View a markdown version of this page

Amazon EKS-Gateway für Hybridknoten - Amazon EKS
AnwendungsfälleArchitekturFunktionsweiseBereitstellungsmodellPreisgestaltungVerfügbarkeit in RegionenOpen-SourceEinschränkungen und ÜberlegungenNächste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EKS-Gateway für Hybridknoten

Das Amazon EKS Hybrid Nodes Gateway automatisiert die Vernetzung zwischen Ihrer Amazon EKS-Cluster-VPC und Kubernetes-Pods, die auf EKS-Hybridknoten ausgeführt werden. Das Gateway macht es überflüssig, lokale Pod-Netzwerke von der VPC aus routbar zu machen oder Änderungen der Netzwerkinfrastruktur zu koordinieren. Es erstellt VXLAN-Tunnel zwischen EC2-based Gateway-Knoten in Ihrer VPC und Cilium-managed Hybridknoten in Ihrer lokalen Umgebung und verwaltet automatisch VPC-Routing-Tabelleneinträge, sodass der Datenverkehr die richtige Gateway-Instanz erreicht.

Anwendungsfälle

Das Hybrid Nodes Gateway ermöglicht die folgenden Verkehrsflüsse zwischen Ihrer VPC und der lokalen Umgebung:

  • Kommunikation zwischen der Kontrollebene und dem Webhook — Der Kubernetes-API-Server kann Webhook-Endpunkte erreichen, die auf Hybridknoten ausgeführt werden. Ohne das Gateway sind Webhooks auf Hybridknoten von der Steuerebene aus nicht erreichbar, es sei denn, die Pod-CIDRs werden in der lokalen Umgebung routingfähig gemacht.

  • Pod-to-pod Datenverkehr in der Cloud und vor Ort — Pods, die auf EC2-Knoten in der VPC ausgeführt werden, können direkt mit Pods kommunizieren, die auf Hybridknoten ausgeführt werden, und umgekehrt.

  • AWS Service-Konnektivität zu Hybrid-Pods — AWS Dienste wie Application Load Balancers, Network Load Balancers und Amazon Managed Service for Prometheus können Pods erreichen, die auf Hybridknoten laufen.

Architektur

Zwei Gateway-Pods werden als Deployment auf markierten EC2-Knoten ausgeführt. Bei der Wahl eines Lease-based Kubernetes-Leaders wird bestimmt, welcher Pod aktiv ist. Beide Pods erstellen beim Start eine VXLAN-Schnittstelle und führen einen Node Reconciler aus, der CiliumNode Objekte überwacht, sodass der Standby-Modus immer bereit ist, den Datenverkehr bei einem Failover innerhalb von 3—5 Sekunden weiterzuleiten. Nur führungsspezifische Aktionen (VPC-Routingtabellenaktualisierungen und CiliumVTEPConfig Verwaltung) werden übertragen, wenn die Führung wechselt.

Funktionsweise

Das Hybrid Nodes Gateway verwendet vier Mechanismen, um Konnektivität zu ermöglichen:

VXLAN-Tunneling — Das Gateway erstellt eine VXLAN-Schnittstelle (hybrid_vxlan0) mit VNI 2 am UDP-Port 8472 (der Cilium-Standard). Es richtet einen Tunnel zu jedem Hybridknoten ein, indem es FDB-Einträge, ARP-Einträge und Routen auf der VXLAN-Schnittstelle programmiert. Ein Node-Controller überwacht CiliumNode Objekte und fügt automatisch Tunnel hinzu oder entfernt sie, wenn Hybridknoten dem Cluster beitreten oder ihn verlassen.

Verwaltung von VPC-Routentabellen — Wenn das Gateway führend wird, erstellt oder ersetzt es Routen in den angegebenen VPC-Routentabellen. Jede Route verweist einen Hybrid-Pod-CIDR auf die primäre ENI des Leaders, sodass der für Hybrid-Pods bestimmte VPC-Verkehr an die aktive Gateway-Instance weitergeleitet wird.

