이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

하이브리드 노드 게이트웨이에 대해 CNI 구성

Amazon EKS Hybrid Nodes 게이트웨이에는 VPC 및 하이브리드 노드 간 VXLAN 기반 연결을 활성화하기 위해 특정 Cilium 구성이 필요합니다. Cilium VTEP(VXLAN 터널 엔드포인트) 지원을 활성화하고 L7 프록시를 비활성화해야 합니다.

사전 조건

VTEP 활성화 및 L7 프록시 비활성화

Cilium 버전을 설정하고 helm upgrade 명령을 실행하여 VTEP를 활성화하고 기존 Cilium 설치에서 L7 프록시를 비활성화합니다. 사용 가능한 최신 패치 버전은 Amazon ECR Public: eks/cilium/cilium에서 확인할 수 있습니다.

helm upgrade cilium oci://public.ecr.aws/eks/cilium/cilium \
  --version CILIUM_VERSION \
  --namespace kube-system \
  --reuse-values \
  --set vtep.enabled=true \
  --set l7Proxy=false

업그레이드가 완료되면 Cilium DaemonSet를 다시 시작하여 새 구성을 적용합니다.

kubectl rollout restart daemonset/cilium -n kube-system
kubectl rollout status daemonset/cilium -n kube-system

필수 설정

구성 확인

Cilium을 업그레이드한 후 VTEP가 활성화되어 있고 L7 프록시가 비활성화되어 있는지 확인합니다.

kubectl get configmap cilium-config -n kube-system -o yaml | grep -E "enable-vtep|enable-l7-proxy"

다음과 유사한 출력 화면이 표시됩니다.

enable-l7-proxy: "false"
enable-vtep: "true"

하이브리드 포드 트래픽에 대한 VPC CNI 구성

기본적으로 AWS VPC CNI는 노드에서 나가는 모든 포드 트래픽에 소스 NAT(SNAT)를 적용합니다. 하이브리드 포드 엔드포인트가 있는 Kubernetes ClusterIP 서비스가 클라우드 노드에서 올바르게 작동하도록 보장하려면 SNAT에서 하이브리드 포드 CIDR을 제외합니다. 그러면 kube-proxy DNAT 기반 트래픽에서 VPC 라우팅을 올바르게 사용할 수 있습니다.

aws-node DaemonSet에서 AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS 환경 변수를 하이브리드 포드 CIDR로 설정합니다.

kubectl set env daemonset aws-node -n kube-system \
  AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS=POD_CIDRS
      

값을 실제 하이브리드 포드 CIDR(여러 개일 경우 쉼표로 구분)로 대체합니다.

이 설정은 하이브리드 포드로 향하는 트래픽이 게이트웨이 ENI에 대한 VPC 경로가 포함된 기본 라우팅 테이블을 통해 라우팅되도록 하이브리드 포드 CIDR을 VPC CNI의 IP 규칙에 추가합니다.

다음 단계

Cilium 및 VPC CNI를 구성한 후 Hybrid Nodes 게이트웨이 설치를 진행합니다. EKS Hybrid Nodes 게이트웨이 시작하기을(를) 참조하세요.