View a markdown version of this page

Gerbang Node Hibrida Amazon EKS - Amazon EKS
Kasus penggunaanArsitekturCara kerjanyaModel penyebaranHargaKetersediaan wilayahSumber terbukaPertimbangan dan batasanLangkah selanjutnya

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gerbang Node Hibrida Amazon EKS

Gateway Amazon EKS Hybrid Nodes mengotomatiskan jaringan antara VPC cluster Amazon EKS dan pod Kubernetes yang berjalan di EKS Hybrid Nodes. Gateway menghilangkan kebutuhan untuk membuat jaringan pod lokal dapat dirutekan dari VPC atau mengoordinasikan perubahan infrastruktur jaringan. Ini menciptakan terowongan VXLAN antara node EC2-based gateway di VPC Anda dan node Cilium-managed hybrid di lingkungan lokal Anda, dan secara otomatis mempertahankan entri tabel rute VPC sehingga lalu lintas mencapai instance gateway yang benar.

Kasus penggunaan

Gateway Hybrid Nodes memungkinkan arus lalu lintas berikut antara VPC Anda dan lingkungan lokal:

  • Control plane to webhook communication — Server API Kubernetes dapat menjangkau endpoint webhook yang berjalan pada node hybrid. Tanpa gateway, webhook pada node hybrid tidak dapat dijangkau dari bidang kontrol kecuali CIDR pod dibuat dapat dirutekan di lingkungan lokal.

  • Pod-to-pod lalu lintas lintas cloud dan lokal — Pod yang berjalan di node EC2 di VPC dapat berkomunikasi secara langsung dengan pod yang berjalan pada node hybrid, dan sebaliknya.

  • AWS konektivitas layanan ke pod hybrid — AWS layanan seperti Application Load Balancers, Network Load Balancers, dan Amazon Managed Service untuk Prometheus dapat menjangkau pod yang berjalan pada node hybrid.

Arsitektur

Dua pod gateway dijalankan sebagai Deployment pada node EC2 berlabel. Pemilihan Lease-based pemimpin Kubernetes menentukan pod mana yang aktif. Kedua pod membuat antarmuka VXLAN saat startup dan menjalankan reconciler node yang mengawasi CiliumNode objek, sehingga standby selalu siap untuk meneruskan lalu lintas dalam waktu 3-5 detik pada failover. Hanya tindakan khusus pemimpin (pembaruan dan CiliumVTEPConfig manajemen tabel rute VPC) yang ditransfer saat kepemimpinan berubah.

Cara kerjanya

Gateway Hybrid Nodes menggunakan empat mekanisme untuk mengaktifkan konektivitas:

VXLAN tunneling - Gateway membuat antarmuka VXLAN (hybrid_vxlan0) dengan VNI 2 pada port UDP 8472 (default Cilium). Ini menetapkan terowongan untuk setiap node hibrida dengan memprogram entri FDB, entri ARP, dan rute pada antarmuka VXLAN. Pengontrol node mengamati CiliumNode objek dan secara otomatis menambahkan atau menghapus terowongan saat node hibrida bergabung atau meninggalkan cluster.

Manajemen tabel rute VPC — Ketika gateway menjadi pemimpin, ia membuat atau mengganti rute dalam tabel rute VPC yang ditentukan. Setiap rute mengarahkan pod hibrida CIDR ke ENI utama pemimpin, sehingga lalu lintas VPC yang ditujukan untuk pod hibrida diteruskan ke instance gateway aktif.

Integrasi Cilium VTEP — Gateway membuat sumber daya CiliumVTEPConfig khusus yang memberi tahu agen Cilium pada node hibrida tempat mengirim lalu lintas. VPC-bound Konfigurasi berisi IP node pemimpin sebagai titik akhir terowongan dan alamat MAC antarmuka VXLAN. Ketika pod hybrid mengirim lalu lintas ke alamat VPC, Cilium merangkum dalam paket VXLAN dan mengirimkannya ke gateway.

Pemilu pemimpin — Gerbang menggunakan pemilihan Lease-based pemimpin Kubernetes dengan model siaga aktif. Dua pod gateway berjalan pada node terpisah yang diberlakukan oleh pod anti-afinitas. Kedua pod membuat antarmuka VXLAN saat startup dan menjalankan reconciler node yang mempertahankan entri VTEP untuk semua node hybrid. Pemimpin melakukan pembaruan tabel rute VPC dan konfigurasi Cilium VTEP. Jika pemimpin gagal, siaga mendeteksi kedaluwarsa sewa, memperoleh sewa, dan menjalankan urutan pengaturan pemimpin. Waktu failover yang diharapkan adalah sekitar 3-5 detik.

Model penyebaran

Gateway Hybrid Nodes berjalan pada instans EC2 di VPC Anda dan digunakan menggunakan bagan Helm. Gateway mendukung target penerapan berikut:

  • Mode Otomatis EKS — Anda membuat NodePool dan NodeClass yang secara otomatis menyediakan node gateway dengan label, taints, dan konfigurasi source/destination cek yang benar. Ini adalah konfigurasi yang disarankan.

  • Grup simpul terkelola EKS - Anda membuat grup node terkelola khusus dengan label gateway, mencemari, dan source/destination memeriksa dinonaktifkan, lalu mengatur autoMode.enabled=false nilai Helm.

Untuk semua target penerapan, setidaknya dua node direkomendasikan untuk ketersediaan tinggi. Untuk informasi selengkapnya, lihat Memulai dengan EKS Hybrid Nodes gateway.

Harga

Tidak ada biaya tambahan untuk gateway Amazon EKS Hybrid Nodes, tetapi Anda akan dikenakan biaya infrastruktur untuk menjalankan gateway, termasuk instans EC2 dan biaya manajemen Mode Otomatis EKS jika berlaku. Untuk informasi selengkapnya, lihat harga Amazon EKS.

Ketersediaan wilayah

Gateway Amazon EKS Hybrid Nodes tersedia di semua AWS Wilayah di mana Node Hibrid EKS tersedia, kecuali Wilayah Tiongkok. Untuk daftar Wilayah yang didukung saat ini, lihatIkhtisar Amazon EKS Hybrid Nodes.

Sumber terbuka

Basis kode gateway Amazon EKS Hybrid Nodes adalah open source. Anda dapat melihat kode sumber, melaporkan masalah, dan berkontribusi di GitHub repositori.

Pertimbangan dan batasan

Sebelum menerapkan gateway Hybrid Nodes, pertimbangkan hal berikut:

  • Tidak ada enkripsi lalu lintas - Terowongan VXLAN yang dibuat oleh gateway tidak mengenkripsi lalu lintas. Jika Anda memerlukan enkripsi saat transit antara VPC dan lingkungan lokal Anda, gunakan transportasi terenkripsi seperti Direct AWS Connect dengan MacSec atau koneksi VPN. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon EKS.

  • Cluster tunggal — Setiap penerapan gateway melayani satu kluster EKS. Jika Anda memiliki beberapa cluster dengan node hybrid, gunakan gateway terpisah untuk setiap cluster.

  • Diperlukan Cilium VTEP — Gateway memerlukan versi EKS dari Cilium CNI dengan dukungan VTEP diaktifkan pada node hybrid. Plugin CNI lainnya tidak didukung.

Langkah selanjutnya