協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視VPC和子EKS網路的 Amazon 聯網需求
建立叢集時,您必須指定VPC和至少兩個位於不同可用區域中的子網路。本主題提供 Amazon EKS 特定需求的概觀,以及與叢集搭配使用的VPC和子網路的考量事項。如果你沒有一個與 Amazon VPC 使用EKS,你可以創建一個使用 Amazon EKS 提供的 AWS CloudFormation 模板。如果您要在上建立本機或延伸叢集 AWS Outposts,請參閱在上為 Amazon EKS 集群創建一個VPC和子網 AWS Outposts而非本主題。
VPC需求和考量
當您建立叢集時,您指定VPC的叢集必須符合下列需求和考量:
-
VPC必須有足夠數量的 IP 位址可供叢集、任何節點以及您要建立的其他Kubernetes資源使用。如果您VPC要使用的 IP 位址數量不足,請嘗試增加可用 IP 位址的數量。
您可以更新叢集組態來變更叢集使用的子網路和安全群組,藉此完成此操作。您可以從 AWS Management Console、、和版本的最新版本
v0.164.0-rc.0
或更新eksctl
版本進行更新。 AWS CLI AWS CloudFormation這麼做才能為子網路提供更多可用 IP 地址,以成功升級叢集版本。重要
您新增的所有子網路必須與建立叢集時原先提供的AZs子網路集合相同。新的子網路必須滿足所有其他要求,例如,它們必須具有足夠的 IP 地址。
舉例來說,假設您建立叢集並指定四個子網路。依照您指定它們的順序,第一個子網路位於
us-west-2a
可用區域中,第二個和第三個子網路位於us-west-2b
可用區域中,而第四個子網路位於us-west-2c
可用區域中。如果您想要變更子網路,則必須在三個可用區域中的每個子網路中提供至少一個子網路,而且子網路必須與原始子網路位於VPC相同的子網路中。如果您需要的 IP 位址多於其中的CIDR區塊,VPC您可以將其他CIDR無類別網域間路由 (CIDR) 區塊與. VPC 您可以在建立叢集之前或之後,將 private (RFC 1918RFC 1918) 和公用 VPC (非) CIDR 區塊關聯到您的區塊。叢集最多可能需要五個小時才能辨識您與 a 關聯VPC的CIDR區塊。
您可以將傳輸閘道與共用服務VPC搭配使用,以節省 IP 位址的使用率。如需詳細資訊,請參閱VPCs與共用服務隔離和混合式網路中的 Amazon EKS VPC 可路由 IP 地址保護模式
。 -
如果您Kubernetes要將
IPv6
地址指派給Pods和服務,請將IPv6
CIDR區塊與您的VPC. 如需詳細資訊,請參閱 Amazon VPC 使用者指南VPC中的IPv6
CIDR區塊與您的區塊建立關聯。 -
VPC必須具有
DNS
主機名稱和DNS
解析度支援。否則,節點無法註冊至您的叢集。如需詳細資訊,請參閱 Amazon VPC 使用者指南VPC中的DNS屬性。 -
VPC可能需要VPC端點使用 AWS PrivateLink. 如需詳細資訊,請參閱子網需求和注意事項。
如果您使用Kubernetes1.14
或更早版本建立叢集,Amazon 會將以下標籤EKS新增至您的VPC:
金鑰 | 值 |
---|---|
kubernetes.io/cluster/ |
owned |
此標籤僅由 Amazon 使用EKS。您可以在不影響服務的情況下移除該標籤。其不與版本 1.15
或更新版本的叢集一起使用。
子網需求和注意事項
建立叢集時,Amazon EKS 會在您指定的子網路中建立 2-4 個彈性網路界面。這些網路介面可讓您的叢集與VPC. 這些網路介面還啟用了 Kubernetes 的功能,例如 kubectl exec
和 kubectl logs
。Amazon EKS 創建的每個網絡界面在其描述Amazon EKS
中都有文本。cluster-name
Amazon EKS 可以在您建立叢集時指定的任何子網路中建立其網路界面。您可以在叢集建立之後變更 Amazon EKS 建立其網路界面的子網路。當您更新叢集的Kubernetes版本時,Amazon 會EKS刪除其建立的原始網路界面,並建立新的網路界面。這些網路介面可能在與原始網路介面相同的子網中建立,或在與原始網路介面不同的子網中建立。若要控制在其中建立的子網路網路介面,可以將建立叢集時指定的子網路數量限制為僅有兩個子網路,或在建立叢集後更新子網路。
叢集的子網路要求
您建立或更新叢集時指定的子網路必須符合下列要求:
-
每個子網路必須至少有六個 IP 位址,以供 Amazon EKS 使用。但是,我們建議至少使用 16 個 IP 地址。
-
子網路不能位於 AWS Outposts AWS Wavelength、或 AWS 本機區域中。但是,如果您有它們VPC,則可以將自我管理的節點和Kubernetes資源部署到這些類型的子網路。
