Création d’un VPC Amazon pour votre cluster Amazon EKS - Amazon EKS
PrérequisSous-réseaux publics et privésSous-réseaux publics uniquementSous-réseaux privés uniquement

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un VPC Amazon pour votre cluster Amazon EKS

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données. Toutefois, il présente l'avantage d'utiliser l'infrastructure évolutive d'Amazon Web Services. Il est recommandé de bien connaître le service Amazon VPC avant de déployer des clusters Amazon EKS de production. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Un cluster Amazon EKS, des nœuds et des ressources Kubernetes sont déployés sur un VPC. Si vous souhaitez utiliser un VPC existant avec Amazon EKS, ce VPC doit répondre aux exigences décrites dans Afficher les exigences réseau Amazon EKS pour les VPC et les sous-réseaux. Cette rubrique explique comment créer un VPC qui répond aux exigences Amazon EKS à l’aide d’un modèle AWS CloudFormation fourni par Amazon EKS. Une fois le modèle déployé, vous pouvez consulter les ressources qu’il crée afin de connaître précisément les ressources provisionnées et leur configuration. Si vous utilisez des nœuds hybrides, votre VPC doit contenir des routes dans sa table de routage pour votre réseau sur site. Pour plus d’informations sur les exigences réseau pour les nœuds hybrides, consultez Préparer la mise en réseau pour les nœuds hybrides.

Prérequis

Pour créer un VPC pour Amazon EKS, vous devez disposer des autorisations IAM nécessaires pour créer des ressources Amazon VPC. Ces ressources sont des VPC, des sous-réseaux, des groupes de sécurité, des tables de routage et des routes, ainsi que des passerelles Internet et NAT. Pour de plus d’informations, consultez Création d’un VPC avec un exemple de politique de sous-réseau public dans le Guide de l’utilisateur Amazon VPC et la liste complète des Actions dans la Référence de l’autorisation de service.

Vous pouvez créer un VPC avec des sous-réseaux à la fois publics et privés, uniquement avec des sous-réseaux publics ou uniquement avec des sous-réseaux privés.

Sous-réseaux publics et privés

Ce VPC comporte deux sous-réseaux publics et deux privés. Un sous-réseau public possède dans sa table de routage une route vers une passerelle Internet. En revanche, la table de routage d’un sous-réseau privé ne contient pas de route vers une passerelle Internet. Un sous-réseau public et un sous-réseau privé sont déployés dans la même zone de disponibilité. Les autres sous-réseaux publics et privés sont déployés dans une seconde zone de disponibilité de la même région AWS. Nous recommandons cette option pour la plupart des déploiements.

Avec cette option, vous pouvez déployer vos nœuds sur des sous-réseaux privés. Cette option permet à Kubernetes de déployer des équilibreurs de charge dans les sous-réseaux publics, qui peuvent répartir le trafic vers les pods exécutés sur des nœuds situés dans les sous-réseaux privés. Les adresses IPv4 publiques sont automatiquement attribuées aux nœuds déployés dans des sous-réseaux publics, mais les nœuds dans des sous-réseaux privés ne reçoivent pas d’adresses IPv4 publiques.

Vous pouvez également attribuer des adresses IPv6 aux nœuds des sous-réseaux publics et privés. Les nœuds dans des sous-réseaux privés peuvent communiquer avec le cluster et avec d’autres services AWS. Les pods peuvent accéder à Internet par le biais d’une passerelle NAT à l’aide d’adresses IPv4 ou d’une passerelle Internet sortante uniquement utilisant des adresses IPv6 qui est déployée dans chaque zone de disponibilité. Un groupe de sécurité est déployé et comporte des règles qui refusent tout trafic entrant provenant de sources autres que le cluster ou les nœuds mais autorise tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge.

  1. Ouvrez la console AWS CloudFormation.

  2. Dans la barre de navigation, sélectionnez une région AWS prenant en charge Amazon EKS.

  3. Sélectionnez Créer une pile, Avec de nouvelles ressources (standard).

  4. Sous Prerequisite - Prepare template (Prérequis - Préparer le modèle), assurez-vous que Template is ready (Le modèle est prêt) est sélectionné, puis sous Spécifier un modèle, sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Vous pouvez créer un VPC qui prend en charge uniquement IPv4, ou un VPC qui prend en charge IPv4 et IPv6. Collez l'une des URL suivantes dans la zone de texte sous Amazon S3 URL (URL Amazon S3) et choisissez Next (Suivant) :

    • IPv4 

https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-vpc-private-subnets.yaml

  • IPv4 and IPv6 

https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-ipv6-vpc-public-private-subnets.yaml

  1. Dans la page Spécifier les détails de la pile, entrez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez utiliser le nom du modèle que vous avez utilisé à l'étape précédente. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne peut pas dépasser 100 caractères. Le nom doit être unique dans la région AWS et le compte AWS dans lesquels vous créez le cluster.

