67 lines
4.5 KiB
Markdown
67 lines
4.5 KiB
Markdown
---
|
||
title: "CTP Topic 39 Implementing EKS in the AWS Lab Landing Zone"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- EKS
|
||
- Kubernetes
|
||
- Landing-Zone
|
||
- CTP
|
||
date: 2026-04-24
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:在 AWS Lab Landing Zone 中通过 Terraform/Terragrunt 自动化部署 EKS 集群,解决 Octane(Micro Focus SaaS 应用)IP 地址池不足的难题
|
||
- 问题域:Micro Focus 网络环境下的 AWS Lab Landing Zone 网络地址空间受限,无法满足 EKS Pod 大量 IP 地址需求
|
||
- 方法/机制:
|
||
- 在独立私有子网(非主 VPC 子网)中部署 EKS,由 EKS 模块自定义网络标志控制 IP 分配
|
||
- 通过 Terraform/Terragrunt 模块调用 EKS 模块,指定子网和联邦账户/角色映射
|
||
- Pod 规范中设置 `hostNetwork: true` 使 Pod 直接使用宿主机网络
|
||
- IAM 角色映射实现集群访问和 AWS Console 可视化
|
||
- 结论/价值:即使在受限网络环境下,通过 EKS 自定义网络功能 + IaC 自动化仍可成功部署 EKS,无需 Atlantis(Jenkins + Terragrunt 模块替代方案)
|
||
|
||
## Key Claims(用中文描述)
|
||
- EKS 模块提供自定义网络配置标志,可控制 Pod IP 地址分配策略
|
||
- 在受限 Lab 网络环境下,创建独立私有子网(非主 VPC 子网)为 EKS Pod 提供充足 IP 地址池
|
||
- Terraform/Terragrunt 模块可封装 EKS 集群的完整部署逻辑,支持跨账户角色映射
|
||
- Atlantis 目前无法部署 EKS 集群,需通过 Jenkins + Terragrunt 模块替代
|
||
- Pod 网络规范设置 `hostNetwork: true` 后,Pod 可同时访问内部 Micro Focus 网络和外部资源
|
||
- IAM 角色映射使用户可连接集群并在 AWS Console 中查看 EKS 组件
|
||
- 节点组数量当前硬编码,未来版本将支持可配置参数
|
||
|
||
## Key Quotes
|
||
> "The problem was that this wasn't supported in the EKS sort of solution that was given to us." — Spencer,描述 IP 池不足问题在标准 EKS 方案中不受支持的困境
|
||
|
||
> "Within the spec configuration, we basically have to put host network equals true." — Guy,描述让 Pod 访问内部网络的关键配置
|
||
|
||
## Key Concepts
|
||
- [[Amazon EKS]]:AWS 托管 Kubernetes 服务,完全托管控制平面,支持 IAM RBAC 最小权限
|
||
- [[Kubernetes Custom Networking]]:EKS 自定义网络功能,允许控制 Pod IP 分配策略,解决 VPC CIDR 限制
|
||
- [[Terraform-Terragrunt Module]]:封装 EKS 部署逻辑的基础设施即代码模块,支持跨账户部署
|
||
- [[IAM Role Mapping (EKS)]]:通过 AWS IAM 角色映射实现集群访问控制和 AWS Console 可视化
|
||
- [[Host Network Mode (Pod)]]:Pod 使用宿主机网络栈,`hostNetwork: true` 使 Pod 可访问底层网络资源
|
||
- [[Container Hardening]]:容器安全加固标准,与安全团队协作实施的容器安全措施
|
||
|
||
## Key Entities
|
||
- [[Octane-Hub]]:Software Factory 团队,Micro Focus 云转型计划一部分,主导 SaaS 应用容器化迁移,CTO 为 Holger Rode;本文档中 Octane 作为 EKS 部署的实际业务驱动方(IP 密集型 SaaS 应用)
|
||
- [[Spencer]]:AWS Lab Landing Zone EKS 实施分享人
|
||
- [[Guy]]:AWS Lab Landing Zone EKS 实施技术细节讲解人
|
||
- [[Terragrunt]]:Terraform 的 wrapper 工具,用于管理跨账户基础设施部署
|
||
- [[Atlantis]]:Terraform GitOps 工具,当前不支持 EKS 集群部署
|
||
|
||
## Connections
|
||
- [[ctp-topic-70-eks-deployment-using-iac]] ← depends_on ← [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]
|
||
- Topic 39 解决了 EKS 在受限网络环境下的 IP 分配技术难题,为 Topic 70 的 IaC 部署实践提供底层支撑
|
||
- [[ctp-topic-59-achieving-reliability-with-amazon-eks]] ← related ← [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]
|
||
- 两者均讨论 EKS 可靠性,两者互补:Topic 39 侧重网络架构,Topic 59 侧重 SLA/SLO 保障
|
||
- [[ctp-topic-25-labs-landing-zone-overview-itom-teams]] ← depends_on ← [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]
|
||
- Labs LZ 的多账户架构和 Terraform/Terragrunt 管理模式是 Topic 39 EKS 部署的基础设施上下文
|
||
- [[ctp-topic-14-octane-hub-on-aws]] ← related ← [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]
|
||
- 两者均涉及 Octane 的 AWS 迁移,但 Topic 14 聚焦 Octane Hub 整体迁移,Topic 39 聚焦 EKS 网络解决方案
|
||
|
||
## Contradictions
|
||
- 无发现与现有 Wiki 页面的直接冲突
|