Création d'un VPC pour votre cluster Amazon EKS - Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un VPC pour votre cluster Amazon EKS

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour lancer des ressources AWS dans un réseau virtuel défini par vos soins. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données. Toutefois, il présente l'avantage d'utiliser l'infrastructure évolutive d'Amazon Web Services. Il est recommandé de bien connaître le service Amazon VPC avant de déployer des clusters Amazon EKS de production. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Un cluster Amazon EKS, des nœuds et des ressources Kubernetes sont déployés sur un VPC. Si vous souhaitez utiliser un VPC existant avec Amazon EKS, ce VPC doit répondre aux exigences décrites dans Exigences et considérations Amazon EKS requises pour le VPC et les sous-réseaux. Cette rubrique explique comment créer un VPC qui répond aux exigences Amazon EKS à l'aide d'un modèle AWS CloudFormation fourni par Amazon EKS. Une fois que vous avez déployé un modèle, vous pouvez consulter les ressources créées par le modèle pour savoir exactement quelles ressources il a créées, et la configuration de ces ressources.

Prérequis

Pour créer un VPC pour Amazon EKS, vous devez disposer des autorisations IAM nécessaires pour créer des ressources Amazon VPC. Ces ressources sont des VPC, des sous-réseaux, des groupes de sécurité, des tables de routage et des routes, ainsi que des passerelles Internet et NAT. Pour de plus amples informations, veuillez consulter Créer un VPC avec un exemple de politique de sous-réseau public dans le Guide de l'utilisateur Amazon VPC et la liste complète des Actions, ressources et clés de condition pour Amazon EC2 dans la Référence de l'autorisation de service.

Vous pouvez créer un VPC avec des sous-réseaux à la fois publics et privés, uniquement avec des sous-réseaux publics ou uniquement avec des sous-réseaux privés.

Public and private subnets

Ce VPC comporte deux sous-réseaux publics et deux privés. Un sous-réseau public est une table de routage associée comportant une route vers une passerelle Internet. Toutefois, la table de routage d'un sous-réseau privé ne comporte pas de route vers une passerelle Internet. Un sous-réseau public et un sous-réseau privé sont déployés dans la même zone de disponibilité. Les autres sous-réseaux public et privé sont déployés dans une seconde zone de disponibilité, dans la même Région AWS. Nous recommandons cette option pour la plupart des déploiements.

Avec cette option, vous pouvez déployer vos nœuds sur des sous-réseaux privés. Cette option permet à Kubernetes de déployer des équilibreurs de charge dans les sous-réseaux publics qui peuvent équilibrer la charge du trafic vers les Pods exécutés sur les nœuds figurant dans les sous-réseaux privés. Les adresses IPv4 publiques sont automatiquement attribuées aux nœuds déployés sur des sous-réseaux publics, mais les adresses IPv4 publiques ne sont pas attribuées aux nœuds déployés sur des sous-réseaux privés.

Vous pouvez également attribuer des adresses IPv6 aux nœuds des sous-réseaux publics et privés. Les nœuds des sous-réseaux privés peuvent communiquer avec le cluster et d'autres Services AWS. Les Pods peuvent communiquer vers l'Internet, par le biais d'une passerelle NAT à l'aide d'adresses IPv4 ou d'une passerelle Internet sortante uniquement utilisant des adresses IPv6 qui est déployée dans chaque zone de disponibilité. Un groupe de sécurité est déployé et comporte des règles qui refusent tout trafic entrant provenant de sources autres que le cluster ou les nœuds mais autorise tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge.

Pour créer votre VPC

  1. Ouvrez la console AWS CloudFormation à l’adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation, sélectionnez une Région AWS prenant en charge Amazon EKS.

  3. Sélectionnez Créer une pile, Avec de nouvelles ressources (standard).

  4. Sous Prerequisite - Prepare template (Prérequis - Préparer le modèle), assurez-vous que Template is ready (Le modèle est prêt) est sélectionné, puis sous Spécifier un modèle, sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Vous pouvez créer un VPC qui prend en charge uniquement IPv4, ou un VPC qui prend en charge IPv4 et IPv6. Collez l'une des URL suivantes dans la zone de texte sous URL Amazon S3 et choisissez Suivant :

    • IPv4

      https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-vpc-private-subnets.yaml

    • IPv4 et IPv6

      https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-ipv6-vpc-public-private-subnets.yaml

  6. Dans la page Spécifier les détails de la pile, entrez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez utiliser le nom du modèle que vous avez utilisé à l'étape précédente. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphabétique et ne doit pas dépasser 100 caractères.