-
子網可以是公有子網,也可以是私有子網。不過,如果可能的話,我們建議您指定私有子網。公有子網路是一種子網路,其路由表包含到網際網路閘道的路由,而私有子網路是一種子網路,其具有不包括到網際網路閘道路由的路由表。
-
子網路不能位於下列可用區域:
AWS 區域 區域名稱 不允許的可用區域 IDs us-east-1
美國東部 (維吉尼亞北部) use1-az3
us-west-1
美國西部 (加利佛尼亞北部) usw1-az2
ca-central-1
加拿大 (中部) cac1-az3
依元件分類的 IP 位址系列使用
下表包含 Amazon 每個組件使用的 IP 地址系列EKS。您可以使用網路位址轉譯 (NAT) 或其他相容性系統,從具有表格項目"No"值的系列中的來源 IP 位址連線到這些元件。
功能可能會因叢集的 IP family (ipFamily
) 設定而有所不同。此設定會變更用於Kubernetes指派給的CIDR區塊的 IP 位址類型Services。設定值為的叢集稱IPv4為IPv4 cluster,而設定值為的叢集IPv6則稱為IPv6
cluster。
元件 | IPv4 僅限位址 |
IPv6 僅限位址 |
雙堆疊位址 |
---|---|---|---|
EKSAPI公共端點 | 是 | 是 | 是 |
EKSAPIVPC端點 | 是 | 否 | 否 |
EKS驗證API公用端點 (EKS網繭身分識別) | 是 1 | 是 1 | 是 1 |
EKS驗證APIVPC端點 (EKS網繭身分識別) | 是 1 | 是 1 | 是 1 |
Kubernetes叢集公用端點 | 是 | 否 | 否 |
Kubernetes叢集私有端點 | 是2 | 是2 | 否 |
Kubernetes叢集子網路 | 是2 | 否 | 是2 |
節點主要 IP 位址 | 是2 | 否 | 是2 |
ServiceIP 位址的叢集CIDR範圍 | 是2 | 是2 | 否 |
Pod來自的 IP 位址 VPC CNI | 是2 | 是2 | 否 |
IRSAOIDC發行人 URLs | 是 | 是 | 是 |
注意
1 端點是具有IPv4
和IPv6
位址的雙堆疊。您在外部的應用程式 AWS、叢集節點以及叢集內的網繭都可以透過IPv4
或連線到達此端點IPv6
。
2 當您建立IPv4
叢集時,您可以在IPv6
叢集的 IP family (ipFamily
) 設定中選擇叢集和叢集,且無法變更。相反地,當您建立另一個叢集並移轉工作負載時,您必須選擇不同的設定。
3 雙堆疊端點於 2024 年 8 月推出。若要搭配使用雙堆疊端點 AWS CLI,請參閱《和工具參考指南》中的雙堆疊AWS SDKs和FIPS端點組態。下面列出了新的端點:
- EKSAPI公共端點
eks.
region
.api.aws- IRSAOIDC發行人 URLs
oidc-eks.
region
.api.aws
節點的子網路要求
您可以將節點和 Kubernetes 資源部署到您建立叢集時指定的相同子網路。不過,這不是必要的。這是因為您還可以將節點和 Kubernetes 資源部署至建立叢集時未指定的子網路。如果您將節點部署到不同的子網路,Amazon EKS 不會在這些子網路中建立叢集網路界面。您部署節點和 Kubernetes 資源的任何子網路必須符合以下要求:
-
子網路必須具有足夠的可用 IP 地址,以便將所有節點和 Kubernetes 資源部署至其中。
-
如果您想Kubernetes要將
IPv6
位址指派給Pods和服務,則必須有一個IPv6
CIDR區塊和一個與子網路相關聯的IPv4
CIDR區塊。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的將IPv6
CIDR區塊與子網路建立關聯。與子網關聯的路由表必須包含傳送到IPv4
和IPv6
地址的路由。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的路由。Pod 僅指派一個IPv6
地址。然而,Amazon 為您的叢集和節點EKS建立的網路界面會被分配一個IPv4
和一個IPv6
地址。 -
如果您需要從網際網路對您的 Pods 進行傳入存取,請確保至少有一個具有足夠可用 IP 地址的公有子網路來為其部署負載平衡器和傳入。您可以將負載平衡器部署至公有子網。負載均衡器可以對私有子網路或公有子網路中的 Pods 進行負載平衡。如果可能的話,我們建議您將節點部署至私有子網。
-
如果您計畫將節點部署到公有子網路,則該子網路必須自動指派
IPv4
公有地址或IPv6
地址。如果您將節點部署到具有關聯IPv6
CIDR區塊的私有子網路,則私有子網路也必須自動指派IPv6
位址。如果您在 2020 年 3 月 26 日VPC之後使用 Amazon EKS AWS CloudFormation 範本進行部署,則會啟用此設定。如果您VPC在此日期之前使用範本部署,或者您使用自己的範本VPC,則必須手動啟用此設定。如需詳細資訊,請參閱 Amazon VPC 使用者指南中修改子網路的公IPv4
