在上為 Amazon EKS 集群創建一個VPC和子網 AWS Outposts - Amazon EKS
VPC需求和考量子網需求和注意事項子網路存取 AWS 服務創建一個 VPC

協助改善此頁面

想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在上為 Amazon EKS 集群創建一個VPC和子網 AWS Outposts

建立本機叢集時,您必須指定至少一個在 Outposts 上執行的私有子網路。VPC本主題提供本機叢集的VPC和子網路需求和考量事項的概觀。

VPC需求和考量

當您建立本機叢集時,您指定的叢集必須符合下列需求和考量:VPC

  • 請確定VPC具有足夠的 IP 位址供本機叢集、任何節點及您要建立的其他Kubernetes資源使用。如果您VPC要使用的 IP 位址不足,請增加可用 IP 位址的數量。您可以通過將其他無類域間路由(CIDR)塊與. VPC 您可以在建立叢集之前或之後,將私有 (RFCRFC1918) 和公用 (非 1918) CIDR 區塊關聯到您VPC的區塊。叢集最多可能需要 5 小時才能辨識您與 a 關聯VPC的CIDR區塊。

  • 無VPC法指派 IP 前置字元或IPv6CIDR封鎖。由於這些限制,所涵蓋的為具有前置字元的 Amazon EKS 節點指派更多 IP 地址資訊將IPv6位址指派給叢集和服務 pods不適用於您的VPC.

  • VPC已啟用DNS主機名稱和DNS解析。如果沒有這些功能,本機叢集無法建立,您需要啟用這些功能並重新建立叢集。如需詳細資訊,請參閱 Amazon VPC 使用者指南VPC中的DNS屬性

  • 若要透過區域網路存取本機叢集,VPC必須與 Outpost 的本機閘道路由表相關聯。若要取得更多資訊,請參閱《 AWS Outposts 使用指南》中的VPC關聯

子網需求和注意事項

在建立叢集時,指定至少一個私有子網路。如果您指定多個子網路,Kubernetes 控制平面執行個體會平均分佈在子網路上。如果指定多個子網路,則子網路必須存在於相同的 Outpost 上。此外,子網路還必須具有適當的路由和安全群組許可,才能互相通訊。在建立本機叢集時,您指定的子網路必須符合下列要求:

  • 子網路都位於相同的邏輯 Outpost 上。

  • 這些子網路一起至少有三個可用於 Kubernetes 控制平面執行個體的 IP 地址。如果指定三個子網路,每個子網路必須至少有一個可用的 IP 地址。如果指定兩個子網路,每個子網路必須至少有兩個可用的 IP 地址。如果指定一個子網路,該子網路必須至少有三個可用的 IP 地址。

  • 子網路具有前往 Outpost 機架本機閘道的路由,以便透過區域網路存取KubernetesAPI伺服器。如果子網路沒有前往 Outpost 機架本機閘道的路由,您必須從中與KubernetesAPI伺服器通訊。VPC

  • 子網必須使用 IP 地址型命名。Amazon 不支援以 Amazon EC2 資源為基礎的命名。EKS

子網路存取 AWS 服務

Outposts 上的本機叢集私有子網路必須能與區域性 AWS 服務通訊。您可以使用輸出網際網路存取的NAT閘道來達成此目標,或者,如果您想要使用介面VPC端點將所有流量保持私密VPC,則可以達成此目標。

使用NAT閘道

Outposts 上的本機叢集私有子網路必須具有相關聯的路由表,該表具有通往位於 Outpost 父可用區域中公用子網路中NAT閘道的路由。公有子網路必須擁有到網際網路閘道的路由。NAT閘道可啟用對外網際網路存取,並防止來自網際網路連至 Outpost 上執行個體的來路不明的輸入連線。

使用介面VPC端點

如果 Outposts 上的本機叢集的私人子網路沒有輸出網際網路連線,或者想要將所有流量保持在您的內部私有VPC,則必須在區域子網路中建立下列介面VPC端點和閘道端點,然後才能建立叢集。

端點 端點類型
com.amazonaws.region-code.ssm 介面
com.amazonaws.region-code.ssmmessages 介面
com.amazonaws.region-code.ec2messages 介面
com.amazonaws.region-code.ec2 介面
com.amazonaws.region-code.secretsmanager 介面
com.amazonaws.region-code.logs 介面
com.amazonaws.region-code.sts 介面
com.amazonaws.region-code.ecr.api 介面
com.amazonaws.region-code.ecr.dkr 介面
com.amazonaws.region-code.s3 閘道

端點必須符合下列需求:

  • 在位於 Outpost 父可用區域的私有子網路中建立

  • 啟用私人DNS名稱

  • 擁有一個附加的安全性群組,該群組允許來自私有前哨子網路CIDR範圍的輸入HTTPS流量。

建立端點會產生費用。如需詳細資訊,請參閱 AWS PrivateLink 定價。如果您Pods需要訪問其他端點 AWS 服務,則需要創建其他端點。如需完整的端點清單 AWS 服務 ,請參閱與 AWS PrivateLink.

創建一個 VPC

您可以使用下列VPC其中一個 AWS CloudFormation 範本來建立符合先前需求的:

  • 範本 1 — 此範本會在 Outpost 上建立一個私VPC有子網路,並在中建立一個公用子網路。 AWS 區域私有子網路具有透過位於中公用子網路中的NAT閘道連至網際網路的路由 AWS 區域。此範本可用於在具有輸出網際網路存取權的子網路中建立本機叢集。

  • 範本 2 — 此範本會在 Outpost 上建立VPC具有一個私有子網路,以及在沒有輸入或輸出網際網路存取權 (也稱為私人子網路) 的子網路中建立本機叢集所需的最小VPC端點集。