Crea sottoreti VPC e sottoreti per i cluster Amazon su EKS AWS Outposts - Amazon EKS
VPCrequisiti e considerazioniConsiderazioni e requisiti relativi alle sottoretiAccesso tramite sottorete a Servizi AWSCrea un VPC

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea sottoreti VPC e sottoreti per i cluster Amazon su EKS AWS Outposts

Quando si crea un cluster locale, si specifica una sottorete privata VPC e almeno una sottorete da eseguire su Outposts. Questo argomento fornisce una panoramica dei requisiti e delle considerazioni relative alle sottoreti VPC e alle sottoreti per il cluster locale.

VPCrequisiti e considerazioni

Quando si crea un cluster locale, il VPC cluster specificato deve soddisfare i requisiti e le considerazioni seguenti:

  • Assicurati che VPC disponga di indirizzi IP sufficienti per il cluster locale, tutti i nodi e Kubernetes le altre risorse che desideri creare. Se quello VPC che desideri utilizzare non dispone di indirizzi IP sufficienti, aumenta il numero di indirizzi IP disponibili. Puoi farlo associando ulteriori blocchi Classless Inter-Domain Routing () CIDR al tuo. VPC È possibile associare CIDR blocchi privati (RFC1918) e pubblici (non RFC 1918) al proprio sistema prima VPC o dopo la creazione del cluster. Un cluster può impiegare fino a 5 ore prima che un CIDR blocco a cui hai associato VPC venga riconosciuto.

  • Non VPC possono avere prefissi o IPv6 CIDR blocchi IP assegnati. A causa di questi vincoli, le informazioni incluse in Assegna più indirizzi IP ai EKS nodi Amazon con prefissi e Assegna IPv6 indirizzi a cluster e pods servizi non sono applicabili alle tue. VPC

  • VPCHa un DNS nome host e DNS una risoluzione abilitati. Senza queste funzionalità la creazione del cluster locale ha esito negativo, quindi dovrai abilitare le funzionalità e creare nuovamente il cluster. Per ulteriori informazioni, consulta DNSgli attributi per te VPC nella Amazon VPC User Guide.

  • Per accedere al cluster locale tramite la rete locale, è VPC necessario associarlo alla tabella di routing del gateway locale di Outpost. Per ulteriori informazioni, consulta VPCle associazioni nella Guida per l' AWS Outposts utente.

Considerazioni e requisiti relativi alle sottoreti

Durante la creazione del cluster, è necessario specificare almeno una sottorete privata. Se si specificano più sottoreti, le istanze del piano di controllo (control-plane) Kubernetes sono distribuite uniformemente tra le sottoreti. Se viene specificata più di una sottorete, le sottoreti devono essere presenti sullo stesso Outpost. Tuttavia, per comunicare tra loro le sottoreti devono avere gli instradamenti corretti e le autorizzazioni del gruppo di sicurezza. Quando crei un cluster locale, le sottoreti specificate devono soddisfare i requisiti seguenti:

  • Le sottoreti si trovano tutte sullo stesso Outpost logico.

  • Le sottoreti devono avere complessivamente almeno tre indirizzi IP disponibili per le istanze del piano di controllo Kubernetes. Se sono specificate tre sottoreti, ogni sottorete deve avere almeno un indirizzo IP disponibile. Se sono specificate due sottoreti, ogni sottorete deve avere almeno due indirizzi IP disponibili. Se è specificata una sottorete, la sottorete deve avere almeno tre indirizzi IP disponibili.

  • Le sottoreti dispongono di un percorso verso il gateway locale del rack Outpost per accedere al Kubernetes API server tramite la rete locale. Se le sottoreti non dispongono di un percorso verso il gateway locale del rack Outpost, è necessario comunicare con il server dall'interno di. Kubernetes API VPC

  • Le sottoreti devono utilizzare la denominazione basata sull'indirizzo IP. La denominazione EC2 basata sulle risorse di Amazon non è supportata da Amazon. EKS

Accesso tramite sottorete a Servizi AWS

Le sottoreti private del cluster locale su Outposts devono essere in grado di comunicare con i Servizi AWS regionali. È possibile raggiungere questo obiettivo utilizzando un NATgateway per l'accesso a Internet in uscita o, se si desidera mantenere privato tutto il traffico internoVPC, utilizzando gli endpoint di interfaccia VPC.

Utilizzo di un gateway NAT

Le sottoreti private del cluster locale su Outposts devono avere una tabella di routing associata con una route verso un NAT gateway in una sottorete pubblica che si trova nella zona di disponibilità principale di Outpost. La sottorete pubblica deve disporre di una route a un gateway Internet. Il NAT gateway consente l'accesso a Internet in uscita e impedisce connessioni in entrata non richieste da Internet alle istanze di Outpost.

VPCUtilizzo degli endpoint dell'interfaccia

Se le sottoreti private del cluster locale su Outposts non dispongono di una connessione Internet in uscita o se desideri mantenere privato tutto il traffico all'interno del tuoVPC, devi creare i seguenti endpoint di interfaccia ed VPC endpoint gateway in una sottorete regionale prima di creare il cluster.

Endpoint Tipo di endpoint
com.amazonaws.region-code.ssm Interfaccia
com.amazonaws.region-code.ssmmessages Interfaccia
com.amazonaws.region-code.ec2messages Interfaccia
com.amazonaws.region-code.ec2 Interfaccia
com.amazonaws.region-code.secretsmanager Interfaccia
com.amazonaws.region-code.logs Interfaccia
com.amazonaws.region-code.sts Interfaccia
com.amazonaws.region-code.ecr.api Interfaccia
com.amazonaws.region-code.ecr.dkr Interfaccia
com.amazonaws.region-code.s3 Gateway

Gli endpoint devono soddisfare i seguenti requisiti:

  • Creato in una sottorete privata situata nella zona di disponibilità principale dell'Outpost

  • Attiva i nomi privati DNS

  • Disponi di un gruppo di sicurezza collegato che consenta il HTTPS traffico in entrata dall'CIDRintervallo della sottorete privata Outpost.

La creazione di endpoint comporta dei costi. Per ulteriori informazioni, consulta Prezzi di AWS PrivateLink. Se hai Pods bisogno di accedere ad altri Servizi AWS, devi creare endpoint aggiuntivi. Per un elenco completo degli endpoint, consulta Servizi AWS That integra con. AWS PrivateLink

Crea un VPC

È possibile creare un VPC file che soddisfi i requisiti precedenti utilizzando uno dei seguenti AWS CloudFormation modelli:

  • Modello 1: questo modello crea una VPC sottorete privata in Outpost e una sottorete pubblica in. Regione AWS La sottorete privata ha un percorso verso Internet tramite un NAT gateway che risiede nella sottorete pubblica di. Regione AWS Questo modello può essere utilizzato per creare un cluster locale in una sottorete con accesso a Internet in uscita.

  • Modello 2: questo modello crea una VPC sottorete privata in Outpost e il set minimo di VPC endpoint necessari per creare un cluster locale in una sottorete che non dispone di accesso a Internet in ingresso o in uscita (denominata anche sottorete privata).