Cluster-API-Server-Endpunkt - Amazon EKS
IPv6-Cluster-Endpunkt-FormatIPv4-Cluster-Endpunkt-FormatPrivater Cluster-EndpunktÄndern des Cluster-EndpunktzugriffsZugriff auf einen privaten API-Server

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cluster-API-Server-Endpunkt

Dieses Thema hilft Ihnen, den privaten Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Amazon-EKS-Clusters zu aktivieren und den öffentlichen Zugriff über das Internet einzuschränken oder vollständig zu deaktivieren.

Wenn Sie einen neuen Cluster erstellen, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server, über den Sie mit Ihrem Cluster kommunizieren (mit Kubernetes-Verwaltungswerkzeugen wie kubectl). Standardmäßig ist dieser API-Serverendpunkt im Internet öffentlich, und der Zugriff auf den API-Server wird mithilfe einer Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetes Role Based Access Control (RBAC) gesichert. Dieser Endpunkt wird als öffentlicher Cluster-Endpunkt bezeichnet. Es gibt auch einen privaten Cluster-Endpunkt. Weitere Informationen zum privaten Cluster-Endpunkt finden Sie im folgenden Abschnitt Privater Cluster-Endpunkt.

IPv6-Cluster-Endpunkt-Format

EKS erstellt für neue IPv6-Cluster, die nach Oktober 2024 erstellt werden, einen eindeutigen Dual-Stack-Endpunkt im folgenden Format: Ein IPv6 Cluster ist ein Cluster, den Sie IPv6 in der IP-Familie (ipFamily) -Einstellung des Clusters auswählen.

AWS

public/private EKS-Cluster-Endpunkt: eks-cluster.region.api.aws

AWS GovCloud (US)

public/private EKS-Cluster-Endpunkt: eks-cluster.region.api.aws

Amazon Web Services in China

public/private EKS-Cluster-Endpunkt: eks-cluster.region.api.amazonwebservices.com.rproxy.govskope.ca.cn

Anmerkung

Der Dual-Stack-Cluster-Endpunkt wurde im Oktober 2024 eingeführt. Weitere Informationen zu IPv6-Clustern finden Sie unter Erfahren Sie mehr über IPv6 Adressen für Cluster, Pods und Dienste. Cluster, die vor Oktober 2024 erstellt wurden, verwenden stattdessen das folgende Endpunkt-Format.

IPv4-Cluster-Endpunkt-Format

EKS erstellt für jeden Cluster, der in der IP-Familieneinstellung (ipFamily) des Clusters IPv4 auswählt, einen eindeutigen Endpunkt im folgenden Format:

AWS

public/private EKS-Cluster-Endpunkt eks-cluster.region.eks.amazonaws.com

AWS GovCloud (US)

public/private EKS-Cluster-Endpunkt eks-cluster.region.eks.amazonaws.com

Amazon Web Services in China

public/private EKS-Cluster-Endpunkt eks-cluster.region.amazonwebservices.com.rproxy.govskope.ca.cn

Anmerkung

Vor Oktober 2024 verwendeten IPv6-Cluster auch dieses Endpunkt-Format. Bei diesen Clustern werden sowohl beim öffentlichen als auch beim privaten Endpunkt nur IPv4-Adressen von diesem Endpunkt aufgelöst.

Privater Cluster-Endpunkt

Sie können den privaten Zugriff auf den Kubernetes-API-Server aktivieren, sodass die gesamte Kommunikation zwischen Ihren Knoten und dem API-Server innerhalb Ihrer VPC bleibt. Sie können die IP-Adressen einschränken, die über das Internet auf Ihren API-Server zugreifen können, oder den Internetzugriff auf den API-Server vollständig deaktivieren.

Anmerkung

Da dieser Endpunkt für den Kubernetes-API-Server und kein herkömmlicher AWS PrivateLink Endpunkt für die Kommunikation mit einer AWS API ist, wird er in der Amazon VPC-Konsole nicht als Endpunkt angezeigt.

Wenn Sie den privaten Endpunktzugriff für Ihren Cluster aktivieren, erstellt Amazon EKS in Ihrem Namen eine privat gehostete Route-53-Zone und ordnet diese der VPC Ihres Clusters zu. Diese private gehostete Zone wird von Amazon EKS verwaltet und wird nicht in den Route-53-Ressourcen Ihres Kontos angezeigt. Damit die private gehostete Zone Datenverkehr ordnungsgemäß an Ihren API-Server weiterleiten kann, müssen enableDnsHostnames und enableDnsSupport für Ihre VPC auf true gesetzt sein und die DHCP-Optionen für Ihre VPC müssen AmazonProvidedDNS in ihrer Domainnamen-Serverliste enthalten. Weitere Informationen finden Sie unter Aktualisieren der DNS-Unterstützung für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Sie können Ihre Anforderungen für den Zugriff auf Ihre API-Server-Endpunkte definieren, wenn Sie einen neuen Cluster erstellen. Sie können den Zugriff auf die API-Server-Endpunkte für einen Cluster jederzeit aktualisieren.

