Amazon EKS 本機叢集 VPC 與子網路要求和考量事項 - Amazon EKS
VPC 要求和注意事項子網需求和注意事項AWS 服務 的子網路存取權建立 VPC

協助改善此頁面

想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EKS 本機叢集 VPC 與子網路要求和考量事項

建立本機叢集時,您需要指定 VPC 與至少一個在 Outpost 上執行的私人子網路。本主題概述了本機叢集的 VPC 和子網路要求和考量事項。

VPC 要求和注意事項

建立本機叢集時,您指定的 VPC 必須符合下列要求和考量事項:

  • 確保 VPC 具有足夠的 IP 地址用於本機叢集、任何節點以及您要建立的其他 Kubernetes 資源。如果要使用的 VPC 沒有足夠的 IP 地址,請增加可用 IP 地址的數目。您可以透過將其他無類別域間路由 (CIDR) 區塊與 VPC 關聯來完成此操作。您可以在建立叢集的之前或之後,將私有 (RFC 1918) 和公有 (非 RFC 1918) CIDR 區塊與 VPC 關聯。叢集可能最多需要 5 小時才能辨識您與 VPC 關聯的 CIDR 區塊。

  • VPC 無法指派 IP 字首或 IPv6 CIDR 區塊。由於這些限制,增加 Amazon EC2 節點的可用 IP 地址數量IPv6叢集的位址Pods、和 services 中涵蓋的資訊不適用於您的 VPC。

  • VPC 已啟用 DNS 主機名稱和 DNS 解析。如果沒有這些功能,本機叢集無法建立,您需要啟用這些功能並重新建立叢集。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 的 DNS 屬性

  • 若要透過區域網路存取本機叢集,VPC 必須與 Outpost 的本機閘道路由表關聯。如需詳細資訊,請參閱 AWS Outposts 使用者指南中的 VPC 關聯

子網需求和注意事項

在建立叢集時,指定至少一個私有子網路。如果您指定多個子網路,Kubernetes 控制平面執行個體會平均分佈在子網路上。如果指定多個子網路,則子網路必須存在於相同的 Outpost 上。此外,子網路還必須具有適當的路由和安全群組許可,才能互相通訊。在建立本機叢集時,您指定的子網路必須符合下列要求:

  • 子網路都位於相同的邏輯 Outpost 上。

  • 這些子網路一起至少有三個可用於 Kubernetes 控制平面執行個體的 IP 地址。如果指定三個子網路,每個子網路必須至少有一個可用的 IP 地址。如果指定兩個子網路,每個子網路必須至少有兩個可用的 IP 地址。如果指定一個子網路,該子網路必須至少有三個可用的 IP 地址。

  • 子網路具有 Outpost 機架本機閘道的路由,以存取您區域網路上的 Kubernetes API 伺服器。如果子網路沒有 Outpost 機架本機閘道的路由,您必須在 VPC 內與 Kubernetes API 伺服器進行通訊。

  • 子網必須使用 IP 地址型命名。Amazon EKS 不支援 Amazon EC2 資源型命名

AWS 服務 的子網路存取權

Outposts 上的本機叢集私有子網路必須能與區域性 AWS 服務 通訊。為此,您可以使用 NAT 閘道進行網際網路對外存取,或者,如果您想要所有流量在 VPC 內保持私密,可使用介面 VPC 端點

使用 NAT 閘道

Outposts 上的本機叢集私有子網路必須具有關聯的路由表,此路由表具有 Outpost 父可用區域公有子網路中 NAT 閘道的路由。公有子網路必須擁有到網際網路閘道的路由。此 NAT 閘道會啟用傳出網際網路存取,並防止來自網際網路未經要求的傳入連線連接到 Outpost 上的執行個體。

使用 介面 VPC 端點

如果 Outposts 上的本機叢集私有子網路沒有對外網際網路連線,或者如果您想要所有流量在 VPC 內保持私密,則在建立叢集之前,您必須在區域子網路中建立下列介面 VPC 端點和閘道端點

端點 端點類型
com.amazonaws.region-code.ssm 界面
com.amazonaws.region-code.ssmmessages 界面
com.amazonaws.region-code.ec2messages 界面
com.amazonaws.region-code.ec2 界面
com.amazonaws.region-code.secretsmanager 界面
com.amazonaws.region-code.logs 界面
com.amazonaws.region-code.sts 界面
com.amazonaws.region-code.ecr.api 界面
com.amazonaws.region-code.ecr.dkr 界面
com.amazonaws.region-code.s3 閘道

端點必須符合下列需求:

  • 在位於 Outpost 父可用區域的私有子網路中建立

  • 已啟用私有 DNS 名稱

  • 擁有連接的安全群組,該群組允許來自私有 Outpost 子網路之 CIDR 範圍的輸入 HTTPS 流量。

建立端點會產生費用。如需詳細資訊,請參閱 AWS PrivateLink 定價。如果您的 Pods 需要存取其他 AWS 服務,則您需要建立其他端點。如需完整的端點清單,請參閱與 AWS PrivateLink 整合的 AWS 服務

建立 VPC

您可以使用下列其中一個 AWS CloudFormation 範本建立符合先前需求的 VPC:

  • 範本 1 – 此範本會建立 VPC,其包含的一個私有子網路在 Outpost 上,一個公有子網路在 AWS 區域 中。私有子網路具有透過駐留在 AWS 區域 中公有子網路中的 NAT 閘道連至網際網路的路由。此範本可用於在具有輸出網際網路存取權的子網路中建立本機叢集。

  • 範本 2 – 此範本會在 Outpost 上建立具有一個私有子網路的 VPC,以及在沒有輸入或輸出網際網路存取權 (亦稱為私有子網路) 的子網路中建立本機叢集所需的最基本的一組 VPC 端點。