Buat VPC dan subnet untuk EKS cluster Amazon di Outposts AWS - Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat VPC dan subnet untuk EKS cluster Amazon di Outposts AWS

Saat Anda membuat cluster lokal, Anda menentukan VPC dan setidaknya satu subnet pribadi yang berjalan di Outposts. Topik ini memberikan gambaran umum tentang persyaratan VPC dan pertimbangan subnet untuk klaster lokal Anda.

VPCpersyaratan dan pertimbangan

Saat Anda membuat cluster lokal, VPC yang Anda tentukan harus memenuhi persyaratan dan pertimbangan berikut:

  • Pastikan bahwa VPC memiliki alamat IP yang cukup untuk cluster lokal, node apa pun, dan lainnya Kubernetes sumber daya yang ingin Anda buat. Jika VPC yang ingin Anda gunakan tidak memiliki cukup alamat IP, tingkatkan jumlah alamat IP yang tersedia. Anda dapat melakukan ini dengan mengaitkan blok Classless Inter-Domain Routing () CIDR tambahan dengan blok Anda. VPC Anda dapat mengaitkan blok pribadi (RFC1918) dan publik (RFCnon-1918) ke CIDR blok Anda sebelum VPC atau setelah Anda membuat cluster Anda. Diperlukan waktu cluster hingga 5 jam agar CIDR blok yang Anda kaitkan VPC dengan a dikenali.

  • Tidak VPC dapat menetapkan awalan atau IPv6 CIDR blok IP. Karena kendala ini, informasi yang tercakup dalam Menetapkan lebih banyak alamat IP ke EKS node Amazon dengan awalan dan Pelajari tentang IPv6 alamat ke cluster, pods, dan layanan tidak berlaku untuk Anda. VPC

  • Ini VPC memiliki DNS nama host dan DNS resolusi yang diaktifkan. Tanpa fitur ini, cluster lokal gagal dibuat, dan Anda perlu mengaktifkan fitur dan membuat ulang cluster Anda. Untuk informasi selengkapnya, lihat DNSatribut untuk Anda VPC di Panduan VPC Pengguna Amazon.

  • Untuk mengakses kluster lokal Anda melalui jaringan lokal Anda, VPC harus dikaitkan dengan tabel rute gateway lokal Outpost Anda. Untuk informasi selengkapnya, lihat VPCasosiasi di Panduan Pengguna AWS Outposts.

Persyaratan dan pertimbangan subnet

Saat Anda membuat cluster, tentukan setidaknya satu subnet pribadi. Jika Anda menentukan lebih dari satu subnet, Kubernetes instance bidang kontrol didistribusikan secara merata di seluruh subnet. Jika lebih dari satu subnet ditentukan, subnet harus ada di Outpost yang sama. Selain itu, subnet juga harus memiliki rute yang tepat dan izin grup keamanan untuk berkomunikasi satu sama lain. Saat Anda membuat cluster lokal, subnet yang Anda tentukan harus memenuhi persyaratan berikut:

  • Subnet semuanya berada di Outpost logis yang sama.

  • Subnet bersama-sama memiliki setidaknya tiga alamat IP yang tersedia untuk Kubernetes contoh bidang kontrol. Jika tiga subnet ditentukan, setiap subnet harus memiliki setidaknya satu alamat IP yang tersedia. Jika dua subnet ditentukan, setiap subnet harus memiliki setidaknya dua alamat IP yang tersedia. Jika satu subnet ditentukan, subnet harus memiliki setidaknya tiga alamat IP yang tersedia.

  • Subnet memiliki rute ke gerbang lokal rak Outpost untuk mengakses Kubernetes APIserver melalui jaringan lokal Anda. Jika subnet tidak memiliki rute ke gerbang lokal rak Outpost, Anda harus berkomunikasi dengan Anda Kubernetes APIserver dari dalamVPC.

  • Subnet harus menggunakan penamaan berbasis alamat IP. EC2Penamaan berbasis sumber daya Amazon tidak didukung oleh Amazon. EKS

Akses subnet ke layanan AWS

Subnet pribadi cluster lokal di Outposts harus dapat berkomunikasi dengan AWS layanan Regional. Anda dapat mencapai ini dengan menggunakan NATgateway untuk akses internet keluar atau, jika Anda ingin menjaga semua lalu lintas pribadi di dalam AndaVPC, menggunakan titik VPCakhir antarmuka.

Menggunakan NAT gateway

Subnet pribadi cluster lokal di Outposts harus memiliki tabel rute terkait yang memiliki rute ke gateway di subnet publik NAT yang berada di Zona Ketersediaan induk Outpost. Subnet publik harus memiliki rute ke gateway internet. NATGateway memungkinkan akses internet keluar dan mencegah koneksi masuk yang tidak diminta dari internet ke instance di Outpost.

Menggunakan titik VPC akhir antarmuka

Jika subnet pribadi cluster lokal di Outposts tidak memiliki koneksi internet keluar, atau jika Anda ingin menjaga semua lalu lintas pribadi di dalam Anda, maka VPC Anda harus membuat titik akhir VPC antarmuka dan titik akhir gateway berikut di subnet Regional sebelum membuat cluster Anda.

Titik Akhir Jenis titik akhir

com.amazonaws.region-code.ssm

Antarmuka

com.amazonaws.region-code.ssmmessages

Antarmuka

com.amazonaws.region-code.ec2messages

Antarmuka

com.amazonaws.region-code.ec2

Antarmuka

com.amazonaws.region-code.secretsmanager

Antarmuka

com.amazonaws.region-code.logs

Antarmuka

com.amazonaws.region-code.sts

Antarmuka

com.amazonaws.region-code.ecr.api

Antarmuka

com.amazonaws.region-code.ecr.dkr

Antarmuka

com.amazonaws.region-code.s3

Gateway

Titik akhir harus memenuhi persyaratan berikut:

  • Dibuat di subnet pribadi yang terletak di Availability Zone induk Outpost Anda

  • Memiliki DNS nama pribadi diaktifkan

  • Memiliki grup keamanan terlampir yang memungkinkan HTTPS lalu lintas masuk dari CIDR jangkauan subnet pos terdepan pribadi.

Membuat titik akhir menimbulkan biaya. Untuk informasi lebih lanjut, lihat AWS PrivateLink harga. Jika Pods perlu akses ke AWS layanan lain, maka Anda perlu membuat titik akhir tambahan. Untuk daftar lengkap titik akhir, lihat AWS layanan yang terintegrasi dengan AWS PrivateLink.

Buat VPC

Anda dapat membuat VPC yang memenuhi persyaratan sebelumnya menggunakan salah satu AWS CloudFormation templat berikut:

  • Template 1 - Template ini membuat VPC dengan satu subnet pribadi di Outpost dan satu subnet publik di Wilayah. AWS Subnet pribadi memiliki rute ke internet melalui NAT Gateway yang berada di subnet publik di Wilayah tersebut. AWS Template ini dapat digunakan untuk membuat cluster lokal di subnet dengan akses internet keluar.

  • Template 2 — Template ini membuat subnet VPC dengan satu pribadi di Outpost dan set minimum VPC Endpoints yang diperlukan untuk membuat cluster lokal di subnet yang tidak memiliki akses internet ingress atau egress (juga disebut sebagai subnet pribadi).