Cilium VTEP-Integration — Das Gateway erstellt eine CiliumVTEPConfig benutzerdefinierte Ressource, die Cilium-Agenten auf Hybridknoten mitteilt, wohin der Datenverkehr gesendet werden soll. VPC-bound Die Konfiguration enthält die Node-IP des Leaders als Tunnelendpunkt und die MAC-Adresse der VXLAN-Schnittstelle. Wenn Hybrid-Pods Datenverkehr an VPC-Adressen senden, kapselt Cilium ihn in ein VXLAN-Paket und sendet ihn an das Gateway.

Wahl des Leiters — Das Gateway verwendet die Wahl des Lease-based Kubernetes-Leaders mit einem Active-Standby-Modell. Zwei Gateway-Pods laufen auf separaten Knoten, die durch Pod-Anti-Affinität erzwungen werden. Beide Pods erstellen beim Start eine VXLAN-Schnittstelle und führen einen Node Reconciler aus, der VTEP-Einträge für alle Hybridknoten verwaltet. Der Leader führt Aktualisierungen der VPC-Routetabellen und die Cilium VTEP-Konfiguration durch. Wenn der Leader ausfällt, erkennt der Standby-Server den Ablauf des Leases, erwirbt den Leader und führt die Leader-Setup-Sequenz aus. Die erwartete Failover-Zeit beträgt etwa 3—5 Sekunden.

Bereitstellungsmodell

Das Hybrid Nodes Gateway läuft auf EC2-Instances in Ihrer VPC und wird mithilfe eines Helm-Diagramms bereitgestellt. Das Gateway unterstützt die folgenden Bereitstellungsziele:

  • Automatischer EKS-Modus — Sie erstellen ein BandNodeClass, das Gateway-Knoten automatisch mit den richtigen Labels NodePool und Taints ausstattet und die Konfiguration source/destination überprüft. Dies ist die empfohlene Konfiguration.

  • Von EKS verwaltete Knotengruppen — Sie erstellen eine dedizierte verwaltete Knotengruppe mit den Gateway-Bezeichnungen, Taint und source/destination Deaktiviert. Anschließend geben Sie die Helm-Werte ein. autoMode.enabled=false

Für alle Bereitstellungsziele werden mindestens zwei Knoten für eine hohe Verfügbarkeit empfohlen. Weitere Informationen finden Sie unter Erste Schritte mit dem EKS Hybrid Nodes Gateway.

Preisgestaltung

Für das Amazon EKS Hybrid Nodes Gateway fallen keine zusätzlichen Gebühren an, Ihnen werden jedoch die Infrastrukturkosten für den Betrieb des Gateways in Rechnung gestellt, einschließlich der EC2-Instances und der EKS Auto Mode Verwaltungsgebühren, falls zutreffend. Weitere Informationen finden Sie unter Amazon EKS – Preise.

Verfügbarkeit in Regionen

Das Amazon EKS Hybrid Nodes Gateway ist in allen AWS Regionen verfügbar, in denen EKS Hybrid Nodes verfügbar ist, mit Ausnahme der Regionen China. Die aktuelle Liste der unterstützten Regionen finden Sie unterÜbersicht über Amazon EKS Hybrid Nodes.

Open-Source

Die Gateway-Codebasis von Amazon EKS Hybrid Nodes ist Open Source. Im GitHub Repository können Sie den Quellcode einsehen, Probleme melden und Beiträge leisten.

Einschränkungen und Überlegungen

Beachten Sie vor der Bereitstellung des Hybrid Nodes Gateways Folgendes:

  • Keine Verschlüsselung des Datenverkehrs — Die vom Gateway erstellten VXLAN-Tunnel verschlüsseln den Datenverkehr nicht. Wenn Sie eine Verschlüsselung bei der Übertragung zwischen der VPC und Ihrer lokalen Umgebung benötigen, verwenden Sie einen verschlüsselten Transport wie AWS Direct Connect with MACSec oder eine VPN-Verbindung. Weitere Informationen finden Sie unter Datenschutz in Amazon EKS.

  • Einzelner Cluster — Jede Gateway-Bereitstellung bedient einen einzelnen EKS-Cluster. Wenn Sie mehrere Cluster mit Hybridknoten haben, stellen Sie für jeden Cluster ein separates Gateway bereit.

  • Cilium VTEP erforderlich — Das Gateway benötigt die EKS-Version des Cilium CNI mit aktivierter VTEP-Unterstützung auf Hybridknoten. Andere CNI-Plugins werden nicht unterstützt.

Nächste Schritte