View a markdown version of this page

Gateway Amazon EKS Hybrid Nodes - Amazon EKS
Casi d’usoArchitectureCome funzionaModello di implementazionePrezziDisponibilità nelle regioniOpen sourceConsiderazioni e limitazioniFasi successive

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gateway Amazon EKS Hybrid Nodes

Il gateway Amazon EKS Hybrid Nodes automatizza il networking tra il VPC del cluster Amazon EKS e i pod Kubernetes in esecuzione su nodi ibridi EKS. Il gateway elimina la necessità di rendere instradabili le reti di pod locali dal VPC o di coordinare le modifiche all'infrastruttura di rete. Crea tunnel VXLAN tra i nodi EC2-based gateway nel VPC e i nodi Cilium-managed ibridi nell'ambiente locale e mantiene automaticamente le voci della tabella di routing VPC in modo che il traffico raggiunga l'istanza gateway corretta.

Casi d’uso

Il gateway Hybrid Nodes consente i seguenti flussi di traffico tra il VPC e l'ambiente locale:

  • Comunicazione dal piano di controllo al webhook: il server API Kubernetes può raggiungere gli endpoint webhook in esecuzione su nodi ibridi. Senza il gateway, i webhook sui nodi ibridi non sono raggiungibili dal piano di controllo a meno che i pod CIDR non siano resi instradabili nell'ambiente locale.

  • Pod-to-pod traffico su cloud e in locale: i pod in esecuzione sui nodi EC2 nel VPC possono comunicare direttamente con i pod in esecuzione su nodi ibridi e viceversa.

  • AWS connettività del servizio ai pod ibridi: AWS servizi come Application Load Balancers, Network Load Balancers e Amazon Managed Service for Prometheus possono raggiungere i pod in esecuzione su nodi ibridi.

Architecture

Due gateway pod vengono eseguiti come distribuzione su nodi EC2 etichettati. L'elezione del Lease-based leader di Kubernetes determina quale pod è attivo. Entrambi i pod creano un'interfaccia VXLAN all'avvio ed eseguono un riconciliatore di nodi che controlla gli CiliumNode oggetti, in modo che lo standby sia sempre pronto per inoltrare il traffico entro 3-5 secondi in caso di failover. Solo le azioni specifiche del leader (aggiornamenti e CiliumVTEPConfig gestione della tabella di routing VPC) vengono trasferite quando la leadership cambia.

Come funziona

Il gateway Hybrid Nodes utilizza quattro meccanismi per abilitare la connettività:

Tunneling VXLAN: il gateway crea un'interfaccia VXLAN (hybrid_vxlan0) con VNI 2 sulla porta UDP 8472 (impostazione predefinita di Cilium). Stabilisce un tunnel per ogni nodo ibrido programmando voci FDB, voci ARP e route sull'interfaccia VXLAN. Un controller di nodi controlla gli CiliumNode oggetti e aggiunge o rimuove automaticamente i tunnel quando i nodi ibridi entrano o escono dal cluster.

Gestione delle tabelle di routing VPC: quando il gateway diventa il leader, crea o sostituisce le route nelle tabelle di routing VPC specificate. Ogni percorso indirizza un pod ibrido CIDR all'ENI principale del leader, quindi il traffico VPC destinato ai pod ibridi viene inoltrato all'istanza gateway attiva.

Integrazione con Cilium VTEP: il gateway crea una risorsa CiliumVTEPConfig personalizzata che indica agli agenti Cilium sui nodi ibridi dove inviare il traffico. VPC-bound La configurazione contiene l'IP del nodo leader come endpoint del tunnel e l'indirizzo MAC dell'interfaccia VXLAN. Quando i pod ibridi inviano traffico agli indirizzi VPC, Cilium lo incapsula in un pacchetto VXLAN e lo invia al gateway.

Elezione dei leader: il gateway utilizza Kubernetes Leader Election con un modello di standby attivo. Lease-based Due gateway pod funzionano su nodi separati grazie all'antiaffinità dei pod. Entrambi i pod creano un'interfaccia VXLAN all'avvio ed eseguono un riconciliatore di nodi che mantiene le voci VTEP per tutti i nodi ibridi. Il leader esegue gli aggiornamenti della tabella di routing VPC e la configurazione VTEP di Cilium. Se il leader fallisce, lo standby rileva la scadenza del lease, acquisisce il lease ed esegue la sequenza di configurazione del leader. Il tempo di failover previsto è di circa 3-5 secondi.

Modello di implementazione

Il gateway Hybrid Nodes funziona su istanze EC2 nel tuo VPC e viene distribuito utilizzando un grafico Helm. Il gateway supporta i seguenti obiettivi di implementazione:

  • Modalità automatica EKS: crei un NodePool e NodeClass che fornisce automaticamente ai nodi gateway le etichette, i difetti e la configurazione di source/destination controllo corretti. Questa è la configurazione consigliata.

  • Gruppi di nodi gestiti EKS: si crea un gruppo di nodi gestiti dedicato con l'etichetta, il taint e il source/destination check del gateway disabilitati, quindi impostati i autoMode.enabled=false valori Helm.

Per tutti gli obiettivi di implementazione, sono consigliati almeno due nodi per un'elevata disponibilità. Per ulteriori informazioni, consulta Inizia a usare il gateway EKS Hybrid Nodes.

Prezzi

Non sono previsti costi aggiuntivi per il gateway Amazon EKS Hybrid Nodes, ma ti verranno addebitati i costi di infrastruttura per la gestione del gateway, incluse le istanze EC2 e le tariffe di gestione EKS Auto Mode, se applicabili. Per ulteriori informazioni, consultare Prezzi di Amazon EKS.

Disponibilità nelle regioni

Il gateway Amazon EKS Hybrid Nodes è disponibile in tutte le AWS regioni in cui è disponibile EKS Hybrid Nodes, ad eccezione delle regioni della Cina. Per l'elenco aggiornato delle regioni supportate, consultaPanoramica di Amazon EKS Hybrid Nodes.

Open source

La codebase del gateway Amazon EKS Hybrid Nodes è open source. Puoi visualizzare il codice sorgente, segnalare problemi e contribuire al GitHub repository.

Considerazioni e limitazioni

Prima di distribuire il gateway Hybrid Nodes, considera quanto segue:

  • Nessuna crittografia del traffico: i tunnel VXLAN creati dal gateway non crittografano il traffico. Se è necessaria la crittografia in transito tra il VPC e l'ambiente locale, utilizza un trasporto crittografato come AWS Direct Connect with MacSec o una connessione VPN. Per ulteriori informazioni, consulta Protezione dei dati in Amazon EKS.

  • Cluster singolo: ogni implementazione gateway serve un singolo cluster EKS. Se disponi di più cluster con nodi ibridi, implementa un gateway separato per ogni cluster.

  • È richiesto Cilium VTEP: il gateway richiede la versione EKS di Cilium CNI con supporto VTEP abilitato sui nodi ibridi. Altri plugin CNI non sono supportati.

Fasi successive