Ändern des Cluster-Endpunktzugriffs

Verwenden Sie die Verfahren in diesem Abschnitt, um den Endpunktzugriff für einen bestehenden Cluster zu ändern. Die folgende Tabelle zeigt die unterstützten Kombinationen von API-Server-Endpunktzugriffen und das damit verbundene Verhalten.

Endpunkt für öffentlichen Zugriff Endpunkt für privaten Zugriff Behavior

Enabled

Disabled

  • Dies ist das Standardverhalten für neue Amazon-EKS-Cluster.

  • Kubernetes-API-Anfragen, die aus der VPC Ihres Clusters stammen (z. B. Knoten zur Steuerung der Steuerebenen-Kommunikation), verlassen zwar die VPC, aber nicht das Netzwerk von Amazon.

  • Ihr Cluster-API-Server ist über das Internet erreichbar. Sie können optional die Liste des öffentlichen Zugriffs verwenden, CIDRs um den Zugriff auf den öffentlichen Endpunkt anhand einer Liste von CIDR-Blöcken zu steuern. Wenn Sie den Zugriff auf bestimmte CIDR-Blöcke beschränken, empfehlen wir, dass Sie auch den privaten Endpunkt aktivieren oder sicherstellen, dass die von Ihnen angegebenen CIDR-Blöcke die Adressen enthalten, von denen Knoten und Fargate-Pods (falls Sie sie verwenden) auf den öffentlichen Endpunkt zugreifen.

Aktiviert

Aktiviert

  • Kubernetes-API-Anfragen innerhalb der VPC Ihres Clusters (z. B. Knoten zur Steuerung der Steuerebenen-Kommunikation) verwenden den privaten VPC-Endpunkt. Sie verwenden die Regeln für die Cluster-Sicherheitsgruppe, um den Zugriff auf den privaten Endpunkt zu steuern.

  • Ihr Cluster-API-Server ist über das Internet erreichbar. Sie können optional die Liste des öffentlichen Zugriffs verwenden, CIDRs um den Zugriff auf den öffentlichen Endpunkt anhand einer Liste von CIDR-Blöcken zu steuern.

  • Wenn Sie Hybridknoten mit Ihrem Amazon EKS-Cluster verwenden, wird nicht empfohlen, sowohl den öffentlichen als auch den privaten Endpunktzugriff zu aktivieren. Da Ihre Hybridknoten außerhalb Ihrer VPC ausgeführt werden, lösen sie den Cluster-Endpunkt in die öffentlichen IP-Adressen auf. Es wird empfohlen, für Cluster mit Hybridknoten entweder den öffentlichen oder den privaten Endpunktzugriff zu verwenden.

Disabled

Aktiviert

  • Der gesamte Datenverkehr zu Ihrem Cluster-API-Server muss aus der VPC des Clusters oder einem verbundenen Netzwerk stammen.

  • Es gibt keinen öffentlichen Zugriff auf Ihren API-Server aus dem Internet. Alle kubectl-Befehle müssen aus der VPC oder einem verbundenen Netzwerk stammen. Die Verbindungsoptionen finden Sie unter Zugriff auf einen privaten API-Server.

  • Sie verwenden die Regeln für die Cluster-Sicherheitsgruppe, um den Zugriff auf den privaten Endpunkt zu steuern. Beachten Sie, dass sich der öffentliche Zugriff CIDRs nicht auf den privaten Endpunkt auswirkt.

  • Der API-Server-Endpunkt des Clusters wird von öffentlichen DNS-Servern in eine private IP-Adresse von der VPC aufgelöst. In der Vergangenheit konnte der Endpunkt nur innerhalb der VPC aufgelöst werden.

    Wenn Ihr Endpunkt nicht in eine private IP-Adresse innerhalb der VPC für einen vorhandenen Cluster aufgelöst wird, können Sie:

    • Den öffentlichen Zugriff aktivieren und ihn dann erneut deaktivieren. Sie müssen dies nur einmal für einen Cluster tun und der Endpunkt wird von diesem Punkt an zu einer privaten IP-Adresse aufgelöst.

    • Aktualisieren Sie Ihren Cluster.

Zugangskontrollen für Endgeräte

Beachten Sie, dass sich jede der folgenden Methoden zur Steuerung des Endpunktzugriffs nur auf den jeweiligen Endpunkt auswirkt.

Cluster-Sicherheitsgruppe

Die Cluster-Sicherheitsgruppe steuert zwei Arten von Verbindungen: Verbindungen zur Kubelet-API und zum privaten Endpunkt. Die Verbindungen zur kubelet API werden in den Befehlenkubectl attach,, kubectl cp kubectl execkubectl logs, und kubectl port-forward verwendet. Die Cluster-Sicherheitsgruppe hat keine Auswirkungen auf den öffentlichen Endpunkt.

