、インターネットにアクセスできない場合があります。サブネットにインターネットアクセスがない場合は、そのサブネット内にデプロイされたポッドが などの他のAWSサービスにアクセスしてAmazon ECR、コンテナイメージをプルできる必要があります。インターネットアクセスのないサブネットの使用の詳細については、「」プライベートクラスターを参照してください。

    • 使用するパブリックサブネットは、そのサブネット内で起動されるAmazon EC2インスタンスにパブリック IP アドレスを自動的に割り当てるように設定する必要があります。詳細については、「 」を参照してくださいVPC IP アドレス指定

    • ノードとコントロールプレーンは、適切にタグ付けされたセキュリティグループを介してすべてのポートを介して通信できる必要があります。詳細については、「 」を参照してくださいAmazon EKS セキュリティグループの考慮事項

    • ネットワークセグメンテーションとテナント分離ネットワークポリシーを実装できます。ネットワークポリシーは、ネットワークの入力および出力ルールを作成できる点で AWS セキュリティグループと似ています。インスタンスをセキュリティグループに割り当てるのではなく、ポッドセレクタおよびラベルを使用してネットワークポリシーをポッドに割り当てます。詳細については、「 」を参照してくださいAmazon EKS に Calico をインストールする

    Amazon EKS 要件を満たす VPC とサブネットをデプロイするには、手動設定を使用するか、 または提供された eksctl テンプレートを使用して VPC Amazon EKS AWS CloudFormationとサブネットをデプロイします。eksctl と AWS CloudFormation テンプレートはどちらも、必要な設定で VPC とサブネットを作成します。詳細については、「 」を参照してくださいAmazon EKS クラスター用の VPC の作成

  • Amazon EKS コントロールプレーン – 管理 VPC Amazon EKS で によってAmazon EKSデプロイおよび管理されます。クラスターを作成すると、 は、説明に Amazon EKS が含まれているアカウントでネットワークインターフェイスAmazon EKS <cluster name>を作成および管理します。これらのネットワークインターフェイスにより、 AWS Fargate および Amazon EC2 インスタンスはコントロールプレーンと通信できます。

    デフォルトでは、コントロールプレーンはパブリックエンドポイントを公開し、クライアントとノードがクラスターと通信できるようにします。パブリックエンドポイントと通信できるインターネットクライアントの送信元 IP アドレスを制限できます。または、プライベートエンドポイントを有効にしてパブリックエンドポイントを無効にするか、パブリックエンドポイントとプライベートエンドポイントの両方を有効にすることもできます。クラスターエンドポイントの詳細については、「」Amazon EKS クラスターエンドポイントのアクセスコントロールを参照してください。

    クラスターがデプロイされている VPCs と他のネットワークの間に接続を設定している場合、オンプレミスネットワークまたは他の VPC のクライアントは、パブリックエンドポイントまたはプライベートエンドポイントと通信できます。VPC を他のネットワークに接続する方法の詳細については、AWS Amazon VPC Network-to-connection options および Amazon VPC-Amazon VPCto-connection options 技術文書を参照してください。

  • Amazon EC2 インスタンス – 各Amazon EC2ノードは 1 つのサブネットにデプロイされます。各ノードには、サブネットに割り当てられた CIDR ブロックからプライベート IP アドレスが割り当てられます。Amazon EKS 提供されたAWS CloudFormationいずれかのテンプレートを使用してサブネットを作成した場合、パブリックサブネットにデプロイされたノードには、サブネットによってパブリック IP アドレスが自動的に割り当てられます。各ノードは でデプロイされますポッドネットワーキング (CNI)。デフォルトでは、ノードがあるサブネットに割り当てられた CIDR ブロックのプライベート IP アドレスが各ポッドに割り当てられ、その IP アドレスがセカンダリ IP アドレスとしてインスタンスにアタッチされているネットワークインターフェイスの 1 つに追加されます。このAWSリソースは、 および API のネットワークAWS マネジメントコンソールインターフェイスAmazon EC2と呼ばれます。したがって、このドキュメントでは「Elastic Network InteElastic Network Interface」ではなく「ネットワークインターフェイス」を使用します。このドキュメントの「ネットワークインターフェイス」という用語は、常に「Elastic Network Interface」を意味します。

    この動作を変更するには、追加の CIDR ブロックを VPC に割り当て、 を有効にします。これによりCNI カスタムネットワーク、ノードがデプロイされているのとは異なるサブネットのポッドに IP アドレスが割り当てられます。カスタムネットワーキングを使用するには、ノードの起動時に有効にする必要があります。また、多くのAmazon EC2インスタンスタイプで実行されているポッドの一部に一意のセキュリティグループを関連付けることもできます。詳細については、「 」を参照してくださいポッドのセキュリティグループ

    デフォルトでは、VPC 外のリソースと通信する各ポッドのソース IP アドレスは、ネットワークアドレス変換 (NAT) を介して、ノードにアタッチされたプライマリネットワークインターフェイスのプライマリ IP アドレスに変換されます。この動作は、プライベートサブネットの NAT デバイスが各ポッドの IP アドレスを NAT デバイスの IP アドレスに変換するように変更できます。詳細については、「 」を参照してください外部ソースネットワークアドレス変換 (SNAT)

  • Fargate ポッド プライベートサブネットにのみ–デプロイされます。各ポッドには、サブネットに割り当てられた CIDR ブロックからプライベート IP アドレスが割り当てられます。 Fargate は、すべてのポッドネットワーキングオプションをサポートしていません。詳細については、「 」を参照してくださいAWS Fargate に関する考慮事項