Amazon EKS 네트워킹 - Amazon EKS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EKS 네트워킹

이 장에서는 Amazon EKS 네트워킹에 대한 개요를 제공합니다. 다음 다이어그램은 Amazon EKS 클러스터의 주요 구성 요소와 이러한 구성 요소와 VPC 와의 관계를 보여 줍니다.


            EKS 네트워킹

다음 설명은 다이어그램의 구성 요소가 서로 어떻게 관련되어 있는지, 자세한 내용을 참조할 수 있는 이 설명서의 주제 및 기타 AWS 안내서에 나와 있는 주제를 이해하는 데 도움이 됩니다.

  • Amazon VPC 및 서브넷— 모든 Amazon EKS 리소스는 기존 VPC 기존 서브넷에 있는 한 리전에 배포됩니다. 자세한 내용은 단원을 참조하십시오.VPC 및 서브넷자세한 내용은 Amazon VPC 사용 설명서의 참조하십시오. 각 서브넷은 하나의 가용 영역에 존재합니다. VPC 및 서브넷은 다음과 같은 요구 사항을 충족해야 합니다.

    • Kubernetes가 로드 밸런서와 같은 리소스를 배포하는 데 VPC 및 서브넷을 사용할 수 있음을 알 수 있도록 태그를 지정해야 합니다. 자세한 내용은 VPC 태그 지정 요건서브넷 태그 지정 단원을 참조하십시오. 제공된 Amazon EKS를 사용하여 VPC 배포하는 경우AWS CloudFormation 템플릿를 사용하거나eksctl를 선택하면 VPC 와 서브넷에 적절하게 태그가 지정됩니다.

    • 서브넷은 인터넷에 액세스하거나 연결되지 않을 수 있습니다. 서브넷에 인터넷에 액세스할 수 없는 경우 서브넷에 배포된 포드가 Amazon ECR과 같은 다른 AWS 서비스에 액세스하여 컨테이너 이미지를 가져올 수 있어야 합니다. 인터넷에 액세스할 수 없는 서브넷을 사용하는 방법에 대한 자세한 내용은 단원을 참조하십시오.프라이빗 클러스터.

    • 사용하는 퍼블릭 서브넷은 Amazon EC2 인스턴스에 대해 퍼블릭 IP 주소를 자동 할당하도록 구성해야 합니다. 자세한 내용은 VPC IP 주소 지정 단원을 참조하세요.

    • 노드와 컨트롤 플레인은 적절한 태그를 통해 모든 포트를 통해 통신할 수 있어야 합니다보안 그룹. 자세한 내용은 Amazon EKS 보안 그룹 고려 사항 단원을 참조하세요.

    • 네트워크 세분화 및 테넌트 격리 네트워크 정책을 구현할 수 있습니다. 네트워크 정책은 네트워크 수신 및 발신 규칙을 생성할 수 있다는 점에서 AWS 보안 그룹과 유사하지만, 인스턴스를 보안 그룹에 할당하는 대신 포드 선택기 및 레이블을 사용하여 네트워크 정책을 포드에 할당합니다. 자세한 내용은 Amazon EKS 설치 단원을 참조하세요.

    수동 구성을 통해 Amazon EKS 요구 사항을 충족하는 VPC 및 서브넷을 배포하거나eksctl또는 Amazon EKS에서 제공하는 AWS CloudFormation 템플릿을 참조하십시오. 모두eksctl및 AWS CloudFormation 템플릿은 필요한 구성으로 VPC 및 서브넷을 생성합니다. 자세한 내용은 Amazon EKS 클러스터용 VPC 단원을 참조하세요.

  • Amazon EKS 컨트롤 플— Amazon EKS가 Amazon EKS 관리 VPC 배포 및 관리합니다. 클러스터를 생성하면 Amazon EKS는 사용자 계정에서Amazon EKS <cluster name>설명에 있습니다. 이러한 네트워크 인터페이스를 통해 AWS Fargate 및 Amazon EC2 인스턴스가 제어부와 통신할 수 있습니다.

