网络扩展 - AWS 规范性指导
适用于 Kubernetes 的 Amazon VPC CNI 插件自定义联网前缀委派Amazon VPC Lattice

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络扩展

Kubernetes 中的网络扩展对于保持服务之间的无缝通信和支持动态环境中的高效数据流至关重要。扩展网络基础设施有助于确保集群能够处理不同级别的流量,而不会遇到瓶颈或延迟问题。Kubernetes 提供了扩展网络资源的工具和机制,使组织能够在流量模式变化时保持最佳性能。

网络扩展的这种弹性可确保快速可靠的连接,从而增强整体用户体验。网络扩展还可以优化网络资源的使用,有助于降低与未充分利用或负担过重的网络组件相关的成本。

此外,有效的网络扩展对于支持高可用性和弹性至关重要。通过动态调整网络容量和路由,组织可以确保即使在需求高峰期或意外流量高峰期,服务也能保持可访问性和响应能力。这种方法可以更好地利用云网络资源,确保基础架构始终与当前需求保持一致。

本节讨论以下类型的网络扩展:

适用于 Kubernetes 的 Amazon VPC CNI 插件

适用于 Kubernetes 的亚马逊 VPC 容器网络接口 (CNI) 插件是亚马逊 EKS 中的关键组件。VPC CNI 插件通过将 Kubernetes 容器与亚马逊 VPC 集成,提供高级联网功能。使用此插件,每个 Pod 都将获得来自虚拟私有云 (VPC) 的唯一 IP 地址,从而增强网络隔离和性能。随着集群的增长和网络需求的波动,Amazon VPC CNI 插件在确保高效和可扩展的网络运营方面发挥着关键作用。

该插件可自动管理 VPC 内 IP 地址的分配和路由,从而简化网络管理并降低 IP 冲突风险。它支持诸如前缀委派之类的功能,从而实现更灵活的 IP 管理。

VPC CNI 插件可帮助组织优化网络性能、增强安全性并降低 IP 耗尽风险。这些功能对于网络需求波动的大规模、动态环境尤其有价值,例如微服务架构、高密度工作负载和多租户应用程序。

Amazon VPC CNI 插件提供以下主要功能:

  • 增强联网 — VPC CNI 插件允许每个 Pod 直接从 VPC 接收自己的 IP 地址,从而提供强大的隔离和网络性能。这种方法对于需要高网络吞吐量和低延迟的工作负载至关重要。

  • 前缀委托 — 为了克服大型集群中的 IP 地址耗尽问题,前缀委派会动态地将较大的区块分配 IPs 给节点,然后对其进行细分以供 Pod 使用。这种方法可确保高效的 IP 利用率并简化网络扩展。

  • 自定义网络 — 用户可以为 pod 配置自定义网络接口 (ENIs),这有助于在多个接口之间分配 Pod 流量,从而减少网络拥塞并提高可扩展性。

  • S@@ upp ort for IPv6 — 通过 IPv6 在 Amazon EKS 集群中启用,用户可以显著扩展可用的 IP 地址空间,从而在不受 IPv4 限制的情况下促进大型分布式应用程序的扩展。

  • 与 Kubernetes 集成 — VPC CNI 插件可与 Kubernetes 网络组件无缝协作,确保 IPs 跨容器、服务和外部端点进行高效管理,并支持高级功能,例如容器的安全组。

自定义联网

Amazon EKS 中的自定义联网允许向 Pod 分配特定的网络接口,从而增强对 IP 地址管理和网络流量的控制。在 IP 地址耗尽问题或出于安全、合规性或性能原因需要隔离网络流量的情况下,这种方法特别有用。自定义网络可帮助组织高效管理 IP 地址空间、隔离流量并确保可扩展的网络性能。

通过自定义网络,管理员可以更有效地管理网络资源。管理员可以使用自定义网络来帮助确保 Pod 具有必要的网络隔离,并且集群可以在不遇到 IP 地址限制的情况下进行扩展。

自定义网络提供以下主要功能:

