Zugriff auf Amazon EKS über AWS PrivateLink - Amazon EKS
Bevor Sie beginnenÜberlegungenErstellen eines Schnittstellen-Endpunkts für Amazon EKSPrivate DNS-Feature für Amazon-EKS-Schnittstellenendpunkte

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Zugriff auf Amazon EKS über AWS PrivateLink

Sie können mit AWS PrivateLink eine private Verbindung zwischen Ihrer VPC und Amazon Elastic Kubernetes Service herstellen. Sie können auf Amazon EKS zugreifen, als wäre es in Ihrer VPC, ohne dass Sie ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS-Direct-Connect-Verbindung verwenden müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Amazon EKS zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellenendpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Amazon EKS bestimmt ist.

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS-PrivateLink-Handbuch.

Bevor Sie beginnen

Stellen Sie zunächst sicher, dass Sie die folgenden Aufgaben durchgeführt haben:

Überlegungen

  • Support und Einschränkungen: Amazon-EKS-Schnittstellenendpunkte ermöglichen sicheren Zugriff auf alle Amazon-EKS-API-Aktionen von Ihrem VPC aus, weisen jedoch bestimmte Einschränkungen auf: Sie unterstützen keinen Zugriff auf Kubernetes-APIs, da diese über einen separaten privaten Endpunkt verfügen. Sie können Amazon EKS nicht so konfigurieren, dass nur über den Schnittstellenendpunkt darauf zugegriffen werden kann.

  • Preise: Für die Verwendung von Schnittstellenendpunkten für Amazon EKS fallen Standardgebühren für AWS PrivateLink an: Stundengebühren für jeden in jeder Availability Zone bereitgestellten Endpunkt, Datenverarbeitungsgebühren für den Datenverkehr über den Endpunkt. Weitere Informationen finden Sie unter Preise zu AWS PrivateLink.

  • Sicherheit und Zugriffskontrolle: Wir empfehlen, die Sicherheit zu erhöhen und den Zugriff mit diesen zusätzlichen Konfigurationen zu steuern: Verwenden Sie VPC-Endpunktrichtlinien, um den Zugriff auf Amazon EKS über den Schnittstellenendpunkt zu steuern, ordnen Sie Sicherheitsgruppen den Endpunkt-Netzwerkschnittstellen zu, um den Datenverkehr zu verwalten, und verwenden Sie VPC-Ablaufprotokolle, um den IP-Datenverkehr zu und von den Schnittstellenendpunkten zu erfassen und zu überwachen, wobei die Protokolle in Amazon CloudWatch oder Amazon S3 veröffentlicht werden können. Weitere Informationen finden Sie unter Zugriff auf VPC-Endpunkte mithilfe von Endpunktrichtlinien steuern und Protokollierung von IP-Datenverkehr mithilfe von VPC-Ablaufprotokollen.

  • Konnektivitätsoptionen: Schnittstellenendpunkte bieten flexible Konnektivitätsoptionen über den On-Premises-Zugriff (verbinden Sie Ihr lokales Rechenzentrum über AWS Direct Connect oder AWS Site-to-Site VPN mit einem VPC über den Schnittstellenendpunkt) oder über die Inter-VPC-Konnektivität (verwenden Sie AWS Transit Gateway oder VPC Peering, um andere VPCs mit dem VPC über den Schnittstellenendpunkt zu verbinden, wobei der Datenverkehr innerhalb des AWS-Netzwerks bleibt).

  • Support für IP-Versionen: Endpunkte, die vor August 2024 erstellt wurden, unterstützen nur IPv4 unter Verwendung von eks.region.amazonaws.com. Neue Endpunkte, die nach August 2024 erstellt wurden, unterstützen Dual-Stack-IPv4 und IPv6 (z. B. eks.region.amazonaws.com, eks.region.api.aws).

  • Regionale Verfügbarkeit: AWS PrivateLink ist für die EKS-API ist in den Regionen Asien-Pazifik (Malaysia) (ap-southeast-5), Asien-Pazifik (Thailand) (ap-southeast-7), Mexiko (Zentral) (mx-central-1) und Asien-Pazifik (Taipeh) (ap-east-2) nicht verfügbar. AWS PrivateLink-Support für eks-auth (EKS Pod Identity) ist in der Region Asien-Pazifik (Malaysia) (ap-southeast-5) verfügbar.

Erstellen eines Schnittstellen-Endpunkts für Amazon EKS

Sie können einen Schnittstellenendpunkt für Amazon