Erstellung einer VPC und von Subnetzen für Amazon-EKS-Cluster in AWS Outposts - Amazon EKS
VPC-Anforderungen und -ÜberlegungenSubnetz-Anforderungen und -ÜberlegungenSubnetz-Zugang zu AWS-ServicesErstellen einer VPC

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Erstellung einer VPC und von Subnetzen für Amazon-EKS-Cluster in AWS Outposts

Wenn Sie einen lokalen Cluster erstellen, geben Sie eine VPC und mindestens ein privates Subnetz an, das auf Outposts ausgeführt wird. Dieses Thema bietet einen Überblick über die VPC- und Subnetzanforderungen und -überlegungen für Ihren lokalen Cluster.

VPC-Anforderungen und -Überlegungen

Wenn Sie einen lokalen Cluster erstellen, muss die von Ihnen angegebene VPC die folgenden Anforderungen und Überlegungen erfüllen:

  • Stellen Sie sicher, dass die VPC über ausreichend IP-Adressen für den lokalen Cluster, alle Knoten und andere Kubernetes-Ressourcen verfügt, die Sie erstellen möchten. Wenn die VPC, die Sie verwenden möchten, nicht über genügend IP-Adressen verfügt, erhöhen Sie die Anzahl der verfügbaren IP-Adressen. Das ist möglich, indem Sie zusätzliche CIDR-Blöcke (Classless Inter-Domain Routing) mit Ihrer VPC verbinden. Sie können entweder vor oder nach der Erstellung Ihres Clusters private (RFC 1918) und öffentliche (nicht RFC 1918) CIDR-Blöcke mit Ihrer VPC verbinden. Es kann bis zu 5 Stunden dauern, bis ein CIDR-Block, den Sie einem VPC zugeordnet haben, von einem Cluster erkannt wird.

  • Der VPC dürfen keine IP-Präfixe oder IPv6-CIDR-Blöcke zugewiesen werden. Aufgrund dieser Einschränkungen sind die Informationen, die unter Weitere IP-Adressen mit Präfixen und Informationen zu IPv6-Adressen für Cluster, Pods und Services für Amazon-EKS-Knoten zuweisen behandelt werden, für Ihre VPC nicht anwendbar.

  • Die VPC verfügt über einen DNS-Hostnamen und die DNS-Auflösung ist aktiviert. Ohne diese Funktionen kann der lokale Cluster nicht erstellt werden, und Sie müssen die Funktionen aktivieren und Ihren Cluster neu erstellen. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

  • Um über Ihr lokales Netzwerk auf Ihren lokalen Cluster zuzugreifen, muss die VPC mit der lokalen Gateway-Routing-Tabelle Ihres Outpost verknüpft sein. Weitere Informationen finden Sie unter VPC-Zuordnungen im AWS-Outposts-Benutzerhandbuch.

Subnetz-Anforderungen und -Überlegungen

Geben Sie beim Erstellen des Clusters mindestens ein privates Subnetz an. Wenn Sie mehr als ein Subnetz angeben, werden die Kubernetes-Steuerebene-Instances gleichmäßig über die Subnetze hinweg verteilt. Wenn mehr als ein Subnetz angegeben wird, müssen die Subnetze auf demselben Outpost vorhanden sein. Darüber hinaus müssen die Subnetze auch über die richtigen Routen und Sicherheitsgruppen-Berechtigungen verfügen, um miteinander kommunizieren zu können. Wenn Sie einen lokalen Cluster erstellen, müssen die von Ihnen angegebenen Subnetze die folgenden Anforderungen erfüllen:

  • Die Subnetze befinden sich alle auf demselben logischen Outpost.

  • Die Subnetze verfügen zusammen über mindestens drei verfügbare IP-Adressen für die Kubernetes-Instances der Steuerebene. Wenn drei Subnetze angegeben werden, muss jedes Subnetz über mindestens eine verfügbare IP-Adresse verfügen. Wenn zwei Subnetze angegeben werden, muss jedes Subnetz über mindestens zwei verfügbare IP-Adressen verfügen. Wenn ein Subnetz angegeben wird, muss das Subnetz über mindestens drei verfügbare IP-Adressen verfügen.

