View a markdown version of this page

Passerelle Amazon EKS Hybrid Nodes - Amazon EKS
Cas d’utilisationArchitectureComment ça marcheModèle de déploiementTarificationDisponibilité dans les RégionsOpen sourceLimites et considérationsÉtapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passerelle Amazon EKS Hybrid Nodes

La passerelle Amazon EKS Hybrid Nodes automatise la mise en réseau entre votre VPC de cluster Amazon EKS et les pods Kubernetes exécutés sur des nœuds hybrides EKS. La passerelle élimine le besoin de rendre les réseaux de pods sur site routables depuis le VPC ou de coordonner les modifications de l'infrastructure réseau. Il crée des tunnels VXLAN entre les nœuds de EC2-based passerelle de votre VPC et les nœuds Cilium-managed hybrides de votre environnement sur site, et il gère automatiquement les entrées de la table de routage VPC afin que le trafic atteigne l'instance de passerelle appropriée.

Cas d’utilisation

La passerelle Hybrid Nodes permet les flux de trafic suivants entre votre VPC et votre environnement sur site :

  • Communication entre le plan de contrôle et le webhook : le serveur d'API Kubernetes peut atteindre les points de terminaison du webhook exécutés sur des nœuds hybrides. Sans la passerelle, les webhooks des nœuds hybrides sont inaccessibles depuis le plan de contrôle, sauf si les CIDR des pods sont rendus routables dans l'environnement sur site.

  • Pod-to-pod trafic dans le cloud et sur site : les pods exécutés sur les nœuds EC2 du VPC peuvent communiquer directement avec les pods exécutés sur des nœuds hybrides, et vice versa.

  • AWS connectivité des services aux pods hybrides : des AWS services tels que les équilibreurs de charge d'application, les équilibreurs de charge réseau et Amazon Managed Service for Prometheus peuvent accéder aux pods exécutés sur des nœuds hybrides.

Architecture

Deux pods de passerelle s'exécutent en tant que déploiement sur des nœuds EC2 étiquetés. L'élection du Lease-based leader de Kubernetes détermine quel module est actif. Les deux modules créent une interface VXLAN au démarrage et exécutent un réconciliateur de nœuds qui surveille les CiliumNode objets, de sorte que le serveur de secours est toujours prêt à transférer le trafic dans les 3 à 5 secondes en cas de basculement. Seules les actions spécifiques au leader (mises à jour et gestion des tables de routage VPC) sont transférées en cas CiliumVTEPConfig de changement de direction.

Comment ça marche

La passerelle Hybrid Nodes utilise quatre mécanismes pour permettre la connectivité :

Tunneling VXLAN — La passerelle crée une interface VXLAN (hybrid_vxlan0) avec VNI 2 sur le port UDP 8472 (le port par défaut de Cilium). Il établit un tunnel vers chaque nœud hybride en programmant des entrées FDB, des entrées ARP et des routes sur l'interface VXLAN. Un contrôleur de nœud surveille CiliumNode les objets et ajoute ou supprime automatiquement des tunnels lorsque des nœuds hybrides rejoignent ou quittent le cluster.

Gestion des tables de routage VPC : lorsque la passerelle devient leader, elle crée ou remplace des routes dans les tables de routage VPC spécifiées. Chaque route pointe un CIDR de pod hybride vers l'ENI principal du leader, de sorte que le trafic VPC destiné aux pods hybrides est transféré vers l'instance de passerelle active.

Intégration VTEP de Cilium — La passerelle crée une ressource CiliumVTEPConfig personnalisée qui indique aux agents Cilium sur les nœuds hybrides où envoyer le trafic. VPC-bound La configuration contient l'adresse IP du nœud leader comme point de terminaison du tunnel et l'adresse MAC de l'interface VXLAN. Lorsque les pods hybrides envoient du trafic vers des adresses VPC, Cilium l'encapsule dans un paquet VXLAN et l'envoie à la passerelle.

Élection du leader — La passerelle utilise l'élection du Lease-based leader de Kubernetes avec un modèle de veille active. Deux pods de passerelle s'exécutent sur des nœuds distincts, conformément à l'anti-affinité des pods. Les deux pods créent une interface VXLAN au démarrage et exécutent un réconciliateur de nœuds qui conserve les entrées VTEP pour tous les nœuds hybrides. Le leader effectue les mises à jour des tables de routage VPC et la configuration VTEP de Cilium. Si le leader échoue, le standby détecte l'expiration du bail, acquiert le bail et exécute la séquence de configuration du leader. Le temps de basculement prévu est d'environ 3 à 5 secondes.

Modèle de déploiement

La passerelle Hybrid Nodes s'exécute sur les instances EC2 de votre VPC et est déployée à l'aide d'un diagramme de Helm. La passerelle prend en charge les cibles de déploiement suivantes :

  • Mode automatique EKS : vous créez un NodePool et NodeClass qui approvisionne automatiquement les nœuds de passerelle avec les étiquettes, les entailles et la configuration de source/destination contrôle appropriées. Il s’agit de la configuration recommandée.

  • Groupes de nœuds gérés par EKS : vous créez un groupe de nœuds gérés dédié en désactivant l'étiquette, le taint et le source/destination check de la passerelle, puis vous définissez autoMode.enabled=false les valeurs Helm.

Pour toutes les cibles de déploiement, au moins deux nœuds sont recommandés pour garantir une haute disponibilité. Pour de plus amples informations, veuillez consulter Commencez avec la passerelle EKS Hybrid Nodes.

Tarification

La passerelle Amazon EKS Hybrid Nodes est gratuite, mais les coûts d'infrastructure liés au fonctionnement de la passerelle vous seront facturés, y compris les instances EC2 et les frais de gestion du mode automatique EKS, le cas échéant. Pour plus d’informations, consultez les tarifs Amazon EKS.

Disponibilité dans les Régions

La passerelle Amazon EKS Hybrid Nodes est disponible dans toutes les AWS régions où EKS Hybrid Nodes est disponible, à l'exception des régions de Chine. Pour la liste actuelle des régions prises en charge, consultezPrésentation des nœuds hybrides Amazon EKS.

Open source

La base de code de la passerelle Amazon EKS Hybrid Nodes est open source. Vous pouvez consulter le code source, signaler des problèmes et contribuer au GitHub référentiel.

Limites et considérations

Avant de déployer la passerelle Hybrid Nodes, tenez compte des points suivants :

  • Aucun chiffrement du trafic : les tunnels VXLAN créés par la passerelle ne chiffrent pas le trafic. Si vous avez besoin d'un chiffrement pendant le transit entre le VPC et votre environnement sur site, utilisez un transport chiffré tel que Direct AWS Connect avec MacSec ou une connexion VPN. Pour plus d'informations, consultez la section Protection des données dans Amazon EKS.

  • Cluster unique : chaque déploiement de passerelle dessert un seul cluster EKS. Si vous avez plusieurs clusters dotés de nœuds hybrides, déployez une passerelle distincte pour chaque cluster.

  • VTEP Cilium requis — La passerelle nécessite la version EKS du Cilium CNI avec le support VTEP activé sur les nœuds hybrides. Les autres plugins CNI ne sont pas pris en charge.

Étapes suivantes