**Ajudar a melhorar esta página**
Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.
# Criar um VPC e sub-redes para clusters do Amazon EKS em AWS Outposts
Ao criar um cluster local, você especifica uma VPC e pelo menos uma sub-rede privada que é executada no Outposts. Este tópico fornece uma visão geral dos requisitos e considerações sobre a VPC e as sub-redes para o cluster local.
## Requisitos e considerações para VPCs
Quando você cria um cluster local, a VPC especificada deve atender aos requisitos e considerações a seguir:
+ Certifique-se de que a VPC tenha endereços IP suficientes para o cluster local, para todos os nós e para outros recursos do Kubernetes que você queira criar. Se a VPC que você deseja usar não tiver endereços IP suficientes, tente aumentar a quantidade de endereços IP disponíveis. É possível fazer isso [associando blocos de Encaminhamento Entre Domínios Sem Classificação (CIDR)](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#add-ipv4-cidr) com sua VPC. É possível associar blocos CIDR privados (RFC 1918) e públicos (não RFC 1918) à VPC antes ou depois de criar o cluster. Um cluster pode levar até cinco horas para reconhecer um bloco CIDR que você associou a uma VPC.
+ A VPV não pode ter prefixos IP ou blocos CIDR IPv6 atribuídos. Devido a essas restrições, as informações abordadas em [Atribuir mais endereços IP aos nós do Amazon EKS com prefixos](cni-increase-ip-addresses.md) e [Saiba mais sobre endereços IPv6 para clusters, pods e serviços](cni-ipv6.md) não se aplicam à sua VPC.
+ A VPC tem um nome de host DNS e a resolução de DNS habilitados. Sem esses recursos, haverá falha na criação do cluster e será necessário habilitar os recursos e recriar o cluster. Para mais informações, consulte [Atributos de DNS para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html), no Guia do usuário da Amazon VPC.
+ Para acessar o cluster local pela rede local, a VPC deve estar associada à tabela de rotas do gateway local do Outpost. Para obter mais informações, consulte [Associações de VPC](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html#vpc-associations) no Guia do Usuário do AWS Outposts.
## Requisitos e considerações para sub-redes
Quando você criar o cluster, especifique pelo menos uma sub-rede privada. Se você especificar mais de uma sub-rede, as instâncias do ambiente de gerenciamento do Kubernetes serão distribuídas uniformemente pelas sub-redes. Se mais de uma sub-rede for especificada, as sub-redes deverão estar no mesmo Outpost. Além disso, as sub-redes também devem ter rotas adequadas e permissões de grupo de segurança para se comunicarem entre si. As sub-redes que você especificar ao criar um cluster local devem atender aos requisitos a seguir:
+ As sub-redes devem estar todas no mesmo Outpost lógico.
+ Juntas, as sub-redes devem ter pelo menos três endereços IP disponíveis para as instâncias do ambiente de gerenciamento do Kubernetes. Se três sub-redes forem especificadas, cada uma delas deverá ter pelo menos um endereço IP disponível. Se duas sub-redes forem especificadas, cada uma delas deverá ter pelo menos dois endereços IP disponíveis. Se uma sub-rede for especificada, ela deverá ter pelo menos três endereços IP disponíveis.
+ As sub-redes têm uma rota para o [gateway local](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html) do rack do Outpost para acessar o servidor de API do Kubernetes pela rede local. Se as sub-redes não tiverem uma rota para o gateway local do rack do Outpost, você deverá se comunicar com o servidor de API do Kubernetes de dentro da VPC.
+ As sub-redes devem utilizar uma nomenclatura baseada em endereço IP. A [nomenclatura baseada em recursos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-naming.html#instance-naming-rbn) do Amazon EC2 não é compatível com o Amazon EKS.
## Acesso à sub-rede a serviços da AWS
As sub-redes privadas do cluster local nos postos avançados devem ser capazes de se comunicar com os serviços regionais do AWS. É possível conseguir isso ao usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) para acesso de saída à Internet ou, caso deseje manter todo o tráfego privado em sua VPC, ao usar [endpoints da VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
### Como usar um gateway NAT
As sub-redes privadas do cluster local no Outposts devem ter uma tabela de rotas associada que tenha uma rota para um gateway NAT em uma sub-rede pública que esteja na zona de disponibilidade principal do Outpost. A sub-rede pública deve ter uma rota para um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html). O gateway NAT permite acesso de saída à Internet e impede conexões de entrada não solicitadas da Internet para instâncias no Outpost.
### Usar VPC endpoints da interface do
Se as sub-redes privadas do cluster local no Outposts não tiverem uma conexão de saída com a Internet ou se você desejar manter todo o tráfego privado em sua VPC, crie os endpoints da VPC de interface e o [endpoint do gateway](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) a seguir em uma sub-rede regional antes de criar seu cluster.
| Endpoint | Tipo de endpoint |
| --- | --- |
| `com.amazonaws.{{region-code}}.ssm` | Interface |
| `com.amazonaws.{{region-code}}.ssmmessages` | Interface |
| `com.amazonaws.{{region-code}}.ec2messages` | Interface |
| `com.amazonaws.{{region-code}}.ec2` | Interface |
| `com.amazonaws.{{region-code}}.secretsmanager` | Interface |
| `com.amazonaws.{{region-code}}.logs` | Interface |
| `com.amazonaws.{{region-code}}.sts` | Interface |
| `com.amazonaws.{{region-code}}.ecr.api` | Interface |
| `com.amazonaws.{{region-code}}.ecr.dkr` | Interface |
| `com.amazonaws.{{region-code}}.s3` | Gateway |
Os endpoints devem atender aos seguintes requisitos:
+ Ter sido criado em uma sub-rede privada localizada na zona de disponibilidade principal do Outpost.
+ Ter nomes DNS privados habilitados.
+ Ter um grupo de segurança anexado que permita o tráfego HTTPS de entrada do intervalo CIDR da sub-rede privada do Outpost.
A criação de endpoints gera cobranças. Para obter mais informações, consulte [Preços do AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/). Se o pod precisar de acesso a outros serviços da AWS, será necessário criar endpoints adicionais. Para obter uma lista abrangente de endpoints, consulte [AWS services that integrate with AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Crie uma VPC
Você pode criar uma VPC que atenda aos requisitos anteriores usando um dos seguintes modelos do AWS CloudFormation:
+ **[Modelo 1](https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-09-20/amazon-eks-local-outposts-vpc-subnet.yaml)**: esse modelo cria uma VPC com uma sub-rede privada no Outpost e uma sub-rede pública na região da AWS. A sub-rede privada tem uma rota para a Internet por meio de um gateway NAT que reside na sub-rede pública na região AWS. Esse modelo pode ser usado para criar um cluster local em uma sub-rede com acesso de egresso à Internet.
+ **[Modelo 2](https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2023-03-20/amazon-eks-local-outposts-fully-private-vpc-subnet.yaml)**: esse modelo cria uma VPC com uma sub-rede privada no Outpost e o conjunto mínimo de endpoints de VPC necessários para criar um cluster local em uma sub-rede que não tenha acesso à Internet de entrada ou saída (também chamada de sub-rede privada).