VPCAnforderungen und Überlegungen Subnetz-Anforderungen und -Überlegungen Subnetzzugriff auf AWS-Services Erstellen Sie ein VPC

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie ein VPC und Subnetze für EKS Amazon-Cluster auf AWS Outposts

Wenn Sie einen lokalen Cluster erstellen, geben Sie ein VPC und mindestens ein privates Subnetz an, das auf Outposts läuft. Dieses Thema bietet einen Überblick über die Anforderungen VPC und Aspekte der Subnetze für Ihren lokalen Cluster.

VPCAnforderungen und Überlegungen

Wenn Sie einen lokalen Cluster erstellen, muss der VPC von Ihnen angegebene Cluster die folgenden Anforderungen und Überlegungen erfüllen:

Stellen Sie sicher, dass der VPC über genügend IP-Adressen für den lokalen Cluster, alle Knoten und andere verfügt Kubernetes Ressourcen, die Sie erstellen möchten. Wenn VPC die, die Sie verwenden möchten, nicht über genügend IP-Adressen verfügt, erhöhen Sie die Anzahl der verfügbaren IP-Adressen. Sie können dies tun, indem Sie Ihrem zusätzliche Classless Inter-Domain Routing (CIDR) -Blöcke zuordnen. VPC Sie können Ihren VPC entweder vor oder nach der Erstellung Ihres Clusters private (RFCRFC1918) und öffentliche CIDR Blöcke (nicht 1918) zuordnen. Es kann bis zu 5 Stunden dauern, bis ein CIDR Block, den Sie einem Cluster zugeordnet habenVPC, erkannt wird.
Ihnen VPC können keine IP-Präfixe oder IPv6 CIDR Blöcke zugewiesen worden sein. Aufgrund dieser Einschränkungen gelten die Informationen, die in Ihrem Dokument behandelt werden Weisen Sie EKS Amazon-Knoten mehr IP-Adressen mit Präfixen zu und Ordnen Sie Clustern IPv6 Adressen zu, pods, und Dienste nicht für Sie VPC gelten.
Der VPC hat einen DNS Hostnamen und eine aktivierte DNS Auflösung. Ohne diese Funktionen kann der lokale Cluster nicht erstellt werden, und Sie müssen die Funktionen aktivieren und Ihren Cluster neu erstellen. Weitere Informationen finden Sie unter DNSAttribute für Sie VPC im VPC Amazon-Benutzerhandbuch.
Um über Ihr lokales Netzwerk auf Ihren lokalen Cluster zugreifen zu können, VPC muss er mit der lokalen Gateway-Routentabelle Ihres Outposts verknüpft sein. Weitere Informationen finden Sie unter VPCVerknüpfungen im AWS Outposts Benutzerhandbuch.

Subnetz-Anforderungen und -Überlegungen

Geben Sie beim Erstellen des Clusters mindestens ein privates Subnetz an. Wenn Sie mehr als ein Subnetz angeben, Kubernetes Instanzen der Kontrollebene sind gleichmäßig über die Subnetze verteilt. Wenn mehr als ein Subnetz angegeben wird, müssen die Subnetze auf demselben Outpost vorhanden sein. Darüber hinaus müssen die Subnetze auch über die richtigen Routen und Sicherheitsgruppen-Berechtigungen verfügen, um miteinander kommunizieren zu können. Wenn Sie einen lokalen Cluster erstellen, müssen die von Ihnen angegebenen Subnetze die folgenden Anforderungen erfüllen:

Die Subnetze befinden sich alle auf demselben logischen Outpost.
Die Subnetze haben zusammen mindestens drei verfügbare IP-Adressen für Kubernetes Instanzen der Kontrollebene. Wenn drei Subnetze angegeben werden, muss jedes Subnetz über mindestens eine verfügbare IP-Adresse verfügen. Wenn zwei Subnetze angegeben werden, muss jedes Subnetz über mindestens zwei verfügbare IP-Adressen verfügen. Wenn ein Subnetz angegeben wird, muss das Subnetz über mindestens drei verfügbare IP-Adressen verfügen.
Die Subnetze haben eine Route zum lokalen Gateway des Outpost-Racks für den Zugriff auf Kubernetes APIServer über Ihr lokales Netzwerk. Wenn die Subnetze keine Route zum lokalen Gateway des Outpost-Racks haben, müssen Sie mit Ihrem Kubernetes APIServer aus dem. VPC
Die Subnetze müssen eine IP-Adressen-basierte Benennung aufweisen. Die EC2 ressourcenbasierte Benennung von Amazon wird von Amazon nicht unterstützt. EKS

Subnetzzugriff auf AWS-Services

Die privaten Subnetze des lokalen Clusters in Outposts müssen mit regionalen AWS-Services-Services kommunizieren können. Sie können dies erreichen, indem Sie ein NATGateway für den ausgehenden Internetzugang verwenden oder, wenn Sie den gesamten Datenverkehr innerhalb Ihres Unternehmens geheim halten möchtenVPC, VPCSchnittstellenendpunkte verwenden.

