Contribuisci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare CNI per il gateway Hybrid Nodes
Il gateway Amazon EKS Hybrid Nodes richiede una configurazione Cilium specifica per consentire la VXLAN-based connettività tra il tuo VPC e i nodi ibridi. È necessario abilitare il supporto Cilium VTEP (VXLAN Tunnel Endpoint) e disabilitare il proxy L7.
Prerequisiti
-
Cilium è già installato sui tuoi nodi ibridi. Per le istruzioni di installazione, consulta Configurazione della CNI per nodi ibridi.
Nota
Cilium VTEP è supportato solo sulle seguenti versioni minime di EKS Cilium:
-
Cilium 1.17.13-1 o versione successiva
-
Cilium 1.18.8-1 o successivo
-
Cilium 1.19.2-1 o successivo
Se utilizzi una versione precedente, aggiorna Cilium prima di abilitare VTEP. Per istruzioni sull'aggiornamento, vedere. Configurazione della CNI per nodi ibridi
Abilita VTEP e disabilita il proxy L7
Imposta la versione di Cilium ed esegui il helm upgrade comando per abilitare VTEP e disabilitare il proxy L7 sull'installazione esistente di Cilium. Puoi trovare l'ultima versione di patch disponibile su Amazon ECR Public: eks/cilium /cilium
helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \ --versionCILIUM_VERSION\ --namespace kube-system \ --reuse-values \ --set vtep.enabled=true \ --set l7Proxy=false
Al termine dell'aggiornamento, riavvia Cilium DaemonSet per applicare la nuova configurazione:
kubectl rollout restart daemonset/cilium -n kube-system kubectl rollout status daemonset/cilium -n kube-system
Impostazioni richieste
| Impostazione | Valore | Description |
|---|---|---|
|
|
|
Abilita il supporto VXLAN Tunnel Endpoint di Cilium. Ciò consente agli agenti Cilium sui nodi ibridi di incapsulare il VPC-bound traffico e inviarlo al gateway. |
|
|
|
Disattiva il proxy L7 di Cilium. Ciò è necessario per il corretto funzionamento di VTEP. Se il proxy L7 è abilitato, il traffico VTEP potrebbe essere intercettato e interrotto. |
Verifica la configurazione
Dopo aver aggiornato Cilium, verifica che VTEP sia abilitato e che il proxy L7 sia disabilitato:
kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"
Dovresti vedere un output simile a:
enable-l7-proxy: "false" enable-vtep: "true"
Configura VPC CNI per il traffico di pod ibridi
Per impostazione predefinita, il AWS VPC CNI applica il NAT di origine (SNAT) a tutto il traffico dei pod in uscita dal nodo. Per garantire che i servizi Kubernetes ClusterIP con endpoint pod ibridi funzionino correttamente dai nodi cloud, escludi i podR ibridi da SNAT. Ciò consente al traffico DNAT di kube-proxy di utilizzare correttamente il routing VPC.
Imposta la variabile di AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS ambiente sui CIDR del tuo aws-node DaemonSet pod ibrido:
kubectl set env daemonset aws-node -n kube-system \ AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS
Sostituisci il valore con i tuoi pod ibridi CIDR effettivi (separati da virgole se multipli).
Questa impostazione aggiunge i pod ibridi CIDR alle regole ip del VPC CNI in modo che il traffico destinato ai pod ibridi venga instradato attraverso la tabella di routing principale, che contiene la route VPC verso il gateway ENI.
Nota
Questo passaggio è necessario per il traffico del servizio ClusterIP dai cloud pod agli endpoint pod ibridi. La connettività diretta pod-to-pod tramite indirizzo IP funziona senza questa impostazione.
Fasi successive
Dopo aver configurato Cilium e VPC CNI, procedi con l'installazione del gateway Hybrid Nodes. Per informazioni, consulta Inizia a usare il gateway EKS Hybrid Nodes.