    • VpcBlock : choisissez une plage CIDR IPv4 pour votre VPC. Chaque nœud, pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter d’autres blocs CIDR au VPC après sa création. Si vous créez un VPC IPv6, des plages CIDR IPv6 sont automatiquement attribuées à partir de l’espace d’adressage Global Unicast d’Amazon.

    • PublicSubnet01Block : spécifiez un bloc d'adresse CIDR IPv4 pour le sous-réseau public 1. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PublicSubnet02Block : spécifiez un bloc d'adresse CIDR IPv4 pour le sous-réseau public 2. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PrivateSubnet01Block : spécifiez un bloc d'adresse CIDR IPv4 pour le sous-réseau privé 1. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

    • PrivateSubnet02Block : spécifiez un bloc d'adresse CIDR IPv4 pour le sous-réseau privé 2. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier. Si vous créez un VPC IPv6, ce bloc est spécifié pour vous dans le modèle.

  2. (Facultatif) Sur la page Configure stack options (Configurer les options de pile), étiquetez vos ressources de pile, puis choisissez Next (Suivant).

  3. Sur la page Review (Vérification), choisissez Create stack (Créer une pile).

  4. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  5. Notez la valeur VpcId du VPC créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  6. Enregistrez les paramètres SubnetIds des sous-réseaux qui ont été créés et si vous les avez créés en tant que sous-réseaux publics ou privés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  7. Si vous avez créé un VPC IPv4, ignorez cette étape. Si vous avez créé un VPC IPv6, vous devez activer l'option d'attribution automatique d'adresses IPv6 pour les sous-réseaux publics qui ont été créés par le modèle. Ce paramètre est déjà activé pour les sous-réseaux privés. Pour activer le paramètre, effectuez les étapes suivantes :

    1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

    2. Dans le volet de navigation de gauche, sélectionnez Subnets (Sous-réseaux).

    3. Sélectionnez l’un de vos sous-réseaux publics ( stack-name/SubnetPublic01 ou stack-name/SubnetPublic02, contenant le mot public), puis choisissez Actions, Modifier les paramètres de sous-réseau.

    4. Choisissez la case à cocher Enable auto-assign IPv6 address (Activer l'attribution automatique d'une adresse IPv6), puis choisissez Save (Enregistrer).

    5. Effectuez à nouveau les étapes précédentes pour votre autre sous-réseau public.

Sous-réseaux publics uniquement

Ce VPC comporte trois sous-réseaux publics déployés dans différentes zones de disponibilité d’une région AWS. Tous les nœuds se voient attribuer automatiquement des adresses IPv4 publiques et peuvent envoyer et recevoir du trafic Internet via une passerelle Internet. Un groupe de sécurité est déployé qui refuse tout le trafic entrant et autorise tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge.

  1. Ouvrez la console AWS CloudFormation.

  2. Dans la barre de navigation, sélectionnez une région AWS prenant en charge Amazon EKS.

  3. Choisissez Create stack (Créer une pile), Avec de nouvelles ressources (standard).

  4. Sous Prepare template (Préparer le modèle), assurez-vous que Prepare template (Modèle est prêt) est sélectionné, puis sous Template source (Source du modèle), sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Collez l'URL suivante dans la zone de texte sous URL Amazon S3 et sélectionnez Next (Suivant) :

https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-vpc-sample.yaml

  1. Dans la page Spécifier les détails, entrez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez l’appeler amazon-eks-vpc-sample. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne peut pas dépasser 100 caractères. Le nom doit être unique dans la région AWS et le compte AWS dans lesquels vous créez le cluster.

    • VpcBlock : Choisissez un bloc d'adresse CIDR pour votre VPC. Chaque nœud, pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter d’autres blocs CIDR au VPC après sa création.

    • Subnet01Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 1. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

    • Subnet02Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 2. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

    • Subnet03Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 3. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

  2. (Facultatif) Sur la page Options (Options), étiquetez les ressources de votre pile. Choisissez Next (Suivant).

