**Aidez à améliorer cette page** 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activer l’accès Internet sortant pour les Pods
<a name="external-snat"></a>

 **S’applique à** : nœuds Linux `IPv4` Fargate, nœuds Linux avec instances Amazon EC2

Si vous avez déployé votre cluster à l’aide de la famille `IPv6`, les informations de cette rubrique ne s’appliquent pas à votre cluster, car les adresses `IPv6` ne sont pas traduites en réseau. Pour plus d'informations sur l'utilisation des adresses `IPv6` avec votre cluster, veuillez consulter [En savoir plus sur IPv6 les adresses des clusters, des pods et des services](cni-ipv6.md).

Par défaut, chaque pod de votre cluster se voit attribuer une adresse `IPv4` [privée](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-private-addresses) provenant d’un bloc CIDR (Classless Inter-Domain Routing) associé au VPC dans lequel le pod est déployé. Les pods du même VPC communiquent ensemble via l’adresse IP privée. Lorsqu’un pod communique avec une adresse `IPv4` qui ne se trouve pas dans un bloc CIDR associé à votre VPC, le plug-in Amazon VPC CNI (pour [Linux](https://github.com/aws/amazon-vpc-cni-k8s#amazon-vpc-cni-k8s) ou [Windows](https://github.com/aws/amazon-vpc-cni-plugins/tree/master/plugins/vpc-bridge)) traduit l’adresse `IPv4` du pod en adresse `IPv4` privée principale de [l’interface réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-basics) principale du nœud sur lequel le pod est exécuté, par défaut [\$1](#snat-exception).

**Note**  
Pour les nœuds Windows, il y a des détails supplémentaires à prendre en compte. Par défaut, le [plug-in CNI VPC pour Windows](https://github.com/aws/amazon-vpc-cni-plugins/tree/master/plugins/vpc-bridge) est défini avec une configuration réseau dans laquelle le trafic vers une destination au sein du même VPC est exclu pour la SNAT. Cela signifie que la SNAT est désactivée pour la communication interne du VPC et que l’adresse IP attribuée à un pod est acheminable au sein du VPC. Mais le trafic vers une destination en dehors du VPC a l’adresse IP source du pod SNAT vers l’adresse IP principale de l’ENI de l’instance. Cette configuration par défaut pour Windows garantit que le pod peut accéder à des réseaux extérieurs à votre VPC de la même manière que l’instance hôte.

Compte tenu de ce comportement :
+ Vos pods ne peuvent communiquer avec des ressources Internet que si le nœud sur lequel ils s’exécutent dispose d’une adresse IP [publique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) ou [Elastic](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) qui lui est attribuée et se trouve dans un [sous-réseau public](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-basics). Une [table de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) associée d’un sous-réseau public comporte une route vers une passerelle Internet. Nous recommandons de déployer les nœuds dans des sous-réseaux privés, dans la mesure du possible.
+ [Pour les versions du plugin antérieures`1.8.0`, les ressources qui se trouvent dans des réseaux ou VPCs qui sont connectées à votre VPC de cluster via le [peering VPC, un VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) de transit ou Direct [AWS Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) ne peuvent pas établir de communication avec vos Pods via des interfaces réseau élastiques secondaires.](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/transit-vpc-option.html) Cependant, vos pods peuvent initier une communication avec ces ressources et recevoir des réponses de leur part.

Si l'une des affirmations suivantes est vraie dans votre environnement, modifiez la configuration par défaut à l'aide de la commande suivante.
+ [Vous disposez de ressources situées dans des réseaux ou VPCs connectées à votre VPC de cluster via le [peering VPC, un VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) de transit ou Direct [AWS Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) qui doivent établir une communication avec vos pods à l'aide d'une `IPv4` adresse et la version de votre plugin est antérieure à.](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/transit-vpc-option.html) `1.8.0`
+ Vos pods se trouvent dans un [sous-réseau privé](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-basics) et doivent communiquer en sortie vers Internet. Le sous-réseau dispose d'une route vers une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).

```
kubectl set env daemonset -n kube-system aws-node AWS_VPC_K8S_CNI_EXTERNALSNAT=true
```

**Note**  
Les variables de configuration `AWS_VPC_K8S_CNI_EXTERNALSNAT` et `AWS_VPC_K8S_CNI_EXCLUDE_SNAT_CIDRS` CNI ne s’appliquent pas aux nœuds Windows. La désactivation de la SNAT n’est pas prise en charge pour Windows. Quant à l'exclusion d'une liste `IPv4` CIDRs de du SNAT, vous pouvez la définir en spécifiant le `ExcludedSnatCIDRs` paramètre dans le script de démarrage Windows. Pour plus d'informations sur ce paramètre, veuillez consulter la rubrique [Paramètres de configuration du script d'amorçage](eks-optimized-windows-ami.md#bootstrap-script-configuration-parameters).

## Mise en réseau de l’hôte
<a name="snat-exception"></a>

\$1 Si les spécifications d’un pod contiennent `hostNetwork=true` (la valeur par défaut est `false`), son adresse IP n’est pas traduite en une autre adresse. C’est le cas, par défaut, du plug-in `kube-proxy` et Amazon VPC CNI pour les pods Kubernetes qui s’exécutent sur votre cluster. Pour ces pods, l’adresse IP est la même que l’adresse IP principale du nœud, donc l’adresse IP du pod n’est pas traduite. Pour plus d'informations sur les `hostNetwork` paramètres d'un pod, consultez la section [PodSpec v1 core](https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.35/#podspec-v1-core) dans la référence de l'API Kubernetes.