Pod 네트워킹 사용 사례 선택 - Amazon EKS

Pod 네트워킹 사용 사례 선택

Amazon VPC CNI plugin for Kubernetes는 Pods를 위한 네트워킹을 제공합니다. 다음 표는 함께 사용할 수 있는 네트워킹 사용 사례와 다양한 Amazon EKS 노드 유형에서 사용할 수 있는 기능 및 Amazon VPC CNI plugin for Kubernetes 설정을 이해하는 데 도움이 됩니다. 표의 모든 정보는 Linux IPv4 노드에만 적용됩니다.

Amazon EKS 노드 유형 Amazon EC2 Fargate
사용 사례 네트워크 인터페이스에 할당된 개별 IP 주소 네트워크 인터페이스에 할당된 IP 접두사 Pods의 보안 그룹
포드에 대한 사용자 지정 네트워킹 - 노드의 서브넷과 다른 서브넷에서 IP 주소 할당 예(Fargate 프로파일을 통해 제어되는 서브넷)
Pods용 SNAT 예(기본값은 false) 예(기본값은 false) 예(true만 해당) 예(true만 해당)
기능
보안 그룹 범위 노드

노드

포드(POD_SECURITY_GROUP_ENFORCING_MODE=standardAWS_VPC_K8S_CNI_EXTERNALSNAT=false로 설정한 경우 VPC 외부의 엔드포인트로 향하는 트래픽은 Pod's 보안 그룹이 아닌 노드의 보안 그룹 사용)

 Pod
Amazon VPC 서브넷 유형 프라이빗 및 퍼블릭 프라이빗 및 퍼블릭 프라이빗 전용 프라이빗 전용
네트워크 정책(VPC CNI) 호환됨 호환됨

호환됨

Amazon VPC CNI 플러그인 버전 1.14.0 이상만 해당

 지원되지 않음
노드당 포드 밀도 중간 높음 낮음 1
Pod 시작 시간 상급 최상급 좋음 보통
Amazon VPC CNI 플러그인 설정(각 설정에 대한 자세한 내용은 GitHub에서 amazon-vpc-cni-k8s 참조)
WARM_ENI_TARGET 해당 사항 없음 해당 사항 없음 해당 사항 없음
WARM_IP_TARGET 해당 사항 없음 해당 사항 없음
MINIMUM_IP_TARGET 해당 사항 없음 해당 사항 없음
WARM_PREFIX_TARGET 해당 사항 없음 해당 사항 없음 해당 사항 없음
참고

  • 사용자 지정 네트워킹에서는 IPv6를 사용할 수 없습니다.

  • IPv6 주소는 변환되지 않으므로 SNAT가 적용되지 않습니다.

  • 연결된 보안 그룹이 있는 Pods에서 주고받는 트래픽 흐름에는 Calico 네트워크 정책이 적용되지 않으며, Amazon VPC 보안 그룹 적용으로만 제한됩니다.

  • Calico 네트워크 정책 시행을 사용하는 경우 환경 변수 ANNOTATE_POD_IPtrue로 설정하여 Kubernetes 관련 알려진 문제가 발생하지 않도록 하는 것이 좋습니다. 이 기능을 사용하려면 포드에 대한 patch 권한을 aws-node ClusterRole에 추가해야 합니다. aws-node DaemonSet에 패치 권한을 추가하면 플러그인의 보안 범위가 증가합니다. 자세한 내용은 GitHub의 VPC CNI 리포지토리에서 ANNOTATE_POD_IP를 참조하세요.

  • IP 접두사 및 IP 주소는 표준 Amazon EC2 탄력적 네트워크 인터페이스와 연결됩니다. 특정 보안 그룹이 필요한 포드에는 브랜치 네트워크 인터페이스의 기본 IP 주소가 할당됩니다. IP 주소 또는 IP 접두사의 IP 주소를 얻는 Pods와 동일한 노드에서 브랜치 네트워크 인터페이스를 얻는 Pods와 혼합할 수 있습니다.

Windows 노드

각 노드는 하나의 네트워크 인터페이스만 지원합니다. 보조 IPv4 주소와 IPv4 접두사를 사용할 수 있습니다. 기본적으로 노드에서 사용 가능한 IPv4 주소 수는 각 탄력적 네트워크 인터페이스에 할당할 수 있는 보조 IPv4 주소 수에서 1을 뺀 수와 같습니다. 그러나 IP 접두사를 활성화하여 노드에서 사용 가능한 IPv4 주소와 Pod 밀도를 늘릴 수 있습니다. 자세한 내용은 Amazon EC2 노드에 사용 가능한 IP 주소 증량 단원을 참조하십시오.

Calico 네트워크 정책은 Windows에서 지원됩니다. Windows에서는 사용자 지정 네트워킹이나 Pods용 보안 그룹을 사용할 수 없습니다.