Erstellen einer VPC für Ihren Amazon-EKS-Cluster - Amazon EKS

Erstellen einer VPC für Ihren Amazon-EKS-Cluster

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS-Ressourcen in einem virtuellen Netzwerk starten, das Sie definiert haben. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von nutze AWS. Weitere Informationen finden Sie im Amazon-VPC-Benutzerhandbuch und Entmystifizierung von Clusternetzwerken für Amazon-EKS-Knoten.

Wenn Sie eine vorhandene VPC verwenden möchten, muss diese spezifische Anforderungen für die Verwendung mit Amazon EKS erfüllen. Weitere Informationen finden Sie unter Überlegungen zur Cluster-VPC. Dieses Thema führt Sie durch das Erstellen einer VPC für Ihren Cluster unter Verwendung einer der folgenden Konfigurationen:

  • Öffentliche und private Subnetze – Diese VPC verfügt über zwei öffentliche und zwei private Subnetze. Ein öffentliches und ein privates Subnetz werden in derselben Availability Zone bereitgestellt. Die anderen öffentlichen und privaten Subnetze werden in einer zweiten Availability Zone in derselben Region bereitgestellt. Diese Option wird für alle Produktionsbereitstellungen empfohlen. Mit dieser Option können Sie Ihre Knoten in privaten Subnetzen bereitstellen und es Kubernetes ermöglichen, Load Balancer in den öffentlichen Subnetzen bereitzustellen, die das Load Balancing für den Datenverkehr auf Pods, die auf Knoten in den privaten Subnetzen ausgeführt werden, durchführen können.

    Öffentliche IP-Adressen werden automatisch den Ressourcen zugewiesen, die in einem der öffentlichen Subnetze bereitgestellt werden, öffentliche IP-Adressen werden jedoch nicht Ressourcen zugewiesen, die in den privaten Subnetzen bereitgestellt werden. Die Knoten in privaten Subnetzen können mit dem Cluster und anderen AWS-Services kommunizieren, und die Pods können über ein NAT-Gateway, das in jeder Availability Zone bereitgestellt wird, nach außen in das Internet kommunizieren. Es wird eine Sicherheitsgruppe bereitgestellt, die den gesamten eingehenden Datenverkehr ablehnt und den gesamten ausgehenden Datenverkehr zulässt. Die Subnetze verfügen über Tags, sodass Kubernetes für diese Load Balancer bereitstellen kann. Weitere Informationen über das Tagging (Markieren) von Subnetzen finden Sie unter Subnetz-Markierung. Weitere Informationen zu diesem VPC-Typ finden Sie unter VPC mit öffentlichen und privaten Subnetzen (NAT).

  • Nur öffentliche Subnetze – Diese VPC verfügt über drei öffentliche Subnetze, die in verschiedenen Availability Zones in der Region bereitgestellt werden. Allen Knoten werden automatisch öffentliche IP-Adressen zugewiesen und alle Worker-Knotenkönnen Internetdatenverkehr über ein Internet-Gateway senden und empfangen. Es wird eine Sicherheitsgruppe bereitgestellt, die den gesamten eingehenden Datenverkehr ablehnt und den gesamten ausgehenden Datenverkehr zulässt. Die Subnetze sind getaggt, damit Kubernetes ihnen Load Balancer bereitstellen kann. Weitere Informationen über das Tagging (Markieren) von Subnetzen finden Sie unter Subnetz-Markierung. Weitere Informationen zu diesem VPC-Typ finden Sie unter VPC mit einem einzelnen öffentlichen Subnetz.

  • Nur private Subnetze – Diese VPC verfügt über drei private Subnetze, die in verschiedenen Availability Zones in der Region bereitgestellt werden. Alle Knoten können optional Internetdatenverkehr über eine NAT-Instance oder ein NAT-Gateway senden und empfangen. Es wird eine Sicherheitsgruppe bereitgestellt, die den gesamten eingehenden Datenverkehr ablehnt und den gesamten ausgehenden Datenverkehr zulässt. Die Subnetze sind getaggt, damit Kubernetes ihnen interne Load Balancer bereitstellen kann. Weitere Informationen über das Tagging (Markieren) von Subnetzen finden Sie unter Subnetz-Markierung. Weitere Informationen zu diesem VPC-Typ finden Sie unter VPC mit nur einem privaten Subnetz und AWS-Site-to-Site-VPN-Zugriff.

