Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Déployez des clusters privés avec un accès Internet limité

PDF
RSS
Mode de mise au point
Déployez des clusters privés avec un accès Internet limité - Amazon EKS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette rubrique décrit comment déployer un cluster Amazon EKS déployé sur le AWS cloud, mais ne disposant pas d'un accès Internet sortant. Si vous avez un cluster local sur AWS Outposts, consultezCréez des nœuds Amazon Linux sur AWS Outposts, au lieu de cette rubrique.

Si vous n'êtes pas familier avec le réseau Amazon EKS, consultez Démystifier le réseau de clusters pour les nœuds de travail Amazon EKS. Si votre cluster ne dispose pas d'un accès Internet sortant, il doit répondre aux exigences suivantes :

  • Votre cluster doit extraire des images d'un registre de conteneurs qui se trouve dans votre VPC. Vous pouvez créer un registre de conteneurs Amazon Elastic Container Registry dans votre VPC et y copier des images de conteneurs pour que vos nœuds puissent les extraire. Pour de plus amples informations, veuillez consulter Copier une image de conteneur d'un référentiel vers un autre référentiel.

  • Votre cluster doit avoir un accès privé au point de terminaison activé. Ceci est nécessaire pour que les nœuds s'enregistrent auprès du point de terminaison du cluster. L'accès public au point de terminaison est facultatif. Pour de plus amples informations, veuillez consulter Contrôlez l'accès réseau au point de terminaison du serveur API du cluster.

  • Les nœuds Linux et Windows autogérés doivent inclure les arguments bootstrap suivants avant d'être lancés. Ces arguments contournent l'introspection d'Amazon EKS et ne nécessitent pas d'accès à l'API Amazon EKS depuis le VPC.

    1. Déterminez la valeur du point de terminaison de votre cluster à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster.

      aws eks describe-cluster --name my-cluster --query cluster.endpoint --output text

      L'exemple qui suit illustre un résultat.

      https://EXAMPLE108C897D9B2F1B21D5EXAMPLE.sk1.region-code.eks.amazonaws.com

    2. Déterminez la valeur de l'autorité de certification de votre cluster à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster.

      aws eks describe-cluster --name my-cluster --query cluster.certificateAuthority --output text

      La sortie renvoyée est une longue chaîne.

    3. Remplacez cluster-endpoint et certificate-authority dans les commandes suivantes par les valeurs renvoyées dans la sortie des commandes précédentes. Pour plus d'informations sur la spécification des arguments d'amorçage lors du lancement de nœuds autogérés, consultez Créez des nœuds Amazon Linux autogérés et Créez des nœuds Microsoft Windows autogérés.

      • Pour les nœuds Linux :

        --apiserver-endpoint cluster-endpoint --b64-cluster-ca certificate-authority

        Pour des arguments supplémentaires, consultez le script bootstrap sur GitHub.

      • Pour les nœuds Windows :

        Note

        Si vous utilisez un service CIDR personnalisé, vous devez le spécifier à l'aide du -ServiceCIDR paramètre. Dans le cas contraire, la résolution DNS des pods du cluster échouera.

        -APIServerEndpoint cluster-endpoint -Base64ClusterCA certificate-authority

        Pour des arguments supplémentaires, consultez Paramètres de configuration du script d'amorçage.

  • Votre cluster aws-auth ConfigMap doit être créé depuis votre VPC. Pour plus d'informations sur la création et l'ajout d'entrées dans la ConfigMap aws-auth, entrez eksctl create iamidentitymapping --help dans votre terminal. S'il ConfigMap n'existe pas sur votre serveur, il le eksctl créera lorsque vous utiliserez la commande pour ajouter un mappage d'identité.

  • Les pods configurés avec des rôles IAM pour les comptes de service obtiennent des informations d'identification à partir d'un appel d'API du AWS Security Token Service (AWS STS). S'il n'y a pas d'accès Internet sortant, vous devez créer et utiliser un point de terminaison VPC AWS STS dans votre VPC. La plupart AWS v1 SDKs utilisent le point de terminaison AWS STS global par défaut (sts.amazonaws.com), qui n'utilise pas le point de terminaison VPC AWS STS. Pour utiliser le point de terminaison VPC AWS STS, vous devrez peut-être configurer votre SDK pour utiliser le point de terminaison AWS STS régional (). sts.region-code.amazonaws.com Pour de plus amples informations, veuillez consulter Configurer le point de terminaison du service AWS Security Token pour un compte de service.