  3. Sur la page Review (Vérification), choisissez Create (Créer).

  4. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  5. Notez la valeur VpcId du VPC créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  6. Notez la valeur SubnetIds pour les sous-réseaux qui ont été créés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  7. (Facultatif) Tout cluster que vous déployez dans ce VPC peut attribuer des adresses IPv4 privées à vos pods et services. Si vous souhaitez que les clusters déployés dans ce VPC attribuent des adresses IPv6 privées à vos pods et services, vous devrez modifier le VPC, les sous-réseaux, les tables de routage et les groupes de sécurité. Pour de plus amples informations, veuillez consulter la section Migrer les VPC existants d'IPv4 vers IPv6 du Guide de l'utilisateur Amazon VPC. Amazon EKS requiert que l'option Auto-assign d'adresses IPv6 soit activée pour vos sous-réseaux. Cette option est désactivée par défaut.

Sous-réseaux privés uniquement

Ce VPC comporte trois sous-réseaux privés déployés dans différentes zones de disponibilité de la région AWS. Les ressources déployées dans ces sous-réseaux ne peuvent pas accéder à Internet et ne sont pas accessibles depuis Internet. Le modèle crée des points de terminaison d’un VPC à l’aide d’AWS PrivateLink pour plusieurs services AWS auxquels les nœuds doivent généralement accéder. Si vos nœuds ont besoin d'un accès Internet sortant, vous pouvez ajouter une passerelle NAT publique dans la zone de disponibilité de chaque sous-réseau après la création du VPC. Un groupe de sécurité est créé qui refuse tout trafic entrant, à l'exception des ressources déployées dans les sous-réseaux. Un groupe de sécurité autorise également tout le trafic sortant. Les sous-réseaux sont balisés de sorte que Kubernetes puisse y déployer des équilibreurs de charge. Si vous créez un VPC avec cette configuration, consultez Déployer des clusters privés avec un accès Internet limité pour des exigences et des considérations supplémentaires.

  1. Ouvrez la console AWS CloudFormation.

  2. Dans la barre de navigation, sélectionnez une région AWS prenant en charge Amazon EKS.

  3. Choisissez Create stack (Créer une pile), Avec de nouvelles ressources (standard).

  4. Sous Prepare template (Préparer le modèle), assurez-vous que Prepare template (Modèle est prêt) est sélectionné, puis sous Template source (Source du modèle), sélectionnez Amazon S3 URL (URL Amazon S3).

  5. Collez l'URL suivante dans la zone de texte sous URL Amazon S3 et sélectionnez Next (Suivant) :

https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-fully-private-vpc.yaml

  1. Sur la page Spécifier les détails, renseignez les paramètres, puis choisissez Suivant.

    • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation. Par exemple, vous pouvez l’appeler amazon-eks-fully-private-vpc. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne peut pas dépasser 100 caractères. Le nom doit être unique dans la région AWS et le compte AWS dans lesquels vous créez le cluster.

    • VpcBlock : Choisissez un bloc d'adresse CIDR pour votre VPC. Chaque nœud, pod et équilibreur de charge que vous déployez se voit attribuer une adresse IPv4 à partir de ce bloc. Les valeurs IPv4 par défaut fournissent suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez les modifier. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC. Vous pouvez également ajouter d’autres blocs CIDR au VPC après sa création.

    • PrivateSubnet01Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 1. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

    • PrivateSubnet02Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 2. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

    • PrivateSubnet03Block : spécifiez un bloc d'adresse CIDR pour le sous-réseau 3. La valeur par défaut fournit suffisamment d’adresses IP pour la plupart des implémentations, mais si ce n’est pas le cas, vous pouvez la modifier.

  2. (Facultatif) Sur la page Options (Options), étiquetez les ressources de votre pile. Choisissez Next (Suivant).

  3. Sur la page Review (Vérification), choisissez Create (Créer).

  4. Lorsque votre pile est créée, sélectionnez-la dans la console et choisissez Outputs (Sorties).

  5. Notez la valeur VpcId du VPC créé. Vous en avez besoin lors de la création de votre cluster et de vos nœuds.

  6. Notez la valeur SubnetIds pour les sous-réseaux qui ont été créés. Vous en avez besoin d'au moins deux lors de la création de votre cluster et de vos nœuds.

  7. (Facultatif) Tout cluster que vous déployez dans ce VPC peut attribuer des adresses IPv4 privées à vos pods et services. Si vous souhaitez déployer des clusters sur ce VPC pour attribuer des adresses IPv6 privées à vos pods et services, vous devez mettre à jour votre VPC, votre sous-réseau, vos tables de routage et vos groupes de sécurité. Pour de plus amples informations, veuillez consulter la section Migrer les VPC existants d'IPv4 vers IPv6 du Guide de l'utilisateur Amazon VPC. Amazon EKS exige que l’option d’adresses Auto-assign IPv6 soit activée pour vos sous-réseaux (elle est désactivée par défaut).