Creazione di VPC e sottoreti per i cluster Amazon EKS su AWS Outposts - Amazon EKS
Considerazioni e requisiti relativi al VPCConsiderazioni e requisiti relativi alle sottoretiAccesso della sottorete ai servizi AWSCrea un VPC

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Creazione di VPC e sottoreti per i cluster Amazon EKS su AWS Outposts

Durante la creazione di un cluster locale, in genere si specificano un VPC e almeno una sottorete privata in esecuzione su Outposts. Questo argomento offre una panoramica dei requisiti e delle considerazioni relativi al VPC e alle sottoreti utilizzate con il cluster locale.

Considerazioni e requisiti relativi al VPC

Durante la creazione di un cluster locale, il VPC specificato deve soddisfare i requisiti e le considerazioni seguenti:

  • Assicurarsi che il VPC disponga di un numero sufficiente di indirizzi IP per il cluster locale, i nodi e le altre risorse Kubernetes da creare. Se il VPC da utilizzare non dispone di un numero sufficiente di indirizzi IP, aumentane il numero. Tale operazione può essere effettuata associando i blocchi di instradamento interdominio senza classi (CIDR) secondari al VPC. L'associazione di blocchi di CIDR privati (RFC 1918) e pubblici (non RFC 1918) può avvenire prima o dopo la creazione del cluster. Il riconoscimento del blocco CIDR associato a un VPC da parte del cluster può richiedere fino a cinque ore.

  • Il VPC non può avere prefissi IP o intervalli CIDR IPv6 assegnati. A causa di queste limitazioni, le informazioni riportate alla pagina Assign more IP addresses to Amazon EKS nodes with prefixes e Informazioni sugli indirizzi IPv6 per cluster, pod e servizi non sono applicabili al VPC.

  • Il VPC ha un nome host DNS e una risoluzione DNS abilitati. Senza queste funzionalità la creazione del cluster locale ha esito negativo, quindi dovrai abilitare le funzionalità e creare nuovamente il cluster. Per ulteriori informazioni, consulta Attributi DNS nel VPC nella Guida per l'utente di Amazon VPC.

  • Per accedere al cluster locale tramite la rete locale, il VPC deve essere associato alla tabella di instradamento del gateway locale dell'Outpost. Per ulteriori informazioni, consultare la pagina VPC associations della Guida per l’utente di AWS Outposts.

Considerazioni e requisiti relativi alle sottoreti

Durante la creazione del cluster, è necessario specificare almeno una sottorete privata. Se si specificano più sottoreti, le istanze del piano di controllo (control-plane) Kubernetes sono distribuite uniformemente tra le sottoreti. Se viene specificata più di una sottorete, le sottoreti devono essere presenti sullo stesso Outpost. Tuttavia, per comunicare tra loro le sottoreti devono avere gli instradamenti corretti e le autorizzazioni del gruppo di sicurezza. Quando crei un cluster locale, le sottoreti specificate devono soddisfare i requisiti seguenti:

  • Le sottoreti si trovano tutte sullo stesso Outpost logico.

  • Le sottoreti devono avere complessivamente almeno tre indirizzi IP disponibili per le istanze del piano di controllo (control-plane) Kubernetes. Se sono specificate tre sottoreti, ogni sottorete deve avere almeno un indirizzo IP disponibile. Se sono specificate due sottoreti, ogni sottorete deve avere almeno due indirizzi IP disponibili. Se è specificata una sottorete, la sottorete deve avere almeno tre indirizzi IP disponibili.

  • Le sottoreti hanno un istradamento al gateway locale del rack dell’Outpost per accedere al server API Kubernetes sulla rete locale. Se le sottoreti non dispongono di un instradamento per il gateway locale del rack dell’Outpost, è necessario comunicare con il server API Kubernetes dall’interno del VPC.

  • Le sottoreti devono utilizzare la denominazione basata sull'indirizzo IP. La denominazione basata sulle risorse di Amazon EC2 non è supportata da Amazon EKS.

Accesso della sottorete ai servizi AWS

Le sottoreti private del cluster locale su Outposts devono essere in grado di comunicare con i servizi AWS Regionali. Ciò è possibile utilizzando un gateway NAT per l'accesso a Internet in uscita o, se si desidera mantenere privato tutto il traffico all'interno del VPC, tramite gli endpoint VPC di interfaccia.

Utilizzo di un gateway NAT

Le sottoreti private del cluster locale su Outposts devono avere una tabella di routing associata con un instradamento a un gateway NAT in una sottorete pubblica che si trova nella zona di disponibilità parent dell’Outpost. La sottorete pubblica deve disporre di una route a un gateway Internet. Il gateway NAT consente l'accesso a Internet in uscita e impedisce le connessioni in entrata non richieste da Internet alle istanze sull'Outpost.

Utilizzo di endpoint VPC dell'interfaccia

Se le sottoreti private del cluster locale su Outposts non dispongono di una connessione Internet in uscita o se si desidera mantenere tutto il traffico privato all’interno del VPC, è necessario creare i seguenti endpoint VPC ed endpoint gateway in una sottorete Regionale prima di creare il cluster.

Endpoint Endpoint type (Tipo di endpoint)

com.amazonaws.region-code.ssm

Interfaccia

com.amazonaws.region-code.ssmmessages

Interfaccia

com.amazonaws.region-code.ec2messages

Interfaccia

com.amazonaws.region-code.ec2

Interfaccia

com.amazonaws.region-code.secretsmanager

Interfaccia

com.amazonaws.region-code.logs

Interfaccia

com.amazonaws.region-code.sts

Interfaccia

com.amazonaws.region-code.ecr.api

Interfaccia

com.amazonaws.region-code.ecr.dkr

Interfaccia

com.amazonaws.region-code.s3

Gateway

Gli endpoint devono soddisfare i seguenti requisiti:

  • Creato in una sottorete privata situata nella zona di disponibilità parent dell’Outpost

  • Abilitazione dei nomi DNS privati

  • Disponi di un gruppo di sicurezza collegato che consente il traffico HTTPS in ingresso dall'intervallo CIDR della sottorete privata dell'Outpost.

La creazione di endpoint comporta dei costi. Per ulteriori informazioni, consulta Prezzi di AWS PrivateLink. Se i pod hanno bisogno di accedere ad altri servizi AWS, sarà necessario creare degli endpoint aggiuntivi. Per un elenco completo degli endpoint, consultare la pagina AWS services that integrate with AWS PrivateLink.

Crea un VPC

È possibile creare un VPC che soddisfi i requisiti precedenti utilizzando uno dei seguenti modelli AWS CloudFormation:

  • Modello 1: questo modello crea un VPC con una sottorete privata nell’Outpost e una sottorete pubblica nella Regione AWS. La sottorete privata ha un instradamento verso Internet tramite un gateway NAT che si trova nella sottorete pubblica nella Regione AWS. Questo modello può essere utilizzato per creare un cluster locale in una sottorete con accesso a Internet in uscita.

  • Modello 2: questo modello crea un VPC con una sottorete privata sull’Outpost e il set minimo di endpoint VPC necessari per creare un cluster locale in una sottorete che non dispone di accesso a Internet in ingresso o in uscita (nota anche come sottorete privata).