控制平面的网络

控制平面(control plane) 单独在AWS托管的VPC,用户的worker节点通过EKS托管的ENI(private link技术)和它进行通讯:

image-20220221211759206

根据数据平面控制平面通讯的方式,可以分为以下三种:

  • Public endpoint
  • Public + Private endpoint
  • Private endpoint

Public endpoint

这种情况下,控制平面只提供公网Endpoint,Worker节点以及用户执行kubectl命令都是通过公网连接到API Server(需要NAT网关或者IGW,否则连接根本出不去)。worker节点的连接离开VPC,但其实不离开AWS骨干网:

image-20220221212651137

Public + Private Endpoint

第二种情况是控制平面提供公网和私网共用的Endpoint(通过域名解析区分内外网环境)

此时Worker节点通过VPC内的EKS托管ENI,连接到API Server;终端用户还是通过公网执行kubectl命令连接到API Server

image-20220221212913157

Private Endpoint

第三种情况是控制平面只提供VPC 私网Endpoint

Worker节点通过VPC内的EKS托管ENI连接到API Server;终端用户无法通过公网连接到API Server

image-20220221213028454