View a markdown version of this page

CNI für das Hybrid Nodes Gateway konfigurieren - Amazon EKS
VoraussetzungenAktivieren Sie VTEP und deaktivieren Sie den L7-ProxyErforderliche EinstellungenÜberprüfen Sie die KonfigurationKonfiguration von VPC CNI für Hybrid-Pod-VerkehrNächste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CNI für das Hybrid Nodes Gateway konfigurieren

Das Amazon EKS Hybrid Nodes Gateway erfordert eine spezielle Cilium-Konfiguration, um die VXLAN-based Konnektivität zwischen Ihrer VPC und Ihren Hybridknoten zu ermöglichen. Sie müssen die Unterstützung für Cilium VTEP (VXLAN Tunnel Endpoint) aktivieren und den L7-Proxy deaktivieren.

Voraussetzungen

Anmerkung

Cilium VTEP wird nur auf den folgenden Mindestversionen von EKS Cilium unterstützt:

  • Cilium 1.17.13-1 oder höher

  • Cilium 1.18.8-1 oder später

  • Cilium 1.19.2-1 oder später

Wenn Sie eine ältere Version verwenden, aktualisieren Sie Cilium, bevor Sie VTEP aktivieren. Anweisungen zum Upgrade finden Sie unter. CNI für Hybridknoten konfigurieren

Aktivieren Sie VTEP und deaktivieren Sie den L7-Proxy

Stellen Sie die Cilium-Version ein und führen Sie den helm upgrade Befehl aus, um VTEP zu aktivieren und den L7-Proxy auf Ihrer vorhandenen Cilium-Installation zu deaktivieren. Die neueste verfügbare Patch-Version finden Sie unter Amazon ECR Public: eks/cilium /cilium.

helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \
  --version CILIUM_VERSION \
  --namespace kube-system \
  --reuse-values \
  --set vtep.enabled=true \
  --set l7Proxy=false

Starten Sie Cilium nach Abschluss des Upgrades neu, DaemonSet um die neue Konfiguration anzuwenden:

kubectl rollout restart daemonset/cilium -n kube-system
kubectl rollout status daemonset/cilium -n kube-system

Erforderliche Einstellungen

Einstellung Wert Description

vtep.enabled

true

Aktiviert die VXLAN Tunnel Endpoint-Unterstützung von Cilium. Auf diese Weise können Cilium-Agenten auf Hybridknoten den VPC-bound Datenverkehr kapseln und an das Gateway senden.

l7Proxy

false

Deaktiviert den L7-Proxy von Cilium. Dies ist erforderlich, damit VTEP korrekt funktioniert. Wenn der L7-Proxy aktiviert ist, kann der VTEP-Verkehr abgefangen und gelöscht werden.

Überprüfen Sie die Konfiguration

Stellen Sie nach dem Upgrade von Cilium sicher, dass VTEP aktiviert und der L7-Proxy deaktiviert ist:

kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"

Sie sollten eine Ausgabe sehen, die der folgenden ähnelt:

enable-l7-proxy: "false"
enable-vtep: "true"

Konfiguration von VPC CNI für Hybrid-Pod-Verkehr

Standardmäßig wendet das AWS VPC-CNI Quell-NAT (SNAT) auf den gesamten Pod-Verkehr an, der den Knoten verlässt. Um sicherzustellen, dass Kubernetes-ClusterIP-Dienste mit Hybrid-Pod-Endpunkten von Cloud-Knoten aus ordnungsgemäß funktionieren, schließen Sie die Hybrid-Pod-CIDRs von SNAT aus. Dadurch kann der DNAT-Verkehr von Kube-Proxy das VPC-Routing korrekt verwenden.

Stellen Sie die AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS Umgebungsvariable auf die aws-node DaemonSet CIDR (s) Ihres Hybrid-Pods ein:

kubectl set env daemonset aws-node -n kube-system \
  AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS

Ersetzen Sie den Wert durch Ihre tatsächlichen Hybrid-Pod-CIDRs (durch Kommas getrennt, falls es sich um mehrere handelt).

Diese Einstellung fügt die Hybrid-Pod-CIDRs zu den IP-Regeln der VPC-CNI hinzu, sodass der für Hybrid-Pods bestimmte Datenverkehr über die Haupt-Routing-Tabelle geleitet wird, die die VPC-Route zum Gateway-ENI enthält.

Anmerkung

Dieser Schritt ist für den ClusterIP-Dienstverkehr von Cloud-Pods zu Hybrid-Pod-Endpunkten erforderlich. Die direkte Pod-zu-Pod-Konnektivität über die IP-Adresse funktioniert auch ohne diese Einstellung.

Nächste Schritte

Fahren Sie nach der Konfiguration von Cilium und VPC CNI mit der Installation des Hybrid Nodes Gateways fort. Siehe Erste Schritte mit dem EKS Hybrid Nodes Gateway.