Greifen Sie auf Amazon EKS zu mit AWS PrivateLink - Amazon EKS
Bevor Sie beginnenÜberlegungenErstellen eines Schnittstellen-Endpunkts für Amazon EKSPrivate DNS-Funktion für Amazon EKS-Schnittstellenendpunkte

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie auf Amazon EKS zu mit AWS PrivateLink

Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon Elastic Kubernetes Service herzustellen. Sie können auf Amazon EKS zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Amazon EKS zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellenendpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Amazon EKS bestimmt ist.

Weitere Informationen finden Sie unter Access AWS services through AWS PrivateLink im AWS PrivateLink Handbuch.

Bevor Sie beginnen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Aufgaben ausgeführt haben:

Überlegungen

  • Support und Einschränkungen: Amazon EKS-Schnittstellenendpunkte ermöglichen den sicheren Zugriff auf alle Amazon EKS-API-Aktionen von Ihrer VPC aus, unterliegen jedoch bestimmten Einschränkungen: Sie unterstützen keinen Zugriff auf Kubernetes APIs, da diese über einen separaten privaten Endpunkt verfügen. Sie können Amazon EKS nicht so konfigurieren, dass nur über den Schnittstellenendpunkt zugegriffen werden kann.

  • Preisgestaltung: Für die Nutzung von Schnittstellenendpunkten für Amazon EKS AWS PrivateLink fallen Standardgebühren an: Stundengebühren für jeden in jeder Availability Zone bereitgestellten Endpunkt, Datenverarbeitungsgebühren für den Datenverkehr über den Endpunkt. Weitere Informationen finden Sie auf der Seite über AWS PrivateLink – Preise.

  • Sicherheit und Zugriffskontrolle: Wir empfehlen, die Sicherheit zu verbessern und den Zugriff mit diesen zusätzlichen Konfigurationen zu kontrollieren. Verwenden Sie VPC-Endpunktrichtlinien, um den Zugriff auf Amazon EKS über den Schnittstellenendpunkt zu kontrollieren, Ordnen Sie Sicherheitsgruppen den Endpunkt-Netzwerkschnittstellen zu, um den Verkehr zu verwalten, verwenden Sie VPC-Flussprotokolle, um den IP-Verkehr zu und von den Schnittstellenendpunkten zu erfassen und zu überwachen, wobei die Protokolle auf Amazon oder Amazon S3 veröffentlicht werden können. CloudWatch Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien und Protokollieren von IP-Verkehr mithilfe von VPC Flow Logs.

  • Konnektivitätsoptionen: Schnittstellenendpunkte bieten flexible Konnektivitätsoptionen über lokalen Zugriff (verbinden Sie Ihr lokales Rechenzentrum mit einer VPC mit dem Schnittstellenendpunkt über AWS Direct Connect oder AWS Site-to-Site VPN) oder über Inter-VPC-Konnektivität (verwenden Sie AWS Transit Gateway oder VPC-Peering, um andere mit der VPC über den Schnittstellenendpunkt zu verbinden und so den Verkehr im Netzwerk VPCs zu halten). AWS

  • IP-Versionsunterstützung: Endpunkte, die vor August 2024 erstellt wurden, unterstützen nur die IPv4 Verwendung von eks.region.amazonaws.com. Neue Endpunkte, die nach August 2024 erstellt wurden, unterstützen Dual-Stack IPv4 und (z. B. eks.region.amazonaws.com, eks.region.api.aws). IPv6

  • Regionale Verfügbarkeit: AWS PrivateLink Die EKS-API ist in den Regionen Asien-Pazifik (Malaysia) (ap-southeast-5), Asien-Pazifik (Thailand) (ap-southeast-7), Mexiko (Central) (mx-central-1) und Asien-Pazifik (Taipeh) (ap-east-2) nicht verfügbar. AWS PrivateLink Unterstützung für eks-auth (EKS Pod Identity) ist in der Region Asien-Pazifik (Malaysia) (ap-Southeast-5) verfügbar.

