Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer le CNI pour la passerelle Hybrid Nodes
La passerelle Amazon EKS Hybrid Nodes nécessite une configuration Cilium spécifique pour permettre la VXLAN-based connectivité entre votre VPC et les nœuds hybrides. Vous devez activer le support Cilium VTEP (VXLAN Tunnel Endpoint) et désactiver le proxy L7.
Conditions préalables
-
Cilium est déjà installé sur vos nœuds hybrides. Pour obtenir des instructions d’installation, consultez Configurer CNI pour les nœuds hybrides.
Note
Cilium VTEP n'est pris en charge que sur les versions minimales d'EKS Cilium suivantes :
-
Cilium 1.17.13-1 ou version ultérieure
-
Cilium 1.18.8-1 ou version ultérieure
-
Cilium 1.19.2-1 ou version ultérieure
Si vous utilisez une ancienne version, mettez à niveau Cilium avant d'activer VTEP. Pour les instructions de mise à niveau, consultezConfigurer CNI pour les nœuds hybrides.
Activer VTEP et désactiver le proxy L7
Définissez la version de Cilium et exécutez la helm upgrade commande pour activer VTEP et désactiver le proxy L7 sur votre installation Cilium existante. Vous pouvez trouver la dernière version du correctif disponible sur Amazon ECR Public : eks/cilium /cilium
helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \ --versionCILIUM_VERSION\ --namespace kube-system \ --reuse-values \ --set vtep.enabled=true \ --set l7Proxy=false
Une fois la mise à niveau terminée, redémarrez le Cilium DaemonSet pour appliquer la nouvelle configuration :
kubectl rollout restart daemonset/cilium -n kube-system kubectl rollout status daemonset/cilium -n kube-system
Réglages requis
| Paramètre | Value | Description |
|---|---|---|
|
|
|
Active la prise en charge du point de terminaison du tunnel VXLAN de Cilium. Cela permet aux agents Cilium sur les nœuds hybrides d'encapsuler le VPC-bound trafic et de l'envoyer à la passerelle. |
|
|
|
Désactive le proxy L7 de Cilium. Cela est nécessaire pour que le VTEP fonctionne correctement. Si le proxy L7 est activé, le trafic VTEP peut être intercepté et supprimé. |
Vérifiez la configuration
Après la mise à niveau de Cilium, vérifiez que le VTEP est activé et que le proxy L7 est désactivé :
kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"
Vous devriez voir une sortie similaire à :
enable-l7-proxy: "false" enable-vtep: "true"
Configurer le VPC CNI pour le trafic de pods hybrides
Par défaut, le AWS VPC CNI applique le NAT source (SNAT) à tout le trafic du pod quittant le nœud. Pour garantir que les services ClusterIP Kubernetes dotés de points de terminaison de pods hybrides fonctionnent correctement à partir de nœuds cloud, excluez les CIDR des pods hybrides du SNAT. Cela permet au trafic DNAT du kube-proxy d'utiliser correctement le routage VPC.
Définissez la variable d'AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRSenvironnement sur aws-node DaemonSet le ou les CIDR de votre pod hybride :
kubectl set env daemonset aws-node -n kube-system \ AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS
Remplacez la valeur par les CIDR actuels de votre pod hybride (séparés par des virgules s'ils sont multiples).
Ce paramètre ajoute les CIDR des pods hybrides aux règles IP du VPC CNI afin que le trafic destiné aux pods hybrides soit acheminé via la table de routage principale, qui contient la route VPC vers la passerelle ENI.
Note
Cette étape est requise pour le trafic du service ClusterIP entre les pods cloud et les points de terminaison des pods hybrides. La connectivité directe d'un point à un autre par adresse IP fonctionne sans ce paramètre.
Étapes suivantes
Après avoir configuré Cilium et VPC CNI, procédez à l'installation de la passerelle Hybrid Nodes. Consultez Commencez avec la passerelle EKS Hybrid Nodes.
