Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan CNI untuk gateway Hybrid Nodes
Gateway Amazon EKS Hybrid Nodes memerlukan konfigurasi Cilium khusus untuk mengaktifkan VXLAN-based konektivitas antara VPC dan node hybrid Anda. Anda harus mengaktifkan dukungan Cilium VTEP (VXLAN Tunnel Endpoint) dan menonaktifkan proxy L7.
Prasyarat
-
Cilium sudah diinstal pada node hybrid Anda. Untuk instruksi instalasi, lihat Konfigurasikan CNI untuk node hybrid.
catatan
Cilium VTEP hanya didukung pada versi EKS Cilium minimum berikut:
-
Cilium 1.17.13-1 atau yang lebih baru
-
Cilium 1.18.8-1 atau yang lebih baru
-
Cilium 1.19.2-1 atau yang lebih baru
Jika Anda menjalankan versi yang lebih lama, tingkatkan Cilium sebelum mengaktifkan VTEP. Untuk petunjuk peningkatan, lihatKonfigurasikan CNI untuk node hybrid.
Aktifkan VTEP dan nonaktifkan proxy L7
Setel versi Cilium dan jalankan helm upgrade perintah untuk mengaktifkan VTEP dan nonaktifkan proxy L7 pada instalasi Cilium Anda yang ada. Anda dapat menemukan versi patch terbaru yang tersedia di Amazon ECR Public: eks/cilium /cilium
helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \ --versionCILIUM_VERSION\ --namespace kube-system \ --reuse-values \ --set vtep.enabled=true \ --set l7Proxy=false
Setelah upgrade selesai, restart Cilium DaemonSet untuk menerapkan konfigurasi baru:
kubectl rollout restart daemonset/cilium -n kube-system kubectl rollout status daemonset/cilium -n kube-system
Pengaturan yang diperlukan
| Pengaturan | Nilai | Deskripsi |
|---|---|---|
|
|
|
Mengaktifkan dukungan Titik Akhir Terowongan VXLAN Cilium. Hal ini memungkinkan agen Cilium pada node hybrid untuk merangkum VPC-bound lalu lintas dan mengirimkannya ke gateway. |
|
|
|
Menonaktifkan proxy L7 Cilium. Ini diperlukan agar VTEP berfungsi dengan benar. Jika proxy L7 diaktifkan, lalu lintas VTEP dapat dicegat dan dijatuhkan. |
Verifikasi konfigurasi
Setelah memutakhirkan Cilium, verifikasi bahwa VTEP diaktifkan dan proxy L7 dinonaktifkan:
kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"
Anda akan melihat output yang mirip dengan:
enable-l7-proxy: "false" enable-vtep: "true"
Konfigurasikan VPC CNI untuk lalu lintas pod hybrid
Secara default, AWS VPC CNI menerapkan sumber NAT (SNAT) ke semua lalu lintas pod yang meninggalkan node. Untuk memastikan bahwa layanan ClusterIP Kubernetes dengan endpoint pod hybrid bekerja dengan benar dari node cloud, kecualikan CIDR pod hybrid dari SNAT. Ini memungkinkan lalu lintas DNAT kube-proxy untuk menggunakan perutean VPC dengan benar.
Atur variabel AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS lingkungan aws-node DaemonSet ke CIDR pod hybrid Anda:
kubectl set env daemonset aws-node -n kube-system \ AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS
Ganti nilainya dengan CIDR pod hybrid Anda yang sebenarnya (dipisahkan koma jika beberapa).
Pengaturan ini menambahkan pod CIDR hybrid ke aturan ip VPC CNI sehingga lalu lintas yang ditujukan untuk pod hybrid dirutekan melalui tabel routing utama, yang berisi rute VPC ke gateway ENI.
catatan
Langkah ini diperlukan untuk lalu lintas layanan ClusterIP dari pod cloud ke titik akhir pod hybrid. Konektivitas pod-to-pod langsung dengan alamat IP berfungsi tanpa pengaturan ini.
Langkah selanjutnya
Setelah mengkonfigurasi Cilium dan VPC CNI, lanjutkan untuk menginstal gateway Hybrid Nodes. Lihat Memulai dengan EKS Hybrid Nodes gateway.
