Créez un VPC et des sous-réseaux pour les EKS clusters Amazon sur AWS Outposts - Amazon EKS
VPCexigences et considérationsExigences et considérations requises pour les sous-réseauxAccès au sous-réseau à Services AWSCréation d'un VPC

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un VPC et des sous-réseaux pour les EKS clusters Amazon sur AWS Outposts

Lorsque vous créez un cluster local, vous spécifiez un sous-réseau privé VPC et au moins un sous-réseau privé qui s'exécute sur Outposts. Cette rubrique fournit une vue d'ensemble des exigences VPC et des considérations relatives aux sous-réseaux pour votre cluster local.

VPCexigences et considérations

Lorsque vous créez un cluster local, le cluster VPC que vous spécifiez doit répondre aux exigences et aux considérations suivantes :

  • Assurez-vous que le nombre VPC d'adresses IP est suffisant pour le cluster local, tous les nœuds et autres Kubernetes les ressources que vous souhaitez créer. Si celui VPC que vous souhaitez utiliser ne possède pas suffisamment d'adresses IP, augmentez le nombre d'adresses IP disponibles. Vous pouvez le faire en associant des blocs Classless Inter-Domain Routing (CIDR) supplémentaires à votre. VPC Vous pouvez associer des CIDR blocs privés (RFC1918) et publics (autres que ceux de RFC 1918) à votre cluster avant VPC ou après avoir créé votre cluster. Un cluster peut mettre jusqu'à 5 heures pour qu'un CIDR bloc que vous avez associé soit reconnu. VPC

  • Impossible VPC d'attribuer des préfixes ou des IPv6 CIDR blocs IP. En raison de ces contraintes, les informations couvertes Attribuez davantage d'adresses IP aux EKS nœuds Amazon avec des préfixes et Attribuer IPv6 des adresses aux clusters, pods, et services non applicables à votreVPC.

  • Le DNS nom VPC d'hôte et la DNS résolution sont activés. Sans ces fonctions, la création du cluster local échoue, et vous devez activer les fonctions et recréer votre cluster. Pour plus d'informations, consultez DNSles attributs correspondants VPC dans le guide de VPC l'utilisateur Amazon.

  • Pour accéder à votre cluster local via votre réseau local, VPC il doit être associé à la table de routage de la passerelle locale de votre Outpost. Pour plus d'informations, consultez la section VPCassociations dans le guide de AWS Outposts l'utilisateur.

Exigences et considérations requises pour les sous-réseaux

Lorsque vous créez le cluster, spécifiez au moins un sous-réseau privé. Si vous spécifiez plusieurs sous-réseaux, Kubernetes les instances du plan de contrôle sont réparties uniformément sur les sous-réseaux. Si plus d'un sous-réseau est spécifié, les sous-réseaux doivent exister sur le même Outpost. En outre, les sous-réseaux doivent également disposer d'un acheminement et d'autorisations de groupe de sécurité appropriés pour communiquer entre eux. Lorsque vous créez un cluster local, les sous-réseaux que vous spécifiez doivent répondre aux exigences suivantes :

  • Les sous-réseaux doivent se trouver sur le même Outpost logique.

  • Ensemble, les sous-réseaux disposent d'au moins trois adresses IP disponibles pour Kubernetes instances du plan de contrôle. Si trois sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins une adresse IP disponible. Si deux sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins deux adresses IP disponibles. Si un sous-réseau est spécifié, le sous-réseau doit avoir au moins trois adresses IP disponibles.

  • Les sous-réseaux ont une route vers la passerelle locale du rack Outpost pour accéder au Kubernetes APIserveur sur votre réseau local. Si les sous-réseaux n'ont pas de route vers la passerelle locale du rack Outpost, vous devez communiquer avec votre Kubernetes APIserveur depuis leVPC.

  • Les sous-réseaux doivent utiliser une dénomination basée sur une adresse IP. La dénomination EC2 basée sur les ressources Amazon n'est pas prise en charge par Amazon. EKS

Accès au sous-réseau à Services AWS

Les sous-réseaux privés du cluster local sur Outposts doivent être en mesure de communiquer avec les Services AWS régionaux. Vous pouvez y parvenir en utilisant une NATpasserelle pour l'accès Internet sortant ou, si vous souhaitez que l'ensemble du trafic interne reste privéVPC, en utilisant des points de VPCterminaison d'interface.

Utilisation d'une NAT passerelle

Les sous-réseaux privés du cluster local sur les Outposts doivent être associés à une table de routage comportant une route vers une passerelle dans NAT un sous-réseau public situé dans la zone de disponibilité parent de l'Outpost. Le sous-réseau public doit disposer d'un acheminement vers une passerelle Internet. La NAT passerelle permet l'accès Internet sortant et empêche les connexions entrantes non sollicitées depuis Internet vers des instances de l'Outpost.

Utilisation des points de VPC terminaison de l'interface

Si les sous-réseaux privés du cluster local sur Outposts ne disposent pas d'une connexion Internet sortante, ou si vous souhaitez préserver la confidentialité de tout le trafic au sein de VPC votre cluster, vous devez créer les points de terminaison d'VPCinterface et de passerelle suivants dans un sous-réseau régional avant de créer votre cluster.

Point de terminaison Type de point de terminaison
com.amazonaws.region-code.ssm utilisateur
com.amazonaws.region-code.ssmmessages utilisateur
com.amazonaws.region-code.ec2messages utilisateur
com.amazonaws.region-code.ec2 utilisateur
com.amazonaws.region-code.secretsmanager utilisateur
com.amazonaws.region-code.logs utilisateur
com.amazonaws.region-code.sts utilisateur
com.amazonaws.region-code.ecr.api utilisateur
com.amazonaws.region-code.ecr.dkr utilisateur
com.amazonaws.region-code.s3 Passerelle

Les points de terminaison doivent répondre aux critères suivants :

  • Créé dans un sous-réseau privé situé dans la zone de disponibilité parent de votre Outpost

  • Activer les DNS noms privés

  • Disposez d'un groupe de sécurité attaché qui autorise le HTTPS trafic entrant depuis la CIDR portée du sous-réseau privé de l'avant-poste.

La création de points de terminaison entraîne des frais. Pour en savoir plus, consultez Pricing AWS PrivateLink (Tarification). Si vos recettes Pods avez besoin d'accéder à d'autres Services AWS, alors vous devez créer des points de terminaison supplémentaires. Pour une liste complète des points de terminaison, consultez la section relative à Services AWS l'intégration à AWS PrivateLink.

Création d'un VPC

Vous pouvez créer un modèle VPC qui répond aux exigences précédentes à l'aide de l'un des AWS CloudFormation modèles suivants :

  • Modèle 1 — Ce modèle crée un VPC avec un sous-réseau privé sur l'Outpost et un sous-réseau public dans le. Région AWS Le sous-réseau privé possède une route vers Internet via une NAT passerelle qui réside dans le sous-réseau public du. Région AWS Ce modèle peut être utilisé pour créer un cluster local dans un sous-réseau avec un accès Internet de sortie.

  • Modèle 2 — Ce modèle crée un VPC sous-réseau privé sur l'Outpost et l'ensemble minimal de VPC points de terminaison requis pour créer un cluster local dans un sous-réseau qui n'a pas d'accès Internet d'entrée ou de sortie (également appelé sous-réseau privé).