Erstellen Sie eine VPC und Subnetze für Amazon EKS-Cluster auf Outposts AWS - Amazon EKS
VPC-Anforderungen und -ÜberlegungenSubnetz-Anforderungen und -ÜberlegungenSubnetzzugriff auf Dienste AWSErstellen einer VPC

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine VPC und Subnetze für Amazon EKS-Cluster auf Outposts AWS

Wenn Sie einen lokalen Cluster erstellen, geben Sie eine VPC und mindestens ein privates Subnetz an, das auf Outposts ausgeführt wird. Dieses Thema bietet einen Überblick über die VPC- und Subnetzanforderungen und -überlegungen für Ihren lokalen Cluster.

VPC-Anforderungen und -Überlegungen

Wenn Sie einen lokalen Cluster erstellen, muss die von Ihnen angegebene VPC die folgenden Anforderungen und Überlegungen erfüllen:

  • Stellen Sie sicher, dass die VPC über genügend IP-Adressen für den lokalen Cluster, alle Knoten und andere verfügt Kubernetes Ressourcen, die Sie erstellen möchten. Wenn die VPC, die Sie verwenden möchten, nicht über genügend IP-Adressen verfügt, erhöhen Sie die Anzahl der verfügbaren IP-Adressen. Das ist möglich, indem Sie zusätzliche CIDR-Blöcke (Classless Inter-Domain Routing) mit Ihrer VPC verbinden. Sie können entweder vor oder nach der Erstellung Ihres Clusters private (RFC 1918) und öffentliche (nicht RFC 1918) CIDR-Blöcke mit Ihrer VPC verbinden. Es kann bis zu 5 Stunden dauern, bis ein CIDR-Block, den Sie einem VPC zugeordnet haben, von einem Cluster erkannt wird.

  • Der VPC kann keine IP-Präfixe oder IPv6 CIDR-Blöcke zugewiesen haben. Aufgrund dieser Einschränkungen gelten die Informationen, die unter Zuweisen von mehr IP-Adressen zu Amazon EKS-Knoten mit Präfixen behandelt werden, Erfahren Sie mehr über IPv6 Adressen für Cluster, Pods, und Dienste nicht für Ihre VPC.

  • Die VPC verfügt über einen DNS-Hostnamen und die DNS-Auflösung ist aktiviert. Ohne diese Funktionen kann der lokale Cluster nicht erstellt werden, und Sie müssen die Funktionen aktivieren und Ihren Cluster neu erstellen. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

  • Um über Ihr lokales Netzwerk auf Ihren lokalen Cluster zuzugreifen, muss die VPC mit der lokalen Gateway-Routing-Tabelle Ihres Outpost verknüpft sein. Weitere Informationen finden Sie unter VPC-Verknüpfungen im AWS Outposts-Benutzerhandbuch.

Subnetz-Anforderungen und -Überlegungen

Geben Sie beim Erstellen des Clusters mindestens ein privates Subnetz an. Wenn Sie mehr als ein Subnetz angeben, Kubernetes Instanzen der Kontrollebene sind gleichmäßig über die Subnetze verteilt. Wenn mehr als ein Subnetz angegeben wird, müssen die Subnetze auf demselben Outpost vorhanden sein. Darüber hinaus müssen die Subnetze auch über die richtigen Routen und Sicherheitsgruppen-Berechtigungen verfügen, um miteinander kommunizieren zu können. Wenn Sie einen lokalen Cluster erstellen, müssen die von Ihnen angegebenen Subnetze die folgenden Anforderungen erfüllen:

  • Die Subnetze befinden sich alle auf demselben logischen Outpost.

  • Die Subnetze haben zusammen mindestens drei verfügbare IP-Adressen für Kubernetes Instanzen der Kontrollebene. Wenn drei Subnetze angegeben werden, muss jedes Subnetz über mindestens eine verfügbare IP-Adresse verfügen. Wenn zwei Subnetze angegeben werden, muss jedes Subnetz über mindestens zwei verfügbare IP-Adressen verfügen. Wenn ein Subnetz angegeben wird, muss das Subnetz über mindestens drei verfügbare IP-Adressen verfügen.