Erstellen eines Schnittstellen-Endpunkts für Amazon EKS

Sie können einen Schnittstellenendpunkt für Amazon EKS entweder mit der Amazon VPC-Konsole oder der AWS Befehlszeilenschnittstelle (AWS CLI) erstellen. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Erstellen eines VPC-Endpunkts.

Erstellen Sie einen Schnittstellenendpunkt für Amazon EKS mit den folgenden Servicenamen:

EKS-API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (für FIPS-konforme Endpunkte)

EKS-Authentifizierungs-API (EKS-Pod-Identität)

  • com.amazonaws.region-code.eks-auth

Private DNS-Funktion für Amazon EKS-Schnittstellenendpunkte

Die private DNS-Funktion, die standardmäßig für Schnittstellenendpunkte von Amazon EKS und anderen AWS Diensten aktiviert ist, ermöglicht sichere und private API-Anfragen mit standardmäßigen regionalen DNS-Namen. Diese Funktion stellt sicher, dass API-Aufrufe über den Schnittstellenendpunkt über das private AWS Netzwerk weitergeleitet werden, wodurch Sicherheit und Leistung verbessert werden.

Die private DNS-Funktion wird automatisch aktiviert, wenn Sie einen Schnittstellenendpunkt für Amazon EKS oder andere AWS Dienste erstellen. Zur Aktivierung müssen Sie Ihre VPC korrekt konfigurieren, indem Sie bestimmte Attribute festlegen:

  • enableDnsHostnames: Ermöglicht Instances innerhalb der VPC, DNS-Hostnamen zu haben.

  • enableDnsSupport: Aktiviert die DNS-Auflösung in der gesamten VPC.

step-by-stepAnweisungen zum Überprüfen oder Ändern dieser Einstellungen finden Sie unter DNS-Attribute für Ihre VPC anzeigen und aktualisieren.

DNS-Namen und IP-Adresstypen

Wenn die private DNS-Funktion aktiviert ist, können Sie bestimmte DNS-Namen verwenden, um eine Verbindung zu Amazon EKS herzustellen. Diese Optionen entwickeln sich im Laufe der Zeit:

  • eks.region.amazonaws.com: Der traditionelle DNS-Name, der nur für Adressen vor August 2024 aufgelöst wird. IPv4 Bei bestehenden Endpunkten, die auf Dual-Stack aktualisiert wurden, wird dieser Name in Adressen sowohl als auch aufgelöst. IPv4 IPv6

  • eks.region.api.aws: Dieser Dual-Stack-DNS-Name ist für neue Endpunkte verfügbar, die nach August 2024 erstellt wurden. Er wird in Adressen sowohl als auch aufgelöst. IPv4 IPv6

Nach August 2024 verfügen neue Schnittstellenendpunkte über zwei DNS-Namen, und Sie können sich für den Dual-Stack-IP-Adresstyp entscheiden. Bei bestehenden Endpunkten wird durch die Aktualisierung auf Dual-Stack eks.region.amazonaws.com so geändert, dass sowohl als auch unterstützt werden. IPv4 IPv6

Verwendung der privaten DNS-Funktion

Nach der Konfiguration kann die private DNS-Funktion in Ihre Workflows integriert werden und bietet die folgenden Funktionen:

  • API-Anfragen: Verwenden Sie die standardmäßigen regionalen DNS-Namen, entweder eks.region.amazonaws.com odereks.region.api.aws, je nach Einrichtung Ihres Endpunkts, um API-Anfragen an Amazon EKS zu stellen.

  • Anwendungskompatibilität: Ihre vorhandenen Anwendungen, die EKS aufrufen, APIs müssen nicht geändert werden, um diese Funktion nutzen zu können.

  • AWS CLI mit Dual-Stack: Informationen zur Verwendung der Dual-Stack-Endpunkte mit der AWS CLI finden Sie in der Konfiguration von Dual-Stack- und FIPS-Endpunkten im Referenzhandbuch und im Tools-Referenzhandbuch. AWS SDKs

  • Automatisches Routing: Jeder Anruf an den Amazon EKS-Standard-Serviceendpunkt wird automatisch über den Schnittstellenendpunkt geleitet, wodurch eine private und sichere Konnektivität gewährleistet ist.