Créer un VPC et des sous-réseaux pour les clusters Amazon EKS sur AWS Outposts - Amazon EKS
Exigences et considérations requises pour le VPCExigences et considérations requises pour les sous-réseauxAccès au sous-réseau pour les services AWSCréation d'un VPC

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Créer un VPC et des sous-réseaux pour les clusters Amazon EKS sur AWS Outposts

Lorsque vous créez un cluster local, vous spécifiez un VPC et au moins un sous-réseau privé qui fonctionne sur les Outposts. Cette rubrique fournit une vue d'ensemble des exigences et considérations spécifiques au VPC et aux sous-réseaux pour votre cluster local.

Exigences et considérations requises pour le VPC

Lorsque vous créez un cluster local, le VPC que vous spécifiez doit répondre aux exigences et aux considérations suivantes :

  • Assurez-vous que le VPC dispose d’un nombre suffisant d’adresses IP pour le cluster local, tous les nœuds et les autres ressources Kubernetes que vous souhaitez créer. Si le VPC que vous souhaitez utiliser ne dispose pas de suffisamment d’adresses IP, augmentez le nombre d’adresses IP disponibles. Vous pouvez effectuer cette opération en associant des blocs d'adresse CIDR (Routage inter-domaines sans classe) supplémentaires avec votre VPC. Vous pouvez associer des blocs d'adresses CIDR privés (RFC 1918) et publics (non-RFC 1918) à votre VPC avant ou après la création de votre cluster. Un cluster peut prendre jusqu'à 5 heures avant qu'un bloc d'adresse CIDR associé à un VPC ne soit reconnu.

  • Le VPC ne peut pas avoir de préfixes IP ou de blocs d’adresses CIDR IPv6 attribués. En raison de ces contraintes, les informations fournies dans Attribuer davantage d’adresses IP aux nœuds Amazon EKS avec des préfixes et Informations sur les adresses IPv6 pour les clusters, pods et services ne s’appliquent pas à votre VPC.

  • Le VPC possède un nom d'hôte DNS et une résolution DNS activés. Sans ces fonctions, la création du cluster local échoue, et vous devez activer les fonctions et recréer votre cluster. Pour plus d'informations, consultez Attributs DNS pour votre VPC dans le guide de l'utilisateur d'Amazon VPC.

  • Pour accéder à votre cluster local via votre réseau local, le VPC doit être associé à la table de routage de la passerelle locale de votre Outpost. Pour plus d’informations, consultez Associations de VPC dans le Guide de l’utilisateur AWS Outposts.

Exigences et considérations requises pour les sous-réseaux

Lorsque vous créez le cluster, spécifiez au moins un sous-réseau privé. Si vous spécifiez plusieurs sous-réseaux, les instances du plan de contrôle Kubernetes sont réparties uniformément à travers les sous-réseaux. Si plus d'un sous-réseau est spécifié, les sous-réseaux doivent exister sur le même Outpost. En outre, les sous-réseaux doivent également disposer d'un acheminement et d'autorisations de groupe de sécurité appropriés pour communiquer entre eux. Lorsque vous créez un cluster local, les sous-réseaux que vous spécifiez doivent répondre aux exigences suivantes :

  • Les sous-réseaux doivent se trouver sur le même Outpost logique.

  • Les sous-réseaux doivent disposer ensemble d’au moins trois adresses IP disponibles pour les instances du plan de contrôle Kubernetes. Si trois sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins une adresse IP disponible. Si deux sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins deux adresses IP disponibles. Si un sous-réseau est spécifié, le sous-réseau doit avoir au moins trois adresses IP disponibles.

  • Les sous-réseaux disposent d’une route vers la passerelle locale du rack Outpost pour accéder au serveur API Kubernetes via votre réseau local. Si les sous-réseaux ne disposent pas d’une route vers la passerelle locale du rack Outpost, vous devez communiquer avec votre serveur API Kubernetes depuis l’intérieur du VPC.

  • Les sous-réseaux doivent utiliser une dénomination basée sur une adresse IP. La dénomination basée sur la ressource Amazon EC2 n’est pas prise en charge par Amazon EKS.

Accès au sous-réseau pour les services AWS

Les sous-réseaux privés du cluster local sur Outposts doivent pouvoir communiquer avec les services AWS régionaux. Vous pouvez y parvenir en utilisant une passerelle NAT pour l'accès Internet sortant ou, si vous voulez préserver la confidentialité de tout le trafic au sein de votre VPC, en utilisant des points de terminaison d'un VPC d'interface.

Utiliser une passerelle NAT

Les sous-réseaux privés du cluster local sur Outposts doivent inclure une table de routage associée contenant un acheminement vers une passerelle NAT dans un sous-réseau public qui est dans la zone de disponibilité parente de l’Outpost. Le sous-réseau public doit disposer d'un acheminement vers une passerelle Internet. La passerelle NAT permet l'accès à Internet sortant et empêche les connexions entrantes non sollicitées depuis Internet vers les instances de l'Outpost.

Utilisation des points de terminaison de VPC d'interface

Si les sous-réseaux privés du cluster local sur Outposts n’ont pas d’accès Internet sortant ou si vous voulez préserver la confidentialité de tout le trafic au sein de votre VPC, vous devez créer les points de terminaison d’un VPC d’interface et le point de terminaison de passerelle suivants dans un sous-réseau régional avant de créer votre cluster.

Point de terminaison Type de point de terminaison

com.amazonaws.region-code.ssm

utilisateur

com.amazonaws.region-code.ssmmessages

utilisateur

com.amazonaws.region-code.ec2messages

utilisateur

com.amazonaws.region-code.ec2

utilisateur

com.amazonaws.region-code.secretsmanager

utilisateur

com.amazonaws.region-code.logs

utilisateur

com.amazonaws.region-code.sts

utilisateur

com.amazonaws.region-code.ecr.api

utilisateur

com.amazonaws.region-code.ecr.dkr

utilisateur

com.amazonaws.region-code.s3

Passerelle

Les points de terminaison doivent répondre aux critères suivants :

  • Créé dans un sous-réseau privé situé dans la zone de disponibilité parent de votre Outpost

  • Noms DNS privés activés

  • Avoir un groupe de sécurité attaché qui autorise le trafic HTTPS entrant à partir de la plage CIDR du sous-réseau privé d'Outpost.

La création de points de terminaison entraîne des frais. Pour plus d'informations, veuillez consulter Tarification AWS PrivateLink. Si vos Pods ont besoin d’accéder à d’autres services AWS, vous devez créer des points de terminaison supplémentaires. Pour obtenir la liste complète des points de terminaison, consultez les services AWS qui s’intègrent à AWS PrivateLink.

Création d'un VPC

Vous pouvez créer un VPC qui répond aux exigences précédentes à l’aide de l’un des modèles AWS CloudFormation suivants :

  • Modèle 1  : le modèle crée un VPC avec un sous-réseau privé sur l’Outpost et un sous-réseau public dans la région AWS. Le sous-réseau privé dispose d’une route vers Internet via une passerelle NAT qui réside dans le sous-réseau public de la région AWS. Ce modèle peut être utilisé pour créer un cluster local dans un sous-réseau avec un accès Internet de sortie.

  • Modèle 2 : ce modèle crée un VPC avec un sous-réseau privé sur l’Outpost et l’ensemble minimal de points de terminaison d’un VPC requis pour créer un cluster local dans un sous-réseau qui ne dispose pas d’accès Internet entrant ou sortant (également appelé sous-réseau privé).