外部ソースネットワークアドレス変換 (SNAT)

VPC 内の通信 (ポッドからポッドなど) は、プライベート IP アドレス間で直接行われ、ソースネットワークアドレス変換 (SNAT) を必要としません。トラフィックが VPC 外のアドレス宛てである場合、CNI Plug-in for Kubernetes は各ポッドのプライベート IP アドレスを、ポッドが実行中のノードのプライマリAmazon VPCネットワークインターフェイス (ネットワークインターフェイス) に割り当てられたプライマリプライベート IP アドレスに変換します。Amazon EC2SNAT:

• ポッドがインターネットと双方向に通信できるようにします。ノードはパブリックサブネットにあり、パブリック IP アドレスまたは Elastic IP アドレスが、プライマリネットワークインターフェイスのプライマリプライベート IP アドレスに割り当てられている必要があります。以下の図に示すように、トラフィックはパブリック IP アドレスまたは Elastic IP アドレスとの間で変換され、インターネットゲートウェイによってインターネットとの間でルーティングされます。

  

  インターネットゲートウェイは、ポッドのプライマリプライベート IP アドレスと、ポッドのAmazon EC2インスタンスノードのプライマリネットワークインターフェイスに割り当てられたパブリック IP アドレスまたは Elastic IP アドレスとの間でのみ変換できるため、SNAT が必要です。

• 他のプライベート IP アドレススペース (VPC ピアリング、トランジット VPC、Direct Connect など) のデバイスが、インスタンスノードのプライマリネットワークインターフェイスのプライマリプライベート IP アドレスが割り当てられていないポッドに直接通信しないようにします。Amazon EC2

他のプライベート IP アドレススペース内のインターネットまたはデバイスが通信する必要のあるポッドが、ポッドが実行されているAmazon EC2インスタンスノードのプライマリネットワークインターフェイスに割り当てられたプライマリプライベート IP アドレスが割り当てられていない場合は、以下の操作を行います。

• ノードは、パブリックサブネット内の NAT デバイスへのルートを持つプライベートサブネットにデプロイする必要があります。

• 次のコマンドを使用して、CNI プラグインで外部 SNAT を有効にする必要があります。aws-nodeDaemonSet

  kubectl set env daemonset -n kube-system aws-node AWS_VPC_K8S_CNI_EXTERNALSNAT=true

外部 SNAT が有効になると、CNI プラグインはポッドのプライベート IP アドレスを、トラフィックが VPC 外のアドレス宛てである場合にポッドが実行されているAmazon EC2インスタンスノードのプライマリネットワークインターフェイスに割り当てられたプライマリプライベート IP アドレスに変換しません。以下の図に示すように、ポッドからインターネットへのトラフィックは、NAT デバイスのパブリック IP アドレスとの間で外部的に変換され、インターネットゲートウェイによってインターネットとの間でルーティングされます。