Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Criar uma VPC e sub-redes para clusters do Amazon EKS no AWS Outposts
Ao criar um cluster local, você especifica uma VPC e pelo menos uma sub-rede privada que é executada no Outposts. Este tópico fornece uma visão geral dos requisitos e considerações sobre a VPC e as sub-redes para o cluster local.
Requisitos e considerações para VPCs
Quando você cria um cluster local, a VPC especificada deve atender aos requisitos e considerações a seguir:
-
Certifique-se de que a VPC tenha endereços IP suficientes para o cluster local, para todos os nós e para outros recursos do Kubernetes que você queira criar. Se a VPC que você deseja usar não tiver endereços IP suficientes, tente aumentar a quantidade de endereços IP disponíveis. É possível fazer isso associando blocos de Encaminhamento Entre Domínios Sem Classificação (CIDR) com sua VPC. É possível associar blocos CIDR privados (RFC 1918) e públicos (não RFC 1918) à VPC antes ou depois de criar o cluster. Um cluster pode levar até cinco horas para reconhecer um bloco CIDR que você associou a uma VPC.
-
A VPV não pode ter prefixos IP ou blocos CIDR IPv6 atribuídos. Por causa dessas restrições, as informações que são abordadas em Atribuir mais endereços IP aos nós do Amazon EKS com prefixos eAtribuir endereços IPv6 a clusters, pods e serviços não são aplicáveis à VPC.
-
A VPC tem um nome de host DNS e a resolução de DNS habilitados. Sem esses recursos, haverá falha na criação do cluster e será necessário habilitar os recursos e recriar o cluster. Para mais informações, consulte Atributos de DNS para sua VPC, no Guia do usuário da Amazon VPC.
-
Para acessar o cluster local pela sua rede local, a VPC deve estar associada à tabela de rotas do gateway local do Outpost. Para obter mais informações, consulte Associações de VPC no Guia do usuário do AWS Outposts.
Requisitos e considerações para sub-redes
Quando você criar o cluster, especifique pelo menos uma sub-rede privada. Se você especificar mais de uma sub-rede, o ambiente de gerenciamento das instâncias do Kubernetes serão distribuídas uniformemente pelas sub-redes. Se mais de uma sub-rede for especificada, as sub-redes deverão estar no mesmo Outpost. Além disso, as sub-redes também devem ter rotas adequadas e permissões de grupo de segurança para se comunicarem entre si. As sub-redes que você especificar ao criar um cluster local devem atender aos requisitos a seguir:
-
As sub-redes devem estar todas no mesmo Outpost lógico.
-
Juntas as sub-redes devem ter pelo menos três endereços IP disponíveis para as instâncias do ambiente de gerenciamento do Kubernetes. Se três sub-redes forem especificadas, cada uma delas deverá ter pelo menos um endereço IP disponível. Se duas sub-redes forem especificadas, cada uma delas deverá ter pelo menos dois endereços IP disponíveis. Se uma sub-rede for especificada, ela deverá ter pelo menos três endereços IP disponíveis.
-
As sub-redes têm uma roda para o gateway local do rack do Outpost para acessar o servidor de API do Kubernetes pela rede local. Se as sub-redes não tiverem uma rota para o gateway local do rack do Outpost, você deverá se comunicar com o servidor de API do Kubernetes de dentro da VPC.
-
As sub-redes devem utilizar uma nomenclatura baseada em endereço IP. A nomenclatura baseada em recursos do Amazon EC2 não é compatível com o Amazon EKS.
Acesso à sub-rede para Serviços da AWS
As sub-redes privadas do cluster local no Outposts devem ser capazes de se comunicar com os Serviços da AWS regionais. É possível conseguir isso ao usar um gateway NAT para acesso de saída à Internet ou, caso deseje manter todo o tráfego privado em sua VPC, ao usar endpoints da VPC de interface.
Como usar um gateway NAT
As sub-redes privadas do cluster local no Outposts devem ter uma tabela de rotas associada que tenha uma rota para um gateway NAT em uma sub-rede pública que esteja na zona de disponibilidade principal do Outpost. A sub-rede pública deve ter uma rota para um gateway da Internet. O gateway NAT permite acesso de saída à Internet e impede conexões de entrada não solicitadas da Internet para instâncias no Outpost.
Usar VPC endpoints da interface do
Se as sub-redes privadas do cluster local no Outposts não tiverem uma conexão de saída com a Internet ou se você desejar manter todo o tráfego privado em sua VPC, crie os endpoints da VPC de interface e o endpoint do gateway a seguir em uma sub-rede regional antes de criar seu cluster.
| Endpoint | Tipo de endpoint |
|---|---|
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Interface |
com.amazonaws. |
Gateway |
Os endpoints devem atender aos seguintes requisitos:
-
Ter sido criado em uma sub-rede privada localizada na zona de disponibilidade principal do Outpost.
-
Ter nomes DNS privados habilitados.
-
Ter um grupo de segurança anexado que permita o tráfego HTTPS de entrada do intervalo CIDR da sub-rede privada do Outpost.
A criação de endpoints gera cobranças. Para obter mais informações, consulte Preços do AWS PrivateLink
Crie uma VPC
Você pode criar uma VPC que atenda aos requisitos anteriores usando um dos seguintes modelos de AWS CloudFormation:
-
Modelo 1
: esse modelo cria uma VPC com uma sub-rede privada no Outpost e uma sub-rede pública na Região da AWS. A sub-rede privada tem uma rota para a Internet passando por um gateway NAT que reside na sub-rede pública da Região da AWS. Esse modelo pode ser usado para criar um cluster local em uma sub-rede com acesso de egresso à Internet. -
Modelo 2
: esse modelo cria uma VPC com uma sub-rede privada no Outpost e com o conjunto mínimo de endpoints da VPC necessário para criar um cluster local em uma sub-rede que não tem acesso de ingresso e egresso à Internet (também chamada de sub-rede privada).
