Amazon 在 AWS re:invent 上宣佈推出 Elastic Container Service for Kubernetes (EKS) 並詳細介紹了容器網路將如何在此令人振奮的新平臺上工作 — 以及得到保護。特別是 EKS 利用了新推出的 AWS Container Network Interface (amazon-vpc-cni-k8s) 外掛以及 Project Calico 來執行網路策略。在本博文中，我們將詳細介紹這種整合的工作原理，還將說明目前如何在 EC2 中執行的 Kubernetes 群集中試用。它好比您在等待訪問 EKS 本身時的一個“先睹為快”，或者您在自己基於 AWS 的 Kubernetes 中部署時可能考慮的因素 — 但請注意 amazon-vpc-cni-k8 仍然是官方的 alpha 版釋出，不能用於生產工作負載。

VPC 與容器

Virtual Private Cloud (VPC) 網路的概念已經被 AWS 使用者廣為接受，但最初它是基於例項將擁有單個 IP 地址的假設建立的。因此，AWS 中部署的大多數容器環境將使用疊加 — 特別使用 Calico 來利用 EC2 的第 2 層功能，以避免單個可用區 (AZ) 內的疊加。但即使是 Calico 也使用疊加來遍歷可用區。Calico 的聯網方法雖然在 AWS 中非常流行，但它不能為容器賦予“真正的 IP”，即讓相關 VPC 看起來與主機例項 IP 一樣的 IP 地址。更好的解決方案將是從相關 VPC 為它分配一個 IP 地址，讓相關 Amazon 聯網層負責路由。這就是 AWS 團隊通過

有關 veth 的策略

現在您也許會自問：如果 amazon-vpc.cni-k8s 外掛負責分配 IP 地址和容器聯網，Calico 如何才能啟用網路策略？它其實非常簡單：因為 Calico 採用模組化設計，它的聯網、IPAM 和策略功能都可以通過相關設定獨立部署。對於 EKS，amazon-vpc-cni-k8s 外掛作為 Kubernetes 的 CNI 外掛配置，但我們還會在每個節點上將“calico-node”代理作為 Kubernetes daemonset 部署。將 amazon-vpc.cni-k8s 外掛的 veth 命名規則與 Calico 統一，每個主機上的 calico-node 都將知道哪個 veth 屬於哪個容器，因此可以 (使用 iptable/ipset) 照常建立每個容器在 Linux 核心中的介面的策略規則。由於 amazon-vpc-cni-k8s 外掛以正確的方式接入 veth，我們知道所有來自 Pod 的流量都將執行這些規則。實際上您需要知道的是：作為 CNI 外掛，amazon-vpc-cni-k8s 會執行簡單宣告以將 Calico 部署為 daemonset，然後就

將理論應用到您自己的 EC2 控制檯

讀到這裡，您也許不禁想要嘗試一下。當然，最終這將成為適用於所有 EKS 使用者的標準。雖然它目前還屬於功能有限的預覽版，但您可以利用在 EC2 上的正常 Kubernetes 部署來試用：github.com/aws-samples/aws-kube-cni

適用於 AWS Calico 聯網何去何從？

amazon-vpc-cni-k8s 外掛的優點非常明顯：您在 VPC 中獲得真實的 IP 地址，效能與 EC2 主機聯網相同，可用區與 VPC 之間的路由無需額外的疊加。那麼您是否會希望在 AWS 中使用 Calico 的聯網功能？可能有一些原因會讓您希望繼續使用 Calico 而不是 amazon-vpc-cni-k8s 外掛：

• 使用 amazon-vpc-cni-k8s 外掛，單個主機例項 (Kubernetes 節點) 的 Pod 總數以 ENI 的數量乘以每個 ENI 的二級 IP 地址數量為極限 –根據例項的大小不同會有差異 (參見此表)。對於較小的例項，這可能極低 — 例如，對於 c1.medium 例項，您只能啟動 10 個 Pod。而 Calico 對每個節點的 Pod 數量是沒有限制的。
• amazon-vpc-cni-k8s 外掛會在日初為給定的節點分配最大數量的 IP 地址，這可能會降低地址利用的效率。而 Calico 允許整個 IP 地址池在所有節點之間使用。

我們的建議是：如果部署沒有應阻斷，您應當使用 amazon-vpc-cni-k8s 外掛，這是適用於 AWS 的最簡單、最佳效能的原生聯網解決方案 — 當然，這也是 EKS 的預設配置。不論您選擇哪種聯網方法，您都可以放心享受 Calico 提供的行業標準容器網路安全性。

本文的另一位作者是 Tigera 的 Andy Randall！有關他的資訊請關注 @andrew_randall