Öffentlicher Zugriff CIDRs

Der öffentliche Zugriff CIDRs steuert den Zugriff auf den öffentlichen Endpunkt anhand einer Liste von CIDR-Blöcken. Beachten Sie, dass der öffentliche Zugriff CIDRs keinen Einfluss auf den privaten Endpunkt hat. Der öffentliche Zugriff CIDRs verhält sich auf den IPv6 Clustern und IPv4 Clustern je nach dem Datum, an dem sie erstellt wurden, unterschiedlich. Dies wird im Folgenden beschrieben:

CIDR-Blöcke im öffentlichen Endpunkt (IPv6-Cluster)

Sie können IPv6 und IPv4-CIDR-Blöcke zum öffentlichen Endpunkt eines IPv6-Clusters hinzufügen, da der öffentliche Endpunkt Dual-Stack-fähig ist. Dies gilt nur für neue Cluster mit dem Wert ipFamily auf IPv6, die Sie im Oktober 2024 oder später erstellt haben. Sie können diese Cluster anhand des neuen Endpunkt-Domain-Namens api.aws identifizieren.

CIDR-Blöcke im öffentlichen Endpunkt (IPv4-Cluster)

Sie können dem öffentlichen Endpunkt eines IPv4-Clusters IPv4-CIDR-Blöcke hinzufügen. Sie können keine IPv6-CIDR-Blöcke zum öffentlichen Endpunkt eines IPv4-Clusters hinzufügen. Wenn Sie dies versuchen, gibt EKS die folgende Fehlermeldung zurück: The following CIDRs are invalid in publicAccessCidrs

CIDR-Blöcke im öffentlichen Endpunkt (IPv6-Cluster vor Oktober 2024 erstellt)

Sie können IPv4-CIDR-Blöcke zum öffentlichen Endpunkt der alten IPv6-Cluster hinzufügen, die Sie vor Oktober 2024 erstellt haben. Sie können diese Cluster anhand des eks.amazonaws.com.rproxy.govskope.ca-Endpunkts identifizieren. Sie können dem öffentlichen Endpunkt dieser alten IPv6-Cluster, die Sie vor Oktober 2024 erstellt haben, keine IPv6-CIDR-Blöcke hinzufügen. Wenn Sie dies versuchen, gibt EKS die folgende Fehlermeldung zurück: The following CIDRs are invalid in publicAccessCidrs

Zugriff auf einen privaten API-Server

Wenn Sie den öffentlichen Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Clusters deaktiviert haben, können Sie nur über Ihre VPC oder ein verbundenes Netzwerk auf den API-Server zugreifen. Hier sind einige Möglichkeiten, um auf den Kubernetes-API-Server-Endpunkt zuzugreifen:

Verbundenes Netzwerk

Verbinden Sie Ihr Netzwerk über ein AWS -Transit-Gateway oder eine andere Konnektivitätsoption mit der VPC und verwenden Sie dann einen Computer im verbundenen Netzwerk. Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrem verbundenen Netzwerk zulassen.

Gastgeber bei Amazon EC2 Bastion

Sie können eine EC2 Amazon-Instance in einem öffentlichen Subnetz in der VPC Ihres Clusters starten und sich dann über SSH bei dieser Instance anmelden, um Befehle auszuführen. kubectl Weitere Informationen finden Sie unter Linux-Bastion-Hosts in AWS. Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrem Bastion-Host zulassen. Weitere Informationen finden Sie unter Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen.

Achten Sie bei der Konfiguration kubectl für Ihren Bastion-Host darauf, AWS Anmeldeinformationen zu verwenden, die bereits der RBAC-Konfiguration Ihres Clusters zugeordnet sind, oder fügen Sie den IAM-Prinzipal, den Ihre Bastion verwenden wird, zur RBAC-Konfiguration hinzu, bevor Sie den öffentlichen Zugriff auf Endgeräte entfernen. Weitere Informationen erhalten Sie unter Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs und Nicht autorisiert oder Zugriff verweigert (kubectl).

AWS -Cloud9-IDE

AWS Cloud9 ist eine cloudbasierte integrierte Entwicklungsumgebung (IDE), mit der Sie Ihren Code mit nur einem Browser schreiben, ausführen und debuggen können. Sie können eine AWS Cloud9-IDE in der VPC Ihres Clusters erstellen und die IDE für die Kommunikation mit Ihrem Cluster verwenden. Weitere Informationen finden Sie unter Umgebung in AWS Cloud9 erstellen. Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrer IDE-Sicherheitsgruppe zulassen. Weitere Informationen finden Sie unter Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen.

Achten Sie bei der Konfiguration kubectl für Ihre AWS Cloud9-IDE darauf, AWS Anmeldeinformationen zu verwenden, die bereits der RBAC-Konfiguration Ihres Clusters zugeordnet sind, oder fügen Sie den IAM-Prinzipal, den Ihre IDE verwenden wird, zur RBAC-Konfiguration hinzu, bevor Sie den öffentlichen Endpunktzugriff entfernen. Weitere Informationen erhalten Sie unter Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs und Nicht autorisiert oder Zugriff verweigert (kubectl).

📝 Bearbeiten Sie diese Seite auf GitHub