    기본적으로 제어부는 클라이언트와 노드가 클러스터와 통신할 수 있도록 공용 끝점을 노출합니다. 공용 끝점과 통신할 수 있는 인터넷 클라이언트 원본 IP 주소를 제한할 수 있습니다. 또는 프라이빗 엔드포인트를 활성화하고 퍼블릭 엔드포인트를 비활성화하거나 퍼블릭 엔드포인트와 프라이빗 엔드포인트를 모두 사용하도록 설정할 수 있습니다. 클러스터 끝점에 대한 자세한 내용은 단원을 참조하십시오.Amazon EKS 클러스터 엔드포인트 액세스 제어.

    클러스터가 배포되는 VPC와 다른 네트워크 간의 연결을 구성한 경우 온 프레미스 네트워크 또는 다른 VPC 클라이언트는 퍼블릭 또는 프라이빗 전용 엔드포인트와 통신할 수 있습니다. VPC 다른 네트워크에 연결하는 방법에 대한 자세한 내용은 AWS네트워크와 Amazon VPC 간 연결 옵션Amazon VPC와 Amazon VPC 간 연결 옵션기술 서류.

  • Amazon EC2 인스턴스— 각 Amazon EC2 노드는 하나의 서브넷에 배포됩니다. 각 노드에는프라이빗 IP 주소서브넷에 할당된 CIDR 블록에서. 서브넷 중 하나를 사용하여 서브넷을 만든 경우Amazon EKS는 AWS CloudFormation 템플릿을 제공했습니다로 설정된 경우 퍼블릭 서브넷에 배포된 노드에퍼블릭 IP 주소서브넷을 기준으로 합니다. 각 노드는포드 네트워킹(CNI)는 기본적으로 각 포드에 노드가 있는 서브넷에 할당된 CIDR 블록의 사설 IP 주소를 할당하고 IP 주소를네트워크 인터페이스인스턴스에 연결됩니다. 이 AWS 리소스를네트워크 인터페이스AWS 관리 콘솔과 Amazon EC2 API에 포함되어 있습니다. 따라서 이 설명서에서는 “탄력적 네트워크 인터페이스” 대신 “네트워크 인터페이스”를 사용합니다. 이 설명서에서 “네트워크 인터페이스”라는 용어는 항상 “탄력적 네트워크 인터페이스”를 의미합니다.

    VPC 추가 CIDR 블록을 할당하고CNI 사용자 지정 네트워킹- 노드가 배포된 서브넷과 다른 서브넷의 포드에 IP 주소를 할당합니다. 사용자 지정 네트워킹을 사용하려면 노드를 시작할 때 이 네트워킹을 활성화해야 합니다. 또한 고유한 보안 그룹을 여러 Amazon EC2 인스턴스 유형에서 실행되는 일부 포드와 연결할 수 있습니다. 자세한 내용은 포드의 보안 그룹 단원을 참조하세요.

    기본적으로 VPC 외부의 리소스와 통신하는 각 포드의 소스 IP 주소는 NAT (네트워크 주소 변환) 를 통해 노드에 연결된 기본 네트워크 인터페이스의 기본 IP 주소로 변환됩니다. 대신 프라이빗 서브넷에 NAT 디바이스가 각 포드의 IP 주소를 NAT 디바이스의 IP 주소로 변환하도록 이 동작을 변경할 수 있습니다. 자세한 내용은 외부 SNAT(Source Network Address Translation) 단원을 참조하세요.

  • Fargate 포드- 사설 서브넷에만 배포됩니다. 서브넷에 할당된 CIDR 블록의 프라이빗 IP 주소가 각 포드에 할당됩니다. Fargate 은 일부 포드 네트워킹 옵션을 지원하지 않습니다. 자세한 내용은 AWS Fargate 고려 사항 단원을 참조하세요.