在 上為 Amazon EKS叢集建立 VPC和 子網路 AWS Outposts - Amazon EKS
VPC 要求和考量子網需求和注意事項子網路對 的存取 AWS 服務建立 VPC

協助改善此頁面

想要為此使用者指南做出貢獻? 捲動至此頁面底部,然後在 上選取編輯此頁面 GitHub。您的貢獻將幫助我們的使用者指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 上為 Amazon EKS叢集建立 VPC和 子網路 AWS Outposts

建立本機叢集時,您可以指定在 Outposts 上執行的 VPC和至少一個私有子網路。本主題提供本機叢集的 VPC和 子網路需求和考量事項的概觀。

VPC 要求和考量

建立本機叢集時,VPC您指定的 必須符合下列需求和考量事項:

  • 請確定 VPC有足夠的 IP 地址,可用於本機叢集、任何節點和其他 Kubernetes 您要建立的資源。如果您要VPC使用的 IP 地址不足,請增加可用 IP 地址的數量。您可以建立其他無類別網域間路由 (CIDR) 區塊與 的關聯,藉此實現此目標VPC。您可以在建立叢集之前VPC或之後,將私有 (RFC 1918) 和公有 (非RFC 1918) CIDR區塊與 建立關聯。您與 相關聯的CIDR區塊可能需要長達 5 小時VPC才能識別叢集。

  • VPC 無法指派 IP 字首或IPv6CIDR區塊。由於這些限制, 為具有前置字元的 Amazon EKS 節點指派更多 IP 地址和 中涵蓋的資訊將IPv6地址指派給叢集,pods、 和服務不適用於您的 VPC。

  • VPC 已啟用DNS主機名稱和DNS解析度。如果沒有這些功能,本機叢集無法建立,您需要啟用這些功能並重新建立叢集。如需詳細資訊,請參閱 Amazon VPC使用者指南中的 DNS 的屬性VPC

  • 若要透過本機網路存取本機叢集, VPC 必須與 Outpost 的本機閘道路由表相關聯。如需詳細資訊,請參閱 AWS Outposts 使用者指南中的VPC關聯

子網需求和注意事項

在建立叢集時,指定至少一個私有子網路。如果您指定多個子網路,則 Kubernetes 控制平面執行個體平均分佈於子網路。如果指定多個子網路,則子網路必須存在於相同的 Outpost 上。此外,子網路還必須具有適當的路由和安全群組許可,才能互相通訊。在建立本機叢集時,您指定的子網路必須符合下列要求:

  • 子網路都位於相同的邏輯 Outpost 上。

  • 子網路總共有至少三個可用於 的 IP 地址 Kubernetes 控制平面執行個體。如果指定三個子網路,每個子網路必須至少有一個可用的 IP 地址。如果指定兩個子網路,每個子網路必須至少有兩個可用的 IP 地址。如果指定一個子網路,該子網路必須至少有三個可用的 IP 地址。

  • 子網路具有通往 Outpost 機架本機閘道的路由,以存取 Kubernetes API 本機網路的伺服器。如果子網路沒有通往 Outpost 機架本機閘道的路由,您必須與您的 通訊 Kubernetes API 伺服器VPC。

  • 子網必須使用 IP 地址型命名。Amazon 不支援 Amazon EC2 資源型命名EKS。 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-naming.html#instance-naming-rbn

子網路對 的存取 AWS 服務

Outposts 上的本機叢集私有子網路必須能與區域性 AWS 服務通訊。您可以使用NAT閘道進行傳出網際網路存取來達成此目標,或者,如果您想要使用VPC介面VPC端點 來保持 內所有流量的私密性。

使用NAT閘道

本機叢集在 Outposts 上的私有子網路必須具有關聯的路由表,該路由表具有通往 Outpost 父可用區域中公有子網路中NAT閘道的路由。公有子網路必須擁有到網際網路閘道的路由。NAT 閘道會啟用傳出網際網路存取,並防止主動從網際網路到 Outpost 上執行個體的傳入連線。

使用介面VPC端點

如果本機叢集在 Outposts 上的私有子網路沒有傳出網際網路連線,或者如果您想要在 中保持所有流量的私密性VPC,則必須在建立叢集之前,在區域子網路中建立下列介面VPC端點和閘道端點

端點 端點類型
com.amazonaws.region-code.ssm 介面
com.amazonaws.region-code.ssmmessages 介面
com.amazonaws.region-code.ec2messages 介面
com.amazonaws.region-code.ec2 介面
com.amazonaws.region-code.secretsmanager 介面
com.amazonaws.region-code.logs 介面
com.amazonaws.region-code.sts 介面
com.amazonaws.region-code.ecr.api 介面
com.amazonaws.region-code.ecr.dkr 介面
com.amazonaws.region-code.s3 閘道

端點必須符合下列需求:

  • 在位於 Outpost 父可用區域的私有子網路中建立

  • 啟用私有DNS名稱

  • 具有連接的安全群組,允許來自私有前哨子子網路CIDR範圍的傳入HTTPS流量。

建立端點會產生費用。如需詳細資訊,請參閱 AWS PrivateLink 定價。如果您的 Pods 需要存取其他 AWS 服務,然後您需要建立其他端點。如需端點的完整清單,請參閱 AWS 服務 與 整合 AWS PrivateLink

建立 VPC

您可以使用下列其中一個 AWS CloudFormation 範本VPC,建立符合先前需求的 :

  • 範本 1 – 此範本會在 Outpost 上VPC建立具有一個私有子網路的 ,並在 中建立一個公有子網路 AWS 區域。私有子網路具有透過位於 公有子網路中的NAT閘道路由至網際網路 AWS 區域。此範本可用於在具有輸出網際網路存取權的子網路中建立本機叢集。

  • 範本 2 – 此範本在 Outpost 上建立VPC具有一個私有子網路的 ,以及在子網路中建立本機叢集所需的最低VPC端點集,該子網路沒有傳入或傳出網際網路存取權 (也稱為私有子網路)。