  • Les sous-réseaux VPC de votre cluster doivent disposer d'un point de terminaison d'interface VPC pour tous les AWS services auxquels vos pods doivent accéder. Pour plus d'informations, consultez Accéder à un AWS service à l'aide d'un point de terminaison VPC d'interface. Certains services et points de terminaison couramment utilisés sont répertoriés dans le tableau suivant. Pour une liste complète des points de terminaison, consultez Services AWS qui s'intègrent à AWS PrivateLink dans le Guide AWS PrivateLink .

    Nous vous recommandons d'activer les noms DNS privés pour vos points de terminaison VPC, afin que les charges de travail puissent continuer à utiliser les points de terminaison de AWS service public sans problème.

    Service Point de terminaison

    Amazon EC2

    com.amazonaws. region-code.ec2

    Amazon Elastic Container Registry (pour extraire des images de conteneurs)

    com.amazonaws. region-code.ecr.api, com.amazonaws. region-code.ecr.dkr et com.amazonaws. region-code.s3

    Équilibreurs de charge Application Load Balancer et Network Load Balancer

    com.amazonaws. region-code. équilibrage de charge élastique

    AWS X-Ray

    com.amazonaws. region-code.xray

    Amazon CloudWatch Logs

    com.amazonaws. region-code.journaux

    AWS Service de jeton de sécurité (obligatoire lors de l'utilisation de rôles IAM pour les comptes de service)

    com.amazonaws. region-code.sts

    Amazon EKS Auth (obligatoire lors de l'utilisation des associations Pod Identity)

    com.amazonaws. region-code.eks-auth

    Amazon EKS

    com.amazonaws. region-code.eks

  • Tous les nœuds autogérés doivent être déployés sur des sous-réseaux qui disposent des points de terminaison de l'interface VPC dont vous avez besoin. Si vous créez un groupe de nœuds gérés, le groupe de sécurité des points de terminaison de l'interface VPC doit autoriser le CIDR pour les sous-réseaux, ou vous devez ajouter le groupe de sécurité des nœuds créé au groupe de sécurité des points de terminaison de l'interface VPC.

  • Si vos pods utilisent des volumes Amazon EFS, avant de déployer le système de fichiers Store an Elastic avec Amazon EFS, le fichier kustomization.yaml du pilote doit être modifié pour que les images du conteneur utilisent la AWS même région que le cluster Amazon EKS.

  • Route53 ne prend pas en charge. AWS PrivateLink Vous ne pouvez pas gérer les enregistrements DNS Route53 à partir d'un cluster Amazon EKS privé. Cela a un impact sur le DNS externe de Kubernetes.

  • Si vous utilisez l'AMI optimisée EKS, vous devez activer le ec2 point de terminaison dans le tableau ci-dessus. Vous pouvez également définir manuellement le nom DNS du nœud. L'AMI optimisée permet EC2 APIs de définir automatiquement le nom DNS du nœud.

  • Vous pouvez utiliser le AWS Load Balancer Controller pour déployer des équilibreurs de charge AWS d'application (ALB) et des équilibreurs de charge réseau sur votre cluster privé. Lors de son déploiement, vous devez utiliser les indicateurs de ligne de commande pour définir enable-shield, enable-waf et enable-wafv2 sur false. La découverte de certificats à l'aide de noms d'hôtes provenant d'objets Ingress n'est pas prise en charge. Cela est dû au fait que le contrôleur doit atteindre AWS Certificate Manager, qui ne possède pas de point de terminaison d'interface VPC.

    Le contrôleur prend en charge les Network Load Balancers avec des cibles IP, qui sont nécessaires pour une utilisation avec Fargate. Pour plus d’informations, consultez Acheminez le trafic d'applications et le trafic HTTP avec des équilibreurs de charge d'application et Créer un équilibreur de charge de réseau.

  • Cluster Autoscaler est pris en charge. Lorsque vous déployez des pods Cluster Autoscaler, assurez-vous que la ligne de commande inclut. --aws-use-static-instance-list=true Pour plus d'informations, consultez la section Utiliser une liste d'instances statiques sur GitHub. Le VPC du nœud de travail doit également inclure le point de terminaison VPC STS et le point de AWS terminaison VPC à mise à l'échelle automatique.

  • Certains logiciels de conteneur utilisent des appels d'API qui accèdent au AWS Marketplace Metering Service pour surveiller l'utilisation. Les clusters privés n'autorisent pas ces appels. Vous ne pouvez donc pas utiliser ces types de conteneurs dans des clusters privés.

Rubrique suivante :

Versions Kubernetes

Rubrique précédente :

Désactiver le support Windows

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.