选择 pod 联网使用案例 - Amazon EKS

选择 pod 联网使用案例

Amazon VPC CNI 插件为 pods 提供了联网。下表可帮助您了解哪些联网使用案例可以共同使用,以及可用于不同 Amazon EKS 节点类型的功能和 Amazon VPC CNI 插件设置。表中的所有信息仅适用于 Linux IPv4 节点。

Amazon EKS 节点类型 Amazon EC2 Fargate
使用案例 分配给网络接口的单个 IP 地址 分配给网络接口的 IP 地址前缀 pods 的安全组
教程:自定义联网:分配来自不同于节点子网的子网的 IP 地址 是(通过 Fargate 配置文件控制的子网)
适用于 pods 的 SNAT 是(默认值为 false 是(默认值为 false 是(仅限 true 是(仅限 true
功能
安全组范围 节点 节点 Pod Pod
Amazon VPC 子网类型 公有和私有 公有和私有 仅限私有 仅限私有
网络策略 (Calico) 兼容 兼容

兼容

仅版本 1.11.0 或更高版本的 Amazon VPC 附加组件配置有 POD_SECURITY_GROUP_ENFORCING_MODE=standard

不支持
每个节点的容器组密度 第一
容器组启动时间 较好 最佳
Amazon VPC CNI 插件设置(有关各项设置的更多信息,请参阅 GitHub 上的 amazon-vpc-cni-k8s
WARM_ENI_TARGET 不适用 不适用 不适用
WARM_IP_TARGET 不适用 不适用
MINIMUM_IP_TARGET 不适用 不适用
WARM_PREFIX_TARGET 不适用 不适用 不适用
注意
  • 不能将 IPv6 用于自定义联网。

  • IPv6 地址不会进行转换,因此 SNAT 不适用。

  • 您可以将 Calico 网络策略与 IPv6 结合使用。

  • 流向和来自具有关联安全组的 pods 的流量不受 Calico 网络策略执行限制,并且仅受限于 Amazon VPC 安全组执行。

  • IP 前缀和 IP 地址与标准 Amazon EC2 弹性网络接口相关联。需要特定安全组的容器组被分配给分支网络接口的主 IP 地址。您可以将获取 IP 地址或从 IP 前缀获取 IP 地址的 pods 与在同一节点上获取分支网络接口的 pods 混合使用。

Windows 个节点

每个 Windows 节点只支持 pods 的一个网络接口和辅助 IPv4 地址。因此,您无法将 IP 地址前缀或 IPv6 用于 Windows 节点。每个节点的最大 pods 数等于您可以分配给每个弹性网络接口的 IP 地址数减 1。Windows 支持 Calico 网络策略。有关更多信息,请参阅 Amazon EKS 上 Windows 容器的开源 Calico。您不能在 Windows 上使用 pods 的安全组