💡
原文中文,约8100字,阅读约需20分钟。
📝
内容提要
EKS托管节点组可根据AZ选择Pod子网的ENIConfig功能,通过为每个节点新增弹性网络接口并在ENIConfig中设置子网及其安全组定义实现。方案分阶段部署规划,逐步添加Pod子网和ENIConfig。该方案带来了网络安全性、流量区分、灵活调整子网IP地址池等优点,且没有对EKS的AMI进行修改,也没有入侵节点应用。
🎯
关键要点
- EKS托管节点组可根据可用区选择Pod子网的ENIConfig功能。
- 客户希望在迁移到EKS的过程中逐步添加更多子网,并进行精细的安全组控制。
- EKS自定义Pod网络中,Node与Pod子网分离,面临Pod子网自动匹配的问题。
- 方案通过为每个节点新增弹性网络接口实现Pod在AZ的多个子网中按需选择。
- ENIConfig的设置在EKS中通过标签实现,避免了手动操作的复杂性。
- 节点启动时自动打上annotation,设置ENIConfig的功能通过Label实现。
- EKS通常跨多个可用区,用户可以将ENIConfig的名字设定为AZ的名字以自动匹配。
- 方案分阶段部署,第一阶段为每个AZ添加默认Pod子网,第二阶段添加第二个Pod子网,第三阶段添加更多Pod子网。
- 实施方案时需注意每个托管节点组设置一个Template,避免设置annotation影响优先级。
- 方案带来了网络安全性、流量区分和灵活调整子网IP地址池等优点,且未修改EKS的AMI。
➡️