    • VpcBlock: Choisissez une plage d'IPv4adresses CIDR pour votre VPC. Chaque nœud, Pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d'adresses IP pour la plupart des implémentations, mais si ce n'est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter des blocs d'adresse CIDR supplémentaires au VPC une fois qu'il est créé. Si vous créez un VPC IPv6, des plages CIDR IPv6 vous sont automatiquement attribuées à partir de l'espace Global Unicast Address d'Amazon.

    • PublicSubnet01Block : Spécifiez un bloc IPv4 CIDR pour le sous-réseau public 1. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PublicSubnet02Block : Spécifiez un bloc IPv4 CIDR pour le sous-réseau public 2. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PrivateSubnet01Block : Spécifiez un bloc IPv4 CIDR pour le sous-réseau privé 1. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PrivateSubnet02Block : Spécifiez un bloc IPv4 CIDR pour le sous-réseau privé 2. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

  7. (Facultatif) Sur la page Configure stack options (Configurer les options de pile), étiquetez vos ressources de pile, puis choisissez Next (Suivant).

  8. Sur la page Review (Vérification), choisissez Create stack (Créer une pile).

  9. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  10. Enregistrez le VpcIdpour le VPC qui a été créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  11. Enregistrez SubnetIdsles sous-réseaux créés et indiquez si vous les avez créés en tant que sous-réseaux publics ou privés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  12. Si vous avez créé un VPC IPv4, ignorez cette étape. Si vous avez créé un VPC IPv6, vous devez activer l'option d'attribution automatique d'adresses IPv6 pour les sous-réseaux publics qui ont été créés par le modèle. Ce paramètre est déjà activé pour les sous-réseaux privés. Pour activer le paramètre, effectuez les étapes suivantes :

    1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

    2. Dans le volet de navigation de gauche, sélectionnez Subnets (Sous-réseaux).

    3. Sélectionnez l'un de vos sous-réseaux publics (stack-name/SubnetPublic01 ou stack-name/SubnetPublic02 contient le mot public) et choisissez Actions, Modifier les paramètres du sous-réseau.

    4. Choisissez la case à cocher Activer l'attribution automatique d'une adresse IPv6, puis choisissez Enregistrer.

    5. Effectuez à nouveau les étapes précédentes pour votre autre sous-réseau public.

Only public subnets

Ce VPC dispose de trois sous-réseaux publics qui sont déployés dans des zones de disponibilité différentes dans une Région AWS. Tous les nœuds se voient attribuer automatiquement des adresses IPv4 publiques et peuvent envoyer et recevoir du trafic Internet via une passerelle Internet. Un groupe de sécurité est déployé qui refuse tout le trafic entrant et autorise tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge.

Pour créer votre VPC

  1. Ouvrez la console AWS CloudFormation à l’adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation, sélectionnez une Région AWS prenant en charge Amazon EKS.

  3. Choisissez Create stack (Créer une pile), Avec de nouvelles ressources (standard).

  4. Sous Prepare template (Préparer le modèle), assurez-vous que Prepare template (Modèle est prêt) est sélectionné, puis sous Template source (Source du modèle), sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Collez l'URL suivante dans la zone de texte sous URL Amazon S3 et sélectionnez Next (Suivant) :

    https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-vpc-sample.yaml

  6. Dans la page Spécifier les détails, entrez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez l'appeler amazon-eks-vpc-sample. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphabétique et ne doit pas dépasser 100 caractères.

    • VpcBlock: Choisissez un bloc CIDR pour votre VPC. Chaque nœud, Pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d'adresses IP pour la plupart des implémentations, mais si ce n'est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter des blocs d'adresse CIDR supplémentaires au VPC une fois qu'il est créé.

    • Subnet01Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 1. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

    • Subnet02Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 2. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

    • Subnet03Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 3. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

  7. (Facultatif) Sur la page Options (Options), étiquetez les ressources de votre pile. Choisissez Next (Suivant).

