Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Configuración de la CNI para la puerta de enlace de nodos híbridos
La puerta de enlace de Nodos híbridos de Amazon EKS requiere una configuración específica de Cilium para permitir la conectividad basada en VXLAN entre la VPC y los nodos híbridos. Debe activar la compatibilidad con el VTEP de Cilium (punto de conexión de túnel VXLAN) y desactivar el proxy L7.
Requisitos previos
-
Cilium ya está instalado en los nodos híbridos. Para ver las instrucciones de instalación de , consulte Configuración de una CNI para nodos híbridos.
nota
El VTEP de Cilium solo es compatible con las siguientes versiones mínimas de EKS Cilium:
-
Cilium 1.17.13-1 o posterior
-
Cilium 1.18.8-1 o posterior
-
Cilium 1.19.2-1 o posterior
Si está ejecutando una versión anterior, actualice Cilium antes de activar VTEP. Para obtener instrucciones de actualización, consulte Configuración de una CNI para nodos híbridos.
Activación del VTEP y desactivación del proxy L7
Configure la versión de Cilium y ejecute el comando helm upgrade para activar el VTEP y desactivar el proxy L7 en su instalación de Cilium existente. Puede encontrar la última versión del parche disponible en Amazon ECR Public: eks/cilium/cilium
helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \ --versionCILIUM_VERSION\ --namespace kube-system \ --reuse-values \ --set vtep.enabled=true \ --set l7Proxy=false
Una vez completada la actualización, reinicie el DaemOnset de Cilium para aplicar la nueva configuración:
kubectl rollout restart daemonset/cilium -n kube-system kubectl rollout status daemonset/cilium -n kube-system
Configuración necesaria
| Opción | Valor | Descripción |
|---|---|---|
|
|
|
Active la compatibilidad con el punto de conexión de túnel VXLAN de Cilium. Esto permite a los agentes de Cilium de los nodos híbridos encapsular el tráfico vinculado a la VPC y enviarlo a la puerta de enlace. |
|
|
|
Desactiva el proxy L7 de Cilium. Esto es necesario para que el VTEP funcione correctamente. Si el proxy L7 está activado, el tráfico VTEP puede interceptarse y descartarse. |
Verificación de la configuración
Tras actualizar Cilium, compruebe que el VTEP esté activado y que el proxy L7 esté desactivado:
kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"
Debería ver una salida similar a esta:
enable-l7-proxy: "false" enable-vtep: "true"
Configuración de la CNI de VPC para el tráfico de pods híbridos
De forma predeterminada, la CNI de VPC de AWS aplica la NAT de origen (SNAT) a todo el tráfico del pod que sale del nodo. Para garantizar que los servicios ClusterIP de Kubernetes con puntos de enlace de pods híbridos funcionen correctamente desde los nodos de nube, excluya los CIDR de los pods híbridos de SNAT. Esto permite que el tráfico DNAT de kube-proxy utilice correctamente el enrutamiento de VPC.
Defina la variable de entorno AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS del DaemOnset aws-node en los CIDR de su pod híbrido:
kubectl set env daemonset aws-node -n kube-system \ AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS
Sustituya el valor por los CIDR reales del pod híbrido (separados por comas si son varios).
Esta configuración agrega los CIDR de los pods híbridos a las reglas de IP de CNI de VPC para que el tráfico destinado a los pods híbridos se enrute a través de la tabla de enrutamiento principal, que contiene la ruta de la VPC al ENI de la puerta de enlace.
nota
Este paso es necesario para el tráfico del servicio ClusteriP desde los pods de la nube a los puntos de enlace de los pods híbridos. La conectividad directa de pod a pod por dirección IP funciona sin esta configuración.
Siguientes pasos
Tras configurar Cilium y CNI de VPC, proceda a instalar la puerta de enlace de nodos híbridos. Consulte Introducción a la puerta de enlace de nodos híbridos de EKS.
