View a markdown version of this page

Puerta de enlace de Nodos híbridos de Amazon EKS - Amazon EKS
Casos de usoArquitecturaFuncionamientoModelo de implementaciónPreciosDisponibilidad por regiónCódigo abiertoLimitaciones y consideracionesSiguientes pasos

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Puerta de enlace de Nodos híbridos de Amazon EKS

La puerta de enlace de Nodos híbridos de Amazon EKS automatiza las redes entre la VPC de su clúster de Amazon EKS y los pods de Kubernetes que se ejecutan en Nodos híbridos de EKS. La puerta de enlace elimina la necesidad de hacer que las redes de pods en las instalaciones se puedan enrutar desde la VPC o coordinar los cambios en la infraestructura de la red. Crea túneles VXLAN entre los nodos de puerta de enlace basados en EC2 en su VPC y los nodos híbridos administrados por Cilium en su entorno en las instalaciones y mantiene automáticamente las entradas de la tabla de enrutamiento de la VPC para que el tráfico llegue a la instancia de puerta de enlace correcta.

Casos de uso

La puerta de enlace de nodos híbridos permite los siguientes flujos de tráfico entre la VPC y el entorno en las instalaciones:

  • Comunicación entre el plano de control y el webhook: el servidor de API de Kubernetes puede llegar a los puntos de enlace de los webhooks que se ejecutan en nodos híbridos. Sin la puerta de enlace, no se puede acceder a los webhooks de los nodos híbridos desde el plano de control, a menos que los CIDR del pod se puedan enrutar en el entorno en las instalaciones.

  • Tráfico de pod a pod en la nube y en las instalaciones: los pods que se ejecutan en nodos de EC2 de la VPC pueden comunicarse directamente con los pods que se ejecutan en nodos híbridos y viceversa.

  • Conectividad de servicios de AWS a pods híbridos: los servicios de AWS, como los equilibradores de carga de aplicación, los equilibradores de carga de red y Amazon Managed Service para Prometheus, pueden llegar a los pods que se ejecutan en nodos híbridos.

Arquitectura

Dos pods de puerta de enlace se ejecutan como una implementación en nodos de EC2 etiquetados. La elección de un líder basada en la concesión de Kubernetes determina qué pod está activo. Ambos pods crean una interfaz VXLAN al inicio y ejecutan un conciliador de nodos que observa los objetos CiliumNode, de modo que el módulo en espera esté siempre preparado para reenviar el tráfico en un plazo de 3 a 5 segundos en caso de conmutación por error. Solo las acciones específicas del líder (administración de CiliumVTEPConfig y actualizaciones de la tabla de enrutamiento de la VPC) se transfieren cuando el liderazgo cambia.

Funcionamiento

La puerta de enlace de nodos híbridos utiliza cuatro mecanismos para activar la conectividad:

Tunelización de VXLAN: la puerta de enlace crea una interfaz VXLAN (hybrid_vxlan0) con el VNI 2 en el puerto UDP 8472 (el predeterminado de Cilium). Establece un túnel para cada nodo híbrido mediante la programación de entradas de FDB, entradas de ARP y rutas en la interfaz VXLAN. Un controlador de nodos observa los objetos CiliumNode y agrega o elimina automáticamente los túneles a medida que los nodos híbridos se unen al clúster o salen de él.

Administración de tablas de enrutamiento de la VPC: cuando la puerta de enlace se convierte en líder, crea o reemplaza las rutas en las tablas de enrutamiento de la VPC especificadas. Cada ruta dirige un CIDR de pod híbrido al ENI principal del líder, de modo que el tráfico de VPC destinado a los pods híbridos se reenvía a la instancia de puerta de enlace activa.

Integración VTEP de Cilium: la puerta de enlace crea un recurso CiliumVTEPConfig personalizado que indica a los agentes de Cilium en los nodos híbridos dónde enviar el tráfico vinculado a VPC. La configuración contiene la IP del nodo del líder como punto de conexión del túnel y la dirección MAC de la interfaz VXLAN. Cuando los pods híbridos envían tráfico a direcciones de VPC, Cilium lo encapsula en un paquete VXLAN y lo envía a la puerta de enlace.

Elección del líder: la puerta de enlace utiliza una elección de líder basada en la concesión de Kubernetes con un modelo de modo de espera activo. Dos pods de puerta de enlace se ejecutan en nodos independientes, lo que se ve reforzado por la antiafinidad entre los pods. Ambos pods crean una interfaz VXLAN al inicio y ejecutan un conciliador de nodos que mantiene las entradas de VTEP para todos los nodos híbridos. El líder realiza las actualizaciones de la tabla de enrutamiento de la VPC y la configuración de VTEP de Cilium. Si el líder falla, la entidad en espera detecta el vencimiento de la concesión, la adquiere y ejecuta la secuencia de configuración del líder. El tiempo de conmutación por error esperado es de aproximadamente 3 a 5 segundos.

Modelo de implementación

La puerta de enlace de nodos híbridos se ejecuta en instancias de EC2 de su VPC y se implementa mediante un gráfico de Helm. La puerta de enlace admite los siguientes objetivos de implementación:

  • Modo automático de EKS: se crean un NodePool y un NodeClass que aprovisionan automáticamente los nodos de la puerta de enlace con las etiquetas, los taints y la configuración de comprobación de origen y destino correctas. Esta es la configuración recomendada.

  • Grupos de nodos administrados de EKS: se crea un grupo de nodos administrados dedicado con la etiqueta de puerta de enlace, el taint y la comprobación de origen y destino desactivadas y, a continuación, se establece autoMode.enabled=false en los valores de Helm.

Para todos los objetivos de implementación, se recomiendan al menos dos nodos para una alta disponibilidad. Para obtener más información, consulte Introducción a la puerta de enlace de nodos híbridos de EKS.

Precios

La puerta de enlace de Nodos híbridos de Amazon EKS no conlleva ningún cargo adicional, pero se le cobrarán los costos de infraestructura para ejecutar la puerta de enlace, incluidas las instancias de EC2 y las tarifas de administración del modo automático de EKS, si corresponde. Para obtener más información, consulte los precios de Amazon EKS.

Disponibilidad por región

La puerta de enlace de Nodos híbridos de Amazon EKS se encuentra disponible en todas las regiones de AWS en las que se encuentran disponibles los Nodos híbridos de EKS, excepto en China. Para obtener las lista actual de las regiones admitidas, consulte Información general sobre los Nodos híbridos de Amazon EKS.

Código abierto

La base de código de la puerta de enlace de Nodos híbridos de Amazon EKS es de código abierto. Puede ver el código fuente, informar sobre problemas y realizar aportaciones en el repositorio de GitHub.

Limitaciones y consideraciones

Antes de implementar la puerta de enlace de Nodos híbridos, tenga en cuenta lo siguiente:

  • Sin cifrado de tráfico: los túneles de VXLAN creados por la puerta de enlace no cifran el tráfico. Si necesita el cifrado en tránsito entre la VPC y su entorno en las instalaciones, utilice un transporte cifrado, como AWS Direct Connect con MACsec, o una conexión VPN. Para obtener más información, consulte Protección de datos en Amazon EKS.

  • Clúster único: cada implementación de puerta de enlace sirve a un único clúster de EKS. Si tiene varios clústeres con nodos híbridos, implemente una puerta de enlace independiente para cada clúster.

  • Se requiere el VTEP de Cilium: la puerta de enlace requiere la versión EKS del CNI de Cilium con compatibilidad con VTEP activada en los nodos híbridos. No se admiten otros complementos de CNI.

Siguientes pasos