    Wichtig

    Es gibt zusätzliche Anforderungen, wenn die VPC keinen ausgehenden Internetzugang hat, z. B. über eine NAT-Instance, NAT Gateway, VPN oder Direct Connect. Sie müssen die EKS-Cluster-Introspektion umgehen, indem Sie den Knoten die Cluster-Zertifizierungsstelle und den Cluster-API-Endpunkt bereitstellen. Möglicherweise müssen Sie auch VPC-Endpunkte konfigurieren, die in aufgeführt sind Ändern des Cluster-Endpunktzugriffs.

Wichtig

Wenn Sie eine VPC mit eksctl oder mithilfe einer der AWS CloudFormation-VPC-Vorlagen für Amazon EKS bereitgestellt haben:

  • Am oder nach dem 26. März 2020 – Öffentliche IPv4-Adressen werden von öffentlichen Subnetzen automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden.

  • Vor dem 26. März 2020 – Öffentliche IPv4-Adressen werden von öffentlichen Subnetzen nicht automatisch neuen Knoten zugewiesen, die in öffentlichen Subnetzen bereitgestellt werden.

Diese Änderung wirkt sich folgendermaßen auf neue Knotengruppen aus, die in öffentlichen Subnetzen bereitgestellt werden:

Erstellen einer VPC für Ihren Amazon-EKS-Cluster

Sie können eine VPC mit öffentlichen und privaten Subnetzen, nur öffentlichen Subnetzen oder nur privaten Subnetzen erstellen. Wählen Sie die Registerkarte mit der Beschreibung des VPC-Typs aus, den Sie erstellen möchten.

Public and private subnets

So erstellen Sie Ihre Cluster-VPC mit öffentlichen und privaten Subnetzen

  1. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie in der Navigationsleiste eine Region aus, die Amazon EKS unterstützt.

  3. Klicken Sie auf Create stack (Stack erstellen), With new resources (standard) (Mit neuen Ressourcen (Standard)).

  4. Wählen Sie unter Auswahl einer Vorlage die Option Angabe einer URL für eine Amazon-S3-Vorlage.

  5. Fügen Sie die folgende URL in den Textbereich ein und wählen Sie Next (Weiter) aus:

    https://amazon-eks.s3.us-west-2.amazonaws.com/cloudformation/2020-10-29/amazon-eks-vpc-private-subnets.yaml
  6. Füllen Sie auf der Seite Specify Details (Details angeben) die Parameter entsprechend aus, und klicken Sie dann auf Next (Weiter).

    • Stack name (Stack-Name): Wählen Sie einen Stack-Namen für Ihren AWS CloudFormation-Stack aus. Sie können ihn beispielsweise eks-vpc nennen.

    • VpcBlock: Wählen Sie einen CIDR-Bereich für Ihre VPC aus. Jedem von Ihnen bereitgestellten Worker-Knoten, Pod und jeder Lastenverteilung wird eine IP-Adresse aus diesem Block zugewiesen. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze im Amazon VPC Benutzerhandbuch. Sie können der VPC nach der Erstellung auch zusätzliche CIDR-Blöcke hinzufügen.

    • PublicSubnet01Block: Geben Sie einen CIDR-Block für das öffentliche Subnetz 1 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • PublicSubnet02Block: Geben Sie einen CIDR-Block für das öffentliche Subnetz 2 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • PrivateSubnet01Block: Geben Sie einen CIDR-Block für das private Subnetz 1 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • PrivateSubnet02Block: Geben Sie einen CIDR-Block für das private Subnetz 2 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

  7. (Optional) Markieren Sie auf der Seite Options (Optionen) Ihre Stack-Ressourcen. Wählen Sie Next.

