amazon-web-services - 从不同的 EC2 主机迁移 Pod

Question

我是 AWS、Kubernetes、EKS 和 AppMesh 的新手，但在以前的角色中做过 DevOps。
我正在接管一些使用 EKS 的 K8 集群，并发现我们设置了 NAT 网关，这有助于将出站流量重定向为单个 IP(我们需要将其用于白名单，因为第 3 方外部服务需要它)。托管在私有(private)子网中的 Pod 可以正常工作。
但是我发现托管在公共(public)子网上的 Pod 只是跳过了 NAT 网关，它使用公共(public) DNS (IPv4) IP 地址进行出站调用，这对我们不起作用，因为它不使用单个 NAT 网关。
所以我有几个问题:

我们如何将 Pod 从公共(public)子网主机迁移到私有(private)子网主机？

我们应该使用 nodeSelector , Node affinity ?节点上的标签有效吗？

我不确定为什么我们在公共(public)子网中有节点，但我们遵循了以下指南:https://docs.aws.amazon.com/eks/latest/userguide/create-public-private-vpc.html

如果我们确实选择在完全私有(private)的子网上，我们是否可以为这样的映射做一个异常(exception)，我们允许一些 Pod 有 HTTP 端点暴露给入口流量，同时仍然在私有(private)子网上？

当 Pod/Container 需要使用 NAT 网关进行导出流量，但随后将 HTTP 端点暴露于入口流量时，您建议我们如何处理？

请注意，目前，我们的 EKS 默认设置为所有公共(public)，我们应该切换到公共(public)和私有(private)模式吗？

提前感谢所有答案!

Answer 1

How do we migrate Pods from Public subnet Hosts to Private subnets Hosts? Should we use nodeSelector, Node affinity? Do labelings on the Nodes work?

是的。使用 Node Affinity这与使用 nodeSelector 相同。您可以通过更新用于管理 pod 的任何资源(即 Deployment、Statefulset、DaemonSet 等)来进行滚动更改。如果您在下次启动 pod 时正确配置它，它们将位于私有(private)子网主机中。

I am not sure why we have Nodes in a public subnet, but we followed this guide:https://docs.aws.amazon.com/eks/latest/userguide/create-public-private-vpc.html

该指南说公共(public)子网，所以有一个是有道理的。

If we do choose to be on fully private subnets, can we make an exception for such mapping that we allow some Pods to have HTTP endpoints to be exposed for ingress traffic, while still on private subnets?

是的!您可以创建面向外部的负载均衡器(ALB、NLB 或 ELB)。如果您使用服务类型 LoadBalancer，这些也可以由 Kubernetes 管理.您需要 appropriate annotations在你的服务定义中得到你想要的。

What do you recommend us to handle when a Pod/Container needs to use NAT gateway for egress traffic, but then exposing HTTP endpoints for ingress traffic?

使用面向外部的负载均衡器，通过 Kubernetes 服务类型 LoadBalancer 将流量转发到您的私有(private) VPC，并使用 AWS NAT Gateways用于传出的互联网流量。
免责声明:这只是一个建议，还有其他组合和替代方案。