  • Die Subnetze haben eine Route zum lokalen Gateway des Outpost-Racks für den Zugriff auf Kubernetes API-Server über Ihr lokales Netzwerk. Wenn die Subnetze keine Route zum lokalen Gateway des Outpost-Racks haben, müssen Sie mit Ihrem Kubernetes API-Server innerhalb der VPC.

  • Die Subnetze müssen eine IP-Adressen-basierte Benennung aufweisen. Die EC2 ressourcenbasierte Benennung von Amazon wird von Amazon EKS nicht unterstützt.

Subnetzzugriff auf Dienste AWS

Die privaten Subnetze des lokalen Clusters auf Outposts müssen in der Lage sein, mit regionalen AWS Diensten zu kommunizieren. Dazu können Sie ein NAT-Gateway für den ausgehenden Internetzugang verwenden oder, wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, Schnittstellen-VPC-Endpunkte verwenden.

Verwenden eines NAT-Gateways

Den privaten Subnetzen des lokalen Clusters auf Outposts muss eine Routing-Tabelle zugeordnet sein, die eine Route zu einem NAT-Gateway in einem öffentlichen Subnetz enthält, das sich in der übergeordneten Availability Zone des Outposts befindet. Das öffentliche Subnetz muss über eine Route zu einem Internet-Gateway verfügen. Das NAT-Gateway ermöglicht einen ausgehenden Zugriff auf das Internet und verhindert unerwünschte eingehende Verbindungen aus dem Internet zu Instances im Outpost.

Verwendung von -Schnittstellen-VPC-Endpunkten

Wenn die privaten Subnetze des lokalen Clusters auf Outposts keine ausgehende Internetverbindung haben oder wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, müssen Sie die folgenden Schnittstellen-VPC-Endpunkte und den Gateway-Endpunkt in einem regionalen Subnetz erstellen, bevor Sie Ihren Cluster erstellen.

Endpunkt Endpunkttyp

com.amazonaws.region-code.ssm

Schnittstelle

com.amazonaws.region-code.ssmmessages

Schnittstelle

com.amazonaws.region-code.ec2messages

Schnittstelle

com.amazonaws.region-code.ec2

Schnittstelle

com.amazonaws.region-code.secretsmanager

Schnittstelle

com.amazonaws.region-code.logs

Schnittstelle

com.amazonaws.region-code.sts

Schnittstelle

com.amazonaws.region-code.ecr.api

Schnittstelle

com.amazonaws.region-code.ecr.dkr

Schnittstelle

com.amazonaws.region-code.s3

Gateway

Die Endpunkte müssen die folgenden Anforderungen erfüllen:

  • Wird in einem privaten Subnetz erstellt, das sich in der übergeordneten Availability Zone Ihres Outposts befindet

  • Private DNS-Namen müssen aktiviert sein.

  • Sie müssen über eine angefügte Sicherheitsgruppe verfügen, die eingehenden HTTPS-Datenverkehr aus dem CIDR-Bereich des privaten Outpost-Subnetzes zulässt.

Für die Erstellung von Endpunkten fallen Gebühren an. Weitere Informationen finden Sie unter AWS PrivateLink Preise. Wenn Ihre Pods Sie benötigen Zugriff auf andere AWS Dienste, dann müssen Sie zusätzliche Endpunkte einrichten. Eine umfassende Liste der Endpunkte finden Sie unter AWS Dienste, die sich integrieren mit. AWS PrivateLink

Erstellen einer VPC

Sie können eine VPC erstellen, die die vorherigen Anforderungen erfüllt, indem Sie eine der folgenden AWS CloudFormation Vorlagen verwenden:

  • Vorlage 1 — Diese Vorlage erstellt eine VPC mit einem privaten Subnetz im Outpost und einem öffentlichen Subnetz in der Region. AWS Das private Subnetz hat eine Route zu einem Internet über ein NAT-Gateway, das sich im öffentlichen Subnetz der Region befindet. AWS Diese Vorlage kann verwendet werden, um einen lokalen Cluster in einem Subnetz mit ausgehendem Internetzugriff zu erstellen.

  • Vorlage 2 — Diese Vorlage erstellt eine VPC mit einem privaten Subnetz auf dem Outpost und der Mindestanzahl an VPC-Endpunkten, die erforderlich sind, um einen lokalen Cluster in einem Subnetz zu erstellen, das keinen Eingangs- oder Ausgangs-Internetzugang hat (auch als privates Subnetz bezeichnet).