  • 增强的 IP 管理 — 自定义网络允许将特定的网络接口 (ENIs) 分配给 pod,通过在多个 ENIs pod 之间分配 pod 流量来帮助管理 IP 地址耗尽。此功能在具有高密度工作负载的集群中尤为重要。

  • 流量隔离 — 使用自定义网络接口,您可以根据特定标准(例如应用程序类型或安全要求)分离 Pod 流量。这种方法可以更好地控制集群内外的流量流向。

  • S upport for IPv6 — Amazon EKS 中的自定义联网也支持 IPv6,为 IPv4地址限制提供了解决方案。即使在大规模部署中,网络也可以高效扩展,而不会发生 IP 地址冲突。

  • 可扩展性和灵活性 — 随着集群的扩展,自定义网络可以实现对网络接口的动态管理。无需人工干预即可为新 Pod 分配适当的网络资源。这种方法有助于维护灵活且可扩展的网络环境,以适应不断变化的工作负载。

前缀委派

Kubernetes 中的前缀委托,尤其是 Amazon EKS 中的前缀委托,旨在随着集群规模的扩展,简化和优化 IP 地址管理。通过向节点动态分配更大的 IP 地址块(前缀),前缀委派降低了 IP 耗尽的风险并简化了 IP 空间的管理。

这种方法可以提高网络效率,最大限度地减少分段,并帮助集群平稳扩展,无需手动调整 IP 范围。前缀委派对于大规模部署、高密度工作负载以及灵活、动态 IP 管理对于维持网络性能和可扩展性至关重要的环境尤其重要。

前缀委派提供以下主要功能:

  • 高效的 IP 地址管理 — 前缀委派允许动态分配 IP 范围,从而降低 IP 耗尽的风险并确保有效利用可用 IP 空间。

  • 简化网络管理 — 通过允许节点处理自己的 IP 分配,前缀委派可最大限度地减少网络碎片并简化路由过程,从而更轻松地根据需要扩展集群。

  • 支持大规模部署 — 在具有高密度工作负载的大型集群中,前缀委派允许新节点加入集群,无需手动调整 IP 范围,即可实现无缝扩展。

Amazon VPC Lattice

Amazon VPC Lattice 支持在内部和相互之间进行高效 VPCs、安全的 service-to-service通信,尤其是在微服务架构中。VPC Lattice 除了集成(IAM)外,还使用安全组和网络访问控制列表 AWS Identity and Access Management (网络 ACLs)等安全措施来实现精细的应用程序身份验证。莱迪思是VPC 核心的第七层代理服务,提供连接、负载平衡、身份验证、授权、可观察性、流量管理和服务发现。

通过简化网络和安全配置,VPC Lattice帮助组织优化流量管理,增强应用性能,并在多个 VPCs 和 AWS 区域之间无缝扩展。这对于需要一致和可靠网络的分布式应用程序尤其重要,例如微服务、跨区域部署和复杂的云原生环境。

Amazon VPC Lattice 提供以下主要功能:

  • Service-to-service 联网 — VPC Lattice简化了微服务架构中服务之间的联网和安全配置。它为管理通信提供了一个统一的平台,因此服务可以在保持高性能和安全性的同时独立扩展。

  • 跨VPC网络 — VPC Lattice对于管理跨多个 VPCs 或区域的流量至关重要。它提供了一个一致的网络框架,允许服务无缝通信,无论其物理位置如何。此功能对于跨越多个 VPCs 或地理区域的大型应用程序尤其重要。

  • 增强安全管理 — 通过将安全策略直接集成到网络层,VPC Lattice支持既安全又高效的 service-to-service通信。此功能降低了在分布式环境中管理安全的复杂性,从而可以更轻松地扩展并减少运营开销。

  • 简化流量管理 — VPC Lattice提供高级流量管理功能,包括路由、负载平衡和故障转移机制。借助这些功能,可以在服务之间高效地分配流量,从而优化网络性能并增强应用程序的可扩展性。