用IPv6
定址屬性和修改子網路的位址屬性。 -
如果您部署節點的子網路是私有子網路,且其路由表不包含網路位址轉譯 (NAT) 裝置 (
IPv4
) 或僅限輸出閘道 (IPv6
) 的路由,請使用您 AWS PrivateLink 的. VPC VPC VPC所有節點都需要端點 AWS 服務 ,並且Pods需要與之通信。範例包括 Amazon ECR、Elastic Load Balancing CloudWatch AWS Security Token Service、Amazon 和亞馬遜簡單儲存服務 (Amazon S3)。端點必須包含節點所在的子網。並非所有VPC端點都 AWS 服務 支援。如需詳細資訊,請參閱什麼是 AWS PrivateLink? 以AWS 及與 AWS PrivateLink. 如需更多 Amazon EKS 要求的清單,請參閱部署網際網路存取受限的私有叢集。 -
如果要將負載平衡器部署到子網,則子網必須具有以下標籤:
-
私有子網路
金鑰 值 kubernetes.io/role/internal-elb
1
-
公有子網路
金鑰 值 kubernetes.io/role/elb
1
-
建立版本1.18
和更早版本的Kubernetes叢集時,Amazon 會將下列標籤EKS新增至指定的所有子網路。
金鑰 | 值 |
---|---|
kubernetes.io/cluster/ |
shared |
當您現在建立新Kubernetes叢集時,Amazon EKS 不會將標籤新增至您的子網路。如果叢集所使用的子網路具有標籤,而且該叢集此前的版本早於 1.19
,則當叢集更新為較新版本時,系統不會自動從子網路移除該標籤。2.1.1
版或更早版本的 AWS Load Balancer Controller 需要此標籤。如果您使用較新版本的 Load Balancer Controller,則您無須中斷服務便可移除標籤。
如果您使用eksctl
或任何一個 VPC Amazon EKS AWS CloudFormation VPC 範本部署,則適用以下條件:
-
在 2020 年 3 月 26 日或之後:公有
IPv4
地址會由公有子網自動指派給此公有子網中已部署的新節點。 -
在 2020 年 3 月 26 日之前:公有
IPv4
地址不會由公有子網自動指派給此公有子網路已部署的新節點。
這項變更會影響部署於公有子網中的新節點群組的下列行為:
-
受管節點群組:如果節點群組在 2020 年 4 月 22 日或之後部署到公有子網,此公有子網必須啟用公有 IP 地址的自動指派。如需詳細資訊,請參閱修改子網路的公有
IPv4
定址屬性。 -
Linux、Windows 或 Arm 自我管理的節點群組 – 如果節點群組在 2020 年 3 月 26 日或之後部署到公有子網路,此公有子網路必須啟用公有 IP 地址的自動指派。否則,必須改用公有 IP 地址啟動節點。如需詳細資訊,請參閱修改子網路的公有
IPv4
定址屬性或在執行個體啟動期間指派公有IPv4
地址。
共用子網路需求和注意事項
您可以使用VPC共用功能與其他 AWS 帳戶共用子網路。 AWS Organizations您可以在共用子網路中建立 Amazon EKS 叢集,並考量下列事項:
-
VPC子網路的擁有者必須與參與者帳戶共用子網路,該帳戶才能在其中建立 Amazon EKS 叢集。
-
您無法使用的預設安全性群組啟動資源,VPC因為它屬於擁有者。此外,參與者無法使用其他參與者或擁有者所擁有的安全性群組來啟動資源。
-
在共用子網路中,參與者和擁有者會分別控制每個各別帳戶內的安全群組。子網路擁有者可以查看由參與者建立的安全群組,但無法執行任何動作。如果子網路擁有者想要移除或修改這些安全群組,建立安全群組的參與者必須採取動作。
-
如果叢集是由參與者建立,則需要考量下列事項:
叢集IAM角色和節點IAM角色必須在該帳戶中建立。如需詳細資訊,請參閱 Amazon EKS 群集IAM角色 和 Amazon EKS 節點 IAM 角色。
-
所有節點都必須由相同的參與者建立,包括受管節點群組。
-
共用VPC擁有者無法檢視、更新或刪除參與者在共用子網路中建立的叢集。這是每個帳戶具有不同存取權限的VPC資源之外。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的擁有者和參與者的責任和許可。
-
如果您使用 Amazon VPC CNI plugin for Kubernetes 的自訂網路功能,您必須使用擁有者帳戶中列出的可用區域 ID 映射來建立每個
ENIConfig
。如需詳細資訊,請參閱pods在具有自訂網路的替代子網路中部署。
如需VPC子網路共用的詳細資訊,請參閱 Amazon VPC 使用者指南中的「VPC與其他帳戶共用您的帳戶」。