  • Die Subnetze verfügen über eine Weiterleitung zum lokalen Gateway des Outpost-Racks, um über Ihr lokales Netzwerk auf den Kubernetes-API-Server zugreifen zu können. Wenn Subnetze über keine Weiterleitung zum lokalen Gateway des Outpost-Racks verfügen, müssen Sie von innerhalb der VPC mit Ihrem Kubernetes-API-Server kommunizieren.

  • Die Subnetze müssen eine IP-Adressen-basierte Benennung aufweisen. Die ressourcenbasierte Benennung von Amazon EC2 wird nicht durch Amazon EKS unterstützt.

Subnetz-Zugang zu AWS-Services

Die privaten Subnetze des lokalen Clusters in Outposts müssen mit regionalen AWS-Services kommunizieren können. Dazu können Sie ein NAT-Gateway für den ausgehenden Internetzugang verwenden oder, wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, Schnittstellen-VPC-Endpunkte verwenden.

Verwenden eines NAT-Gateways

Die privaten Subnetze des lokalen Clusters in Outposts müssen über eine zugeordnete Routing-Tabelle mit einer Weiterleitung zu einem NAT-Gateway verfügen, das sich in einem öffentlichen Subnetz in der übergeordneten Availability Zone des Outposts befindet. Das öffentliche Subnetz muss über eine Route zu einem Internet-Gateway verfügen. Das NAT-Gateway ermöglicht einen ausgehenden Zugriff auf das Internet und verhindert unerwünschte eingehende Verbindungen aus dem Internet zu Instances im Outpost.

Verwendung von -Schnittstellen-VPC-Endpunkten

Wenn die privaten Subnetze des lokalen Clusters in Outposts keine ausgehende Internetverbindung haben oder wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, müssen Sie die folgenden Schnittstellen-VPC-Endpunkte und den Gateway-Endpunkt in einem regionalen Subnetz erstellen, bevor Sie Ihren Cluster erstellen.

Endpunkt Endpunkttyp

com.amazonaws.region-code.ssm

Schnittstelle

com.amazonaws.region-code.ssmmessages

Schnittstelle

com.amazonaws.region-code.ec2messages

Schnittstelle

com.amazonaws.region-code.ec2

Schnittstelle

com.amazonaws.region-code.secretsmanager

Schnittstelle

com.amazonaws.region-code.logs

Schnittstelle

com.amazonaws.region-code.sts

Schnittstelle

com.amazonaws.region-code.ecr.api

Schnittstelle

com.amazonaws.region-code.ecr.dkr

Schnittstelle

com.amazonaws.region-code.s3

Gateway

Die Endpunkte müssen die folgenden Anforderungen erfüllen:

  • Sie müssen in einem privaten Subnetz erstellt werden, das sich in der übergeordneten Availability Zone Ihres Outposts befindet.

  • Private DNS-Namen müssen aktiviert sein.

  • Sie müssen über eine angefügte Sicherheitsgruppe verfügen, die eingehenden HTTPS-Datenverkehr aus dem CIDR-Bereich des privaten Outpost-Subnetzes zulässt.

Für die Erstellung von Endpunkten fallen Gebühren an. Weitere Informationen erhalten Sie unter AWS PrivateLink-Preise. Wenn Ihre Pods Zugriff auf andere AWS-Services benötigen, müssen Sie zusätzliche Endpunkte erstellen. Eine umfassende Liste der Endpunkte finden Sie unter AWS-Services, die in AWS PrivateLink integriert sind.

Erstellen einer VPC

Sie können eine VPC erstellen, welche die oben genannten Anforderungen erfüllt, indem Sie eine der folgenden AWS-CloudFormation-Vorlagen verwenden:

  • Vorlage 1 – Diese Vorlage erstellt eine VPC mit einem privaten Subnetz in dem Outpost und einem öffentlichen Subnetz in der AWS-Region. Das private Subnetz verfügt über eine Weiterleitung zum Internet über ein NAT-Gateway, das sich im öffentlichen Subnetz in der AWS-Region befindet. Diese Vorlage kann verwendet werden, um einen lokalen Cluster in einem Subnetz mit ausgehendem Internetzugriff zu erstellen.

  • Vorlage 2 – Diese Vorlage erstellt eine VPC mit einem privaten Subnetz in dem Outpost und der Mindestanzahl von VPC-Endpunkten, die erforderlich sind, um einen lokalen Cluster in einem Subnetz zu erstellen, das über keinen eingehenden oder ausgehenden Internetzugriff verfügt (auch als privates Subnetz bezeichnet).