  8. Sur la page Review (Vérification), choisissez Create (Créer).

  9. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  10. Enregistrez le VpcIdpour le VPC qui a été créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  11. Enregistrez le SubnetIdspour les sous-réseaux qui ont été créés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  12. (Facultatif) Tout cluster que vous déployez sur ce VPC peut attribuer des adresses IPv4 privées à vos Pods et services. Si vous souhaitez que des clusters déployés sur ce VPC attribuent des adresses IPv6 privées à vos Pods et services, mettez à jour votre VPC, votre sous-réseau, vos tables de routage et vos groupes de sécurité. Pour de plus amples informations, veuillez consulter la section Migrer les VPC existants d'IPv4 vers IPv6 du Guide de l'utilisateur Amazon VPC. Amazon EKS requiert que l'option Auto-assign d'adresses IPv6 soit activée pour vos sous-réseaux. Elle est désactivée par défaut.

Only private subnets

Ce VPC dispose de trois sous-réseaux privés qui sont déployés dans des zones de disponibilité différentes dans la Région AWS. Les ressources déployées sur les sous-réseaux ne peuvent pas accéder à Internet, et Internet ne peut pas accéder aux ressources dans les sous-réseaux. Le modèle crée des points de terminaison d'un VPC en utilisant AWS PrivateLink pour plusieurs Services AWS auxquels les nœuds doivent généralement accéder. Si vos nœuds ont besoin d'un accès Internet sortant, vous pouvez ajouter une passerelle NAT publique dans la zone de disponibilité de chaque sous-réseau après la création du VPC. Un groupe de sécurité est créé qui refuse tout trafic entrant, à l'exception des ressources déployées dans les sous-réseaux. Un groupe de sécurité autorise également tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge internes. Si vous créez un VPC avec cette configuration, consultez Exigences relatives aux clusters privés pour des exigences et des considérations supplémentaires.

Pour créer votre VPC

  1. Ouvrez la console AWS CloudFormation à l’adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation, sélectionnez une Région AWS prenant en charge Amazon EKS.

  3. Choisissez Create stack (Créer une pile), Avec de nouvelles ressources (standard).

  4. Sous Prepare template (Préparer le modèle), assurez-vous que Prepare template (Modèle est prêt) est sélectionné, puis sous Template source (Source du modèle), sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Collez l'URL suivante dans la zone de texte sous URL Amazon S3 et sélectionnez Next (Suivant) :

    https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-fully-private-vpc.yaml

  6. Sur la page Spécifier les détails, renseignez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez l'appeler amazon-eks-fully-private-vpc. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphabétique et ne doit pas dépasser 100 caractères.

    • VpcBlock: Choisissez un bloc CIDR pour votre VPC. Chaque nœud, Pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d'adresses IP pour la plupart des implémentations, mais si ce n'est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter des blocs d'adresse CIDR supplémentaires au VPC une fois qu'il est créé.

    • PrivateSubnet01Block : Spécifiez un bloc CIDR pour le sous-réseau 1. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

    • PrivateSubnet02Block : Spécifiez un bloc CIDR pour le sous-réseau 2. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

    • PrivateSubnet03Block : Spécifiez un bloc CIDR pour le sous-réseau 3. La valeur par défaut fournit suffisamment d'adresses IP pour la plupart des implémentations. Cependant, si ce n'est pas le cas, vous pouvez la modifier.

  7. (Facultatif) Sur la page Options (Options), étiquetez les ressources de votre pile. Choisissez Next (Suivant).

  8. Sur la page Review (Vérification), choisissez Create (Créer).

  9. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  10. Enregistrez le VpcIdpour le VPC qui a été créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  11. Enregistrez le SubnetIdspour les sous-réseaux qui ont été créés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  12. (Facultatif) Tout cluster que vous déployez sur ce VPC peut attribuer des adresses IPv4 privées à vos Pods et services. Si vous souhaitez que des clusters déployés sur ce VPC attribuent des adresses IPv6 privées à vos Pods et services, vous devez mettre à jour votre VPC, votre sous-réseau, vos tables de routage et vos groupes de sécurité. Pour de plus amples informations, veuillez consulter la section Migrer les VPC existants d'IPv4 vers IPv6 du Guide de l'utilisateur Amazon VPC. Amazon EKS requiert que l'option Auto-assign d'adresses IPv6 soit activée pour vos sous-réseaux (elle est désactivée par défaut).