**Aidez à améliorer cette page** 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un VPC et de sous-réseaux pour les clusters Amazon EKS sur Outposts AWS
<a name="eks-outposts-vpc-subnet-requirements"></a>

Lorsque vous créez un cluster local, vous spécifiez un VPC et au moins un sous-réseau privé qui fonctionne sur les Outposts. Cette rubrique fournit une vue d'ensemble des exigences et considérations spécifiques au VPC et aux sous-réseaux pour votre cluster local.

## Exigences et considérations requises pour le VPC
<a name="outposts-vpc-requirements"></a>

Lorsque vous créez un cluster local, le VPC que vous spécifiez doit répondre aux exigences et aux considérations suivantes :
+ Assurez-vous que le VPC dispose d’un nombre suffisant d’adresses IP pour le cluster local, tous les nœuds et les autres ressources Kubernetes que vous souhaitez créer. Si le VPC que vous souhaitez utiliser ne dispose pas de suffisamment d’adresses IP, augmentez le nombre d’adresses IP disponibles. Vous pouvez le faire en [associant des blocs de Inter-Domain routage sans classe (CIDR) supplémentaires](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#add-ipv4-cidr) à votre VPC. Vous pouvez associer des blocs d'adresses CIDR privés (RFC 1918) et publics (non-RFC 1918) à votre VPC avant ou après la création de votre cluster. Un cluster peut prendre jusqu'à 5 heures avant qu'un bloc d'adresse CIDR associé à un VPC ne soit reconnu.
+ Le VPC ne peut pas avoir de préfixes IP ou de blocs d’adresses CIDR IPv6 attribués. En raison de ces contraintes, les informations fournies dans [Attribuer davantage d’adresses IP aux nœuds Amazon EKS avec des préfixes](cni-increase-ip-addresses.md) et [En savoir plus sur IPv6 les adresses des clusters, des pods et des services](cni-ipv6.md) ne s’appliquent pas à votre VPC.
+ Le VPC possède un nom d'hôte DNS et une résolution DNS activés. Sans ces fonctions, la création du cluster local échoue, et vous devez activer les fonctions et recréer votre cluster. Pour plus d'informations, consultez [Attributs DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) dans le guide de l'utilisateur d'Amazon VPC.
+ Pour accéder à votre cluster local via votre réseau local, le VPC doit être associé à la table de routage de la passerelle locale de votre Outpost. Pour plus d'informations, consultez la section [Associations VPC](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html#vpc-associations) dans le Guide de l'utilisateur d' AWS Outposts.

## Exigences et considérations requises pour les sous-réseaux
<a name="outposts-subnet-requirements"></a>

Lorsque vous créez le cluster, spécifiez au moins un sous-réseau privé. Si vous spécifiez plusieurs sous-réseaux, les instances du plan de contrôle Kubernetes sont réparties uniformément à travers les sous-réseaux. Si plus d'un sous-réseau est spécifié, les sous-réseaux doivent exister sur le même Outpost. En outre, les sous-réseaux doivent également disposer d'un acheminement et d'autorisations de groupe de sécurité appropriés pour communiquer entre eux. Lorsque vous créez un cluster local, les sous-réseaux que vous spécifiez doivent répondre aux exigences suivantes :
+ Les sous-réseaux doivent se trouver sur le même Outpost logique.
+ Les sous-réseaux doivent disposer ensemble d’au moins trois adresses IP disponibles pour les instances du plan de contrôle Kubernetes. Si trois sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins une adresse IP disponible. Si deux sous-réseaux sont spécifiés, chaque sous-réseau doit avoir au moins deux adresses IP disponibles. Si un sous-réseau est spécifié, le sous-réseau doit avoir au moins trois adresses IP disponibles.
+ Les sous-réseaux disposent d’une route vers la [passerelle locale](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html) du rack Outpost pour accéder au serveur API Kubernetes via votre réseau local. Si les sous-réseaux ne disposent pas d’une route vers la passerelle locale du rack Outpost, vous devez communiquer avec votre serveur API Kubernetes depuis l’intérieur du VPC.
+ Les sous-réseaux doivent utiliser une dénomination basée sur une adresse IP. La [dénomination basée sur la ressource](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-naming.html#instance-naming-rbn) Amazon EC2 n’est pas prise en charge par Amazon EKS.