  8. Klicken Sie auf der Seite Review auf Create.

  9. Wenn Ihr Stack erstellt wurde, wählen Sie ihn in der Konsole aus und klicken Sie auf Outputs (Ausgänge).

  10. Notieren Sie den SecurityGroups-Wert für die Sicherheitsgruppe, die erstellt wurde. Wenn Sie dem Cluster-Knoten hinzufügen, müssen Sie die ID der Sicherheitsgruppe angeben. Die Sicherheitsgruppe wird auf die Elastic Network-Schnittstellen angewendet, die von Amazon EKS in Ihren Subnetzen erstellt werden und die es der Steuerungsebene ermöglichen, mit Ihren Knoten zu kommunizieren. Diese Netzwerkschnittstellen haben Amazon EKS <cluster name> in ihrer Beschreibung.

  11. Notieren Sie die VpcId für die VPC, die erstellt wurde. Sie benötigen diese beim Starten der Vorlage Ihrer Knotengruppe.

  12. Notieren Sie die SubnetIds für die erstellten Subnetze und geben Sie an, ob Sie sie als öffentliche oder private Subnetze erstellt haben. Wenn Sie Ihrem Cluster Knoten hinzufügen, müssen Sie die IDs der Subnetze angeben, in denen Sie die Knoten starten möchten.

Only public subnets

So erstellen Sie Ihre Cluster-VPC ausschließlich mit öffentlichen Subnetzen

  1. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie in der Navigationsleiste eine Region aus, die Amazon EKS unterstützt.

  3. Klicken Sie auf Create stack (Stack erstellen), With new resources (standard) (Mit neuen Ressourcen (Standard)).

  4. Wählen Sie unter Auswahl einer Vorlage die Option Angabe einer URL für eine Amazon-S3-Vorlage.

  5. Fügen Sie die folgende URL in den Textbereich ein und wählen Sie Next (Weiter) aus:

    https://amazon-eks.s3.us-west-2.amazonaws.com/cloudformation/2020-10-29/amazon-eks-vpc-sample.yaml
  6. Füllen Sie auf der Seite Specify Details (Details angeben) die Parameter entsprechend aus, und klicken Sie dann auf Next (Weiter).

    • Stack name (Stack-Name): Wählen Sie einen Stack-Namen für Ihren AWS CloudFormation-Stack aus. Sie können ihn beispielsweise eks-vpc nennen.

    • VpcBlock: Wählen Sie einen CIDR-Block für Ihre VPC aus. Jedem von Ihnen bereitgestellten Worker-Knoten, Pod und jeder Lastenverteilung wird eine IP-Adresse aus diesem Block zugewiesen. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze im Amazon VPC Benutzerhandbuch. Sie können der VPC nach der Erstellung auch zusätzliche CIDR-Blöcke hinzufügen.

    • Subnet01Block: Geben Sie einen CIDR-Block für das Subnetz 1 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • Subnet02Block: Geben Sie einen CIDR-Block für das Subnetz 2 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • Subnet03Block: Geben Sie einen CIDR-Block für das Subnetz 3 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

  7. (Optional) Markieren Sie auf der Seite Options (Optionen) Ihre Stack-Ressourcen. Wählen Sie Next.

  8. Klicken Sie auf der Seite Review auf Create.

  9. Wenn Ihr Stack erstellt wurde, wählen Sie ihn in der Konsole aus und klicken Sie auf Outputs (Ausgänge).

  10. Notieren Sie den SecurityGroups-Wert für die Sicherheitsgruppe, die erstellt wurde. Wenn Sie dem Cluster-Knoten hinzufügen, müssen Sie die ID der Sicherheitsgruppe angeben. Die Sicherheitsgruppe wird auf die Elastic Network-Schnittstellen angewendet, die von Amazon EKS in Ihren Subnetzen erstellt werden und die es der Steuerungsebene ermöglichen, mit Ihren Knoten zu kommunizieren. Diese Netzwerkschnittstellen haben Amazon EKS <cluster name> in ihrer Beschreibung.

