石家庄网站app开发,福州免费自助建站模板,个人网站做什么好,微网站开发平台引言
在云原生时代#xff0c;Kubernetes 已经成为容器编排的事实标准。AWS EKS (Elastic Kubernetes Service) 作为一项完全托管的 Kubernetes 服务#xff0c;简化了在 AWS 上运行 Kubernetes 的复杂性。Istio 作为服务网格领域的佼佼者#xff0c;为微服务提供了流量管理…引言
在云原生时代Kubernetes 已经成为容器编排的事实标准。AWS EKS (Elastic Kubernetes Service) 作为一项完全托管的 Kubernetes 服务简化了在 AWS 上运行 Kubernetes 的复杂性。Istio 作为服务网格领域的佼佼者为微服务提供了流量管理、安全性和可观察性等关键能力。
将 Istio Ingress Gateway 部署到 EKS 集群中可以为集群内的服务提供统一的入口并实现负载均衡、SSL 终止、路由规则等高级功能。然而在配置 Istio Ingress Gateway 的负载均衡器时经常会遇到 EXTERNAL-IP 处于 pending 状态的问题。这里将深入探讨这个问题的原因并提供详细的解决方案帮助你更好地理解 EKS、Istio 以及 AWS 负载均衡器之间的关系。
Istio Ingress Gateway 与负载均衡器
Istio Ingress Gateway 本质上是一个 Envoy 代理部署为一个 Kubernetes Deployment。它通过 Kubernetes Service 对象暴露出来以便接收外部流量。当我们将 Service 的类型设置为 LoadBalancer 时Kubernetes 会尝试在底层基础设施中创建一个负载均衡器将流量转发到 Istio Ingress Gateway 的 Pod。
在 AWS EKS 环境中这意味着 Kubernetes 会与 AWS API 交互尝试为你创建一个 Classic Load Balancer (CLB) 或 Network Load Balancer (NLB)。这个负载均衡器将负责接收来自客户端的流量并将其转发到 Istio Ingress Gateway 的 Pod。
EXTERNAL-IP Pending 的常见原因
当 Istio Ingress Gateway 的 Service 的 EXTERNAL-IP 处于 pending 状态时通常意味着 Kubernetes 无法成功创建 AWS 负载均衡器。常见原因包括
AWS 资源配额限制 你的 AWS 账户可能在当前区域的负载均衡器数量达到了配额上限。子网配置问题 EKS 集群的 worker 节点所在的子网配置不正确导致无法创建负载均衡器。IAM 权限不足 EKS 集群的 worker 节点所使用的 IAM 角色缺少创建负载均衡器所需的权限。Service Annotation 错误 Istio Ingress Gateway 的 Service 定义中可能存在错误的 Annotation。
子网配置关键所在
在这些原因中子网配置问题是最常见也是最容易被忽视的。EKS 需要通过特定的 Kubernetes 标签来识别哪些子网可以用于创建负载均衡器。
公有子网与私有子网
公有子网 如果你希望负载均衡器可以从公网访问那么 worker 节点必须位于公有子网中并且这些子网的路由表需要配置指向 Internet Gateway (IGW) 的路由。私有子网 如果你希望负载均衡器只能在 VPC 内部访问那么 worker 节点可以位于私有子网中。但是为了让 Kubernetes 能够与 AWS API 通信以创建负载均衡器私有子网需要配置 NAT Gateway 或 NAT 实例。
子网标签Kubernetes 与 AWS 的桥梁
EKS 使用以下 Kubernetes 标签来识别子网
公有子网kubernetes.io/role/elb: 1私有子网kubernetes.io/role/internal-elb: 1共享子网公有和私有子网都有kubernetes.io/cluster/cluster-name: shared将 cluster-name 替换为你的 EKS 集群名称。
kubernetes.io/role/elb 与 kubernetes.io/role/internal-elb
kubernetes.io/role/elb1表示该子网可以用于创建面向公网的负载均衡器 (External Load Balancer)。kubernetes.io/role/internal-elb1表示该子网可以用于创建仅在 VPC 内部访问的负载均衡器 (Internal Load Balancer)。
kubernetes.io/cluster/cluster-nameshared
这个标签表示该子网是你的 EKS 集群的一部分并且可以被 Kubernetes 使用。无论是公有子网还是私有子网都需要添加这个标签。
案例分析解决 EXTERNAL-IP Pending 问题 如图我们遇到了一个典型的 EXTERNAL-IP Pending 问题。错误信息如下
FailedBuildModel due to unable to resolve at least one subnet (0 match VPC and tags: [kubernetes.io/role/internal-elb])这个错误表明 Kubernetes 在尝试创建内部负载均衡器时找不到任何具有 kubernetes.io/role/internal-elb1 标签的子网。
解决方案
确定你的 EKS 集群使用的私有子网的 ID。为这些子网添加以下标签 kubernetes.io/role/internal-elb: 1kubernetes.io/cluster/cluster-name: shared
通过为子网添加正确的标签Kubernetes 就能够找到合适的子网来创建内部负载均衡器从而解决 EXTERNAL-IP Pending 的问题。
总结
在 EKS 中配置 Istio Ingress Gateway 的负载均衡器时子网配置是至关重要的一步。理解公有子网、私有子网以及 Kubernetes 子网标签的含义和作用可以帮助我们避免常见的 EXTERNAL-IP Pending 问题。
希望本文能够帮助大家更好地理解 EKS、Istio 以及 AWS 负载均衡器之间的关系。如果读者在配置过程中遇到任何问题欢迎在评论区留言我会尽力为他解答。