## Accès aux services par sous-réseau AWS
<a name="subnet-access-to-services"></a>

Les sous-réseaux privés du cluster local sur les Outposts doivent être en mesure de communiquer avec AWS les services régionaux. Vous pouvez y parvenir en utilisant une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) pour l'accès Internet sortant ou, si vous voulez préserver la confidentialité de tout le trafic au sein de votre VPC, en utilisant des [points de terminaison d'un VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).

### Utiliser une passerelle NAT
<a name="subnet-access-nat-gateway"></a>

Les sous-réseaux privés du cluster local sur Outposts doivent inclure une table de routage associée contenant un acheminement vers une passerelle NAT dans un sous-réseau public qui est dans la zone de disponibilité parente de l’Outpost. Le sous-réseau public doit disposer d'un acheminement vers une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html). La passerelle NAT permet l'accès à Internet sortant et empêche les connexions entrantes non sollicitées depuis Internet vers les instances de l'Outpost.

### Utilisation des points de terminaison de VPC d'interface
<a name="vpc-subnet-requirements-vpc-endpoints"></a>

Si les sous-réseaux privés du cluster local sur Outposts n’ont pas d’accès Internet sortant ou si vous voulez préserver la confidentialité de tout le trafic au sein de votre VPC, vous devez créer les points de terminaison d’un VPC d’interface et le [point de terminaison de passerelle](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) suivants dans un sous-réseau régional avant de créer votre cluster.


| Endpoint | Type de point de terminaison | 
| --- | --- | 
|  `com.amazonaws.{{region-code}}.ssm`  | Interface | 
|  `com.amazonaws.{{region-code}}.ssmmessages`  | Interface | 
|  `com.amazonaws.{{region-code}}.ec2messages`  | Interface | 
|  `com.amazonaws.{{region-code}}.ec2`  | Interface | 
|  `com.amazonaws.{{region-code}}.secretsmanager`  | Interface | 
|  `com.amazonaws.{{region-code}}.logs`  | Interface | 
|  `com.amazonaws.{{region-code}}.sts`  | Interface | 
|  `com.amazonaws.{{region-code}}.ecr.api`  | Interface | 
|  `com.amazonaws.{{region-code}}.ecr.dkr`  | Interface | 
|  `com.amazonaws.{{region-code}}.s3`  | Passerelle | 

Les points de terminaison doivent répondre aux critères suivants :
+ Créé dans un sous-réseau privé situé dans la zone de disponibilité parent de votre Outpost
+ Noms DNS privés activés
+ Avoir un groupe de sécurité attaché qui autorise le trafic HTTPS entrant à partir de la plage CIDR du sous-réseau privé d'Outpost.

La création de points de terminaison entraîne des frais. Pour en savoir plus, consultez [Pricing AWS PrivateLink ](https://aws.amazon.com/privatelink/pricing/) (Tarification). Si vos Pods ont besoin d'accéder à d'autres AWS services, vous devez créer des points de terminaison supplémentaires. Pour obtenir une liste complète des points de terminaison, consultez la section [AWS Services intégrés à AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).

## Création d’un VPC
<a name="outposts-create-vpc"></a>

Vous pouvez créer un VPC répondant aux exigences précédentes à l'aide de l'un des modèles suivants : AWS CloudFormation 
+  **[Modèle 1](https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-09-20/amazon-eks-local-outposts-vpc-subnet.yaml)** — Ce modèle crée un VPC avec un sous-réseau privé sur l'avant-poste et un sous-réseau public dans la région. AWS Le sous-réseau privé dispose d'une route vers Internet via une passerelle NAT qui réside dans le sous-réseau public de la AWS région. Ce modèle peut être utilisé pour créer un cluster local dans un sous-réseau avec un accès Internet de sortie.
+  ** [Modèle 2](https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2023-03-20/amazon-eks-local-outposts-fully-private-vpc-subnet.yaml)** : ce modèle crée un VPC avec un sous-réseau privé sur l’Outpost et l’ensemble minimal de points de terminaison d’un VPC requis pour créer un cluster local dans un sous-réseau qui ne dispose pas d’accès Internet entrant ou sortant (également appelé sous-réseau privé).