nexus/wiki/sources/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md

title, type, tags, date

title	type	tags	date
CTP Topic 39 Implementing EKS in the AWS Lab Landing Zone	source	AWS EKS Kubernetes Landing-Zone CTP	2026-04-24

Source File

• raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md

Summary（用中文描述）

• 核心主题：在 AWS Lab Landing Zone 中通过 Terraform/Terragrunt 自动化部署 EKS 集群，解决 Octane（Micro Focus SaaS 应用）IP 地址池不足的难题
• 问题域：Micro Focus 网络环境下的 AWS Lab Landing Zone 网络地址空间受限，无法满足 EKS Pod 大量 IP 地址需求
• 方法/机制：
  • 在独立私有子网（非主 VPC 子网）中部署 EKS，由 EKS 模块自定义网络标志控制 IP 分配
  • 通过 Terraform/Terragrunt 模块调用 EKS 模块，指定子网和联邦账户/角色映射
  • Pod 规范中设置 hostNetwork: true 使 Pod 直接使用宿主机网络
  • IAM 角色映射实现集群访问和 AWS Console 可视化
• 结论/价值：即使在受限网络环境下，通过 EKS 自定义网络功能 + IaC 自动化仍可成功部署 EKS，无需 Atlantis（Jenkins + Terragrunt 模块替代方案）

Key Claims（用中文描述）

• EKS 模块提供自定义网络配置标志，可控制 Pod IP 地址分配策略
• 在受限 Lab 网络环境下，创建独立私有子网（非主 VPC 子网）为 EKS Pod 提供充足 IP 地址池
• Terraform/Terragrunt 模块可封装 EKS 集群的完整部署逻辑，支持跨账户角色映射
• Atlantis 目前无法部署 EKS 集群，需通过 Jenkins + Terragrunt 模块替代
• Pod 网络规范设置 hostNetwork: true 后，Pod 可同时访问内部 Micro Focus 网络和外部资源
• IAM 角色映射使用户可连接集群并在 AWS Console 中查看 EKS 组件
• 节点组数量当前硬编码，未来版本将支持可配置参数

Key Quotes

"The problem was that this wasn't supported in the EKS sort of solution that was given to us." — Spencer，描述 IP 池不足问题在标准 EKS 方案中不受支持的困境

"Within the spec configuration, we basically have to put host network equals true." — Guy，描述让 Pod 访问内部网络的关键配置

Key Concepts

• Amazon EKS：AWS 托管 Kubernetes 服务，完全托管控制平面，支持 IAM RBAC 最小权限
• Kubernetes Custom Networking：EKS 自定义网络功能，允许控制 Pod IP 分配策略，解决 VPC CIDR 限制
• Terraform-Terragrunt Module：封装 EKS 部署逻辑的基础设施即代码模块，支持跨账户部署
• IAM Role Mapping (EKS)：通过 AWS IAM 角色映射实现集群访问控制和 AWS Console 可视化
• Host Network Mode (Pod)：Pod 使用宿主机网络栈，hostNetwork: true 使 Pod 可访问底层网络资源
• Container Hardening：容器安全加固标准，与安全团队协作实施的容器安全措施

Key Entities

• Octane-Hub：Software Factory 团队，Micro Focus 云转型计划一部分，主导 SaaS 应用容器化迁移，CTO 为 Holger Rode；本文档中 Octane 作为 EKS 部署的实际业务驱动方（IP 密集型 SaaS 应用）
• Spencer：AWS Lab Landing Zone EKS 实施分享人
• Guy：AWS Lab Landing Zone EKS 实施技术细节讲解人
• Terragrunt：Terraform 的 wrapper 工具，用于管理跨账户基础设施部署
• Atlantis：Terraform GitOps 工具，当前不支持 EKS 集群部署

Connections

• ctp-topic-70-eks-deployment-using-iac ← depends_on ← ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone
  • Topic 39 解决了 EKS 在受限网络环境下的 IP 分配技术难题，为 Topic 70 的 IaC 部署实践提供底层支撑
• ctp-topic-59-achieving-reliability-with-amazon-eks ← related ← ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone
  • 两者均讨论 EKS 可靠性，两者互补：Topic 39 侧重网络架构，Topic 59 侧重 SLA/SLO 保障
• ctp-topic-25-labs-landing-zone-overview-itom-teams ← depends_on ← ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone
  • Labs LZ 的多账户架构和 Terraform/Terragrunt 管理模式是 Topic 39 EKS 部署的基础设施上下文
• ctp-topic-14-octane-hub-on-aws ← related ← ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone
  • 两者均涉及 Octane 的 AWS 迁移，但 Topic 14 聚焦 Octane Hub 整体迁移，Topic 39 聚焦 EKS 网络解决方案

Contradictions

• 无发现与现有 Wiki 页面的直接冲突