Exigences et considérations requises pour le VPC Exigences et considérations requises pour les sous-réseaux Accès aux services par sous-réseau AWS Création d'un VPC

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous souhaitez contribuer à ce guide de l'utilisateur ? Choisissez le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Création d'un VPC et de sous-réseaux pour les clusters Amazon EKS sur Outposts AWS

Lorsque vous créez un cluster local, vous spécifiez un VPC et au moins un sous-réseau privé qui fonctionne sur les Outposts. Cette rubrique fournit une vue d'ensemble des exigences et considérations spécifiques au VPC et aux sous-réseaux pour votre cluster local.

Exigences et considérations requises pour le VPC

Lorsque vous créez un cluster local, le VPC que vous spécifiez doit répondre aux exigences et aux considérations suivantes :

Assurez-vous que le VPC possède suffisamment d'adresses IP pour le cluster local, tous les nœuds et autres Kubernetes les ressources que vous souhaitez créer. Si le VPC que vous souhaitez utiliser ne possède pas suffisamment d'adresses IP, augmentez le nombre d'adresses IP disponibles. Vous pouvez effectuer cette opération en associant des blocs d'adresse CIDR (Routage inter-domaines sans classe) supplémentaires avec votre VPC. Vous pouvez associer des blocs d'adresses CIDR privés (RFC 1918) et publics (non-RFC 1918) à votre VPC avant ou après la création de votre cluster. Un cluster peut prendre jusqu'à 5 heures avant qu'un bloc d'adresse CIDR associé à un VPC ne soit reconnu.
Le VPC ne peut pas avoir attribué de préfixes IP ou IPv6 de blocs CIDR. En raison de ces contraintes, les informations traitées dans Attribuer plus d'adresses IP aux nœuds Amazon EKS avec des préfixes ne s'appliquent En savoir plus sur IPv6 les adresses des clusters, Pods, et services pas à votre VPC.
Le VPC possède un nom d'hôte DNS et une résolution DNS activés. Sans ces fonctions, la création du cluster local échoue, et vous devez activer les fonctions et recréer votre cluster. Pour plus d'informations, consultez Attributs DNS pour votre VPC dans le guide de l'utilisateur d'Amazon VPC.
Pour accéder à votre cluster local via votre réseau local, le VPC doit être associé à la table de routage de la passerelle locale de votre Outpost. Pour plus d'informations, consultez la section Associations VPC dans le Guide de l'utilisateur d' AWS Outposts.

Exigences et considérations requises pour les sous-réseaux

Lorsque vous créez le cluster, spécifiez au moins un sous-réseau privé. Si vous spécifiez plusieurs sous-réseaux, Kubernetes les instances du plan de contrôle sont réparties uniformément sur les sous-réseaux. Si plus d'un sous-réseau est spécifié, les sous-réseaux doivent exister sur le même Outpost. En outre, les sous-réseaux doivent également disposer d'un acheminement et d'autorisations de groupe de sécurité appropriés pour communiquer entre eux. Lorsque vous créez un cluster local, les sous-réseaux que vous spécifiez doivent répondre aux exigences suivantes :

Les sous-réseaux doivent se trouver sur le même Outpost logique.
Ensemble, les sous-réseaux disposent d'au moins trois adresses IP disponibles pour Kubernetes instances du plan de contrôle. Si trois sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins une adresse IP disponible. Si deux sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins deux adresses IP disponibles. Si un sous-réseau est spécifié, le sous-réseau doit avoir au moins trois adresses IP disponibles.
Les sous-réseaux ont une route vers la passerelle locale du rack Outpost pour accéder au Kubernetes Serveur d'API sur votre réseau local. Si les sous-réseaux n'ont pas de route vers la passerelle locale du rack Outpost, vous devez communiquer avec votre Kubernetes Serveur d'API depuis le VPC.
Les sous-réseaux doivent utiliser une dénomination basée sur une adresse IP. La dénomination EC2 basée sur les ressources Amazon n'est pas prise en charge par Amazon EKS.

Accès aux services par sous-réseau AWS

Les sous-réseaux privés du cluster local sur les Outposts doivent être en mesure de communiquer avec AWS les services régionaux. Vous pouvez y parvenir en utilisant une passerelle NAT pour l'accès Internet sortant ou, si vous voulez préserver la confidentialité de tout le trafic au sein de votre VPC, en utilisant des points de terminaison d'un VPC d'interface.

Utiliser une passerelle NAT

Les sous-réseaux privés du cluster local sur les Outposts doivent être associés à une table de routage comportant une route vers une passerelle NAT dans un sous-réseau public situé dans la zone de disponibilité parent de l'Outpost. Le sous-réseau public doit disposer d'un acheminement vers une passerelle Internet. La passerelle NAT permet l'accès à Internet sortant et empêche les connexions entrantes non sollicitées depuis Internet vers les instances de l'Outpost.

Utilisation des points de terminaison de VPC d'interface

Si les sous-réseaux privés du cluster local sur Outposts ne disposent pas d'une connexion Internet sortante, ou si vous souhaitez que tout le trafic reste privé au sein de votre VPC, vous devez créer les points de terminaison VPC d'interface et point de terminaison de passerelle suivants dans un sous-réseau régional avant de créer votre cluster.

Point de terminaison	Type de point de terminaison
`com.amazonaws.region-code.ssm`	utilisateur
`com.amazonaws.region-code.ssmmessages`	utilisateur
`com.amazonaws.region-code.ec2messages`	utilisateur
`com.amazonaws.region-code.ec2`	utilisateur
`com.amazonaws.region-code.secretsmanager`	utilisateur
`com.amazonaws.region-code.logs`	utilisateur
`com.amazonaws.region-code.sts`	utilisateur
`com.amazonaws.region-code.ecr.api`	utilisateur
`com.amazonaws.region-code.ecr.dkr`	utilisateur
`com.amazonaws.region-code.s3`	Passerelle

Les points de terminaison doivent répondre aux critères suivants :

Créé dans un sous-réseau privé situé dans la zone de disponibilité parent de votre Outpost
Noms DNS privés activés
Avoir un groupe de sécurité attaché qui autorise le trafic HTTPS entrant à partir de la plage CIDR du sous-réseau privé d'Outpost.

La création de points de terminaison entraîne des frais. Pour en savoir plus, consultez Pricing AWS PrivateLink (Tarification). Si vos recettes Pods avez besoin d'accéder à d'autres AWS services, puis vous devez créer des points de terminaison supplémentaires. Pour obtenir une liste complète des points de terminaison, consultez la section AWS Services intégrés à AWS PrivateLink.

Création d'un VPC

Vous pouvez créer un VPC répondant aux exigences précédentes à l'aide de l'un des modèles suivants : AWS CloudFormation

Modèle 1 — Ce modèle crée un VPC avec un sous-réseau privé sur l'avant-poste et un sous-réseau public dans la région. AWS Le sous-réseau privé dispose d'une route vers Internet via une passerelle NAT qui réside dans le sous-réseau public de la AWS région. Ce modèle peut être utilisé pour créer un cluster local dans un sous-réseau avec un accès Internet de sortie.
Modèle 2 — Ce modèle crée un VPC avec un sous-réseau privé sur l'Outpost et l'ensemble minimal de points de terminaison VPC requis pour créer un cluster local dans un sous-réseau dépourvu d'accès Internet d'entrée ou de sortie (également appelé sous-réseau privé).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Découvrez les versions de la plateforme Kubernetes

Préparez-vous aux déconnexions du réseau