Verwenden eines Gateways NAT

Den privaten Subnetzen des lokalen Clusters auf Outposts muss eine Routing-Tabelle zugeordnet sein, die eine Route zu einem NAT Gateway in einem öffentlichen Subnetz enthält, das sich in der übergeordneten Availability Zone des Outposts befindet. Das öffentliche Subnetz muss über eine Route zu einem Internet-Gateway verfügen. Das NAT Gateway ermöglicht den ausgehenden Internetzugang und verhindert unerwünschte eingehende Verbindungen aus dem Internet zu Instances auf dem Outpost.

VPCVerwenden von Schnittstellen-Endpunkten

Wenn die privaten Subnetze des lokalen Clusters auf Outposts keine ausgehende Internetverbindung haben oder wenn Sie den gesamten Datenverkehr innerhalb Ihres Clusters privat halten möchten, müssen Sie die folgenden VPC Schnittstellenendpunkte und den Gateway-Endpunkt in einem regionalen Subnetz erstellenVPC, bevor Sie Ihren Cluster erstellen.

Endpunkt	Endpunkttyp
`com.amazonaws.region-code.ssm`	Schnittstelle
`com.amazonaws.region-code.ssmmessages`	Schnittstelle
`com.amazonaws.region-code.ec2messages`	Schnittstelle
`com.amazonaws.region-code.ec2`	Schnittstelle
`com.amazonaws.region-code.secretsmanager`	Schnittstelle
`com.amazonaws.region-code.logs`	Schnittstelle
`com.amazonaws.region-code.sts`	Schnittstelle
`com.amazonaws.region-code.ecr.api`	Schnittstelle
`com.amazonaws.region-code.ecr.dkr`	Schnittstelle
`com.amazonaws.region-code.s3`	Gateway

Die Endpunkte müssen die folgenden Anforderungen erfüllen:

Sie müssen in einem privaten Subnetz erstellt werden, das sich in der übergeordneten Availability Zone Ihres Outposts befindet.
Haben Sie private Namen aktiviert DNS
Verfügen Sie über eine angefügte Sicherheitsgruppe, die eingehenden HTTPS Datenverkehr aus dem CIDR Bereich des privaten Außenpost-Subnetzes zulässt.

Für die Erstellung von Endpunkten fallen Gebühren an. Weitere Informationen finden Sie unter AWS PrivateLink Preise. Wenn Ihre Pods Sie benötigen Zugriff auf andere AWS-Services, dann müssen Sie zusätzliche Endpunkte erstellen. Eine umfassende Liste der Endpunkte finden Sie unter AWS-Services „Integrieren mit“. AWS PrivateLink

Erstellen Sie ein VPC

Sie können eine erstellenVPC, die die vorherigen Anforderungen erfüllt, indem Sie eine der folgenden AWS CloudFormation Vorlagen verwenden:

Vorlage 1 — Diese Vorlage erstellt eine VPC mit einem privaten Subnetz im Outpost und einem öffentlichen Subnetz im. AWS-Region Das private Subnetz hat eine Route zu einem Internet über ein NAT Gateway, das sich im öffentlichen Subnetz in der befindet. AWS-Region Diese Vorlage kann verwendet werden, um einen lokalen Cluster in einem Subnetz mit ausgehendem Internetzugriff zu erstellen.
Vorlage 2 — Diese Vorlage erstellt ein VPC mit einem privaten Subnetz auf dem Outpost und der Mindestanzahl an VPC Endpunkten, die erforderlich sind, um einen lokalen Cluster in einem Subnetz zu erstellen, das keinen Ein- oder Ausgangsinternetzugang hat (auch als privates Subnetz bezeichnet).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erfahren Sie mehr über Kubernetes Plattformversionen

Bereiten Sie sich auf Netzwerkunterbrechungen vor