  11. Notieren Sie die VpcId für die VPC, die erstellt wurde. Sie benötigen diese beim Starten der Vorlage Ihrer Knotengruppe.

  12. Notieren Sie die SubnetIds für die Subnetze, die erstellt wurden. Wenn Sie Ihrem Cluster Knoten hinzufügen, müssen Sie die IDs der Subnetze angeben, in denen Sie die Knoten starten möchten.

Only private subnets

So erstellen Sie Ihre Cluster-VPC ausschließlich mit privaten Subnetzen

  1. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie in der Navigationsleiste eine Region aus, die Amazon EKS unterstützt.

  3. Klicken Sie auf Create stack (Stack erstellen), With new resources (standard) (Mit neuen Ressourcen (Standard)).

  4. Wählen Sie unter Auswahl einer Vorlage die Option Angabe einer URL für eine Amazon-S3-Vorlage.

  5. Fügen Sie die folgende URL in den Textbereich ein und wählen Sie Next (Weiter) aus:

    https://amazon-eks.s3.us-west-2.amazonaws.com/cloudformation/2020-10-29/amazon-eks-fully-private-vpc.yaml
  6. Füllen Sie auf der Seite Specify Details (Details angeben) die Parameter entsprechend aus, und klicken Sie dann auf Next (Weiter).

    • Stack name (Stack-Name): Wählen Sie einen Stack-Namen für Ihren AWS CloudFormation-Stack aus. Sie können ihn beispielsweise eks-vpc nennen.

    • VpcBlock: Wählen Sie einen CIDR-Block für Ihre VPC aus. Jedem von Ihnen bereitgestellten Worker-Knoten, Pod und jeder Lastenverteilung wird eine IP-Adresse aus diesem Block zugewiesen. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze im Amazon VPC Benutzerhandbuch. Sie können der VPC nach der Erstellung auch zusätzliche CIDR-Blöcke hinzufügen.

    • PrivateSubnet01Block: Geben Sie einen CIDR-Block für das Subnetz 1 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • PrivateSubnet02Block: Geben Sie einen CIDR-Block für das Subnetz 2 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

    • PrivateSubnet03Block: Geben Sie einen CIDR-Block für das Subnetz 3 an. Der Standardwert bietet für die meisten Implementierungen genügend IP-Adressen, aber wenn dies nicht der Fall ist, können Sie ihn ändern

  7. (Optional) Markieren Sie auf der Seite Options (Optionen) Ihre Stack-Ressourcen. Wählen Sie Next.

  8. Klicken Sie auf der Seite Review auf Create.

  9. Wenn Ihr Stack erstellt wurde, wählen Sie ihn in der Konsole aus und klicken Sie auf Outputs (Ausgänge).

  10. Notieren Sie den SecurityGroups-Wert für die Sicherheitsgruppe, die erstellt wurde. Wenn Sie dem Cluster-Knoten hinzufügen, müssen Sie die ID der Sicherheitsgruppe angeben. Die Sicherheitsgruppe wird auf die Elastic Network-Schnittstellen angewendet, die Amazon EKS in Ihren Subnetzen erstellt, um es der Steuerungsebene zu ermöglichen, mit Ihren Knoten zu kommunizieren. Diese Netzwerkschnittstellen haben Amazon EKS <cluster name> in ihrer Beschreibung.

  11. Notieren Sie die VpcId für die VPC, die erstellt wurde. Sie benötigen diese beim Starten der Vorlage Ihrer Knotengruppe.

  12. Notieren Sie die SubnetIds für die Subnetze, die erstellt wurden. Wenn Sie Ihrem Cluster Knoten hinzufügen, müssen Sie die IDs der Subnetze angeben, in denen Sie die Knoten starten möchten.

Nächste Schritte

Nachdem Sie Ihre VPC erstellt haben, können Sie den Erste Schritte mit Amazon EKS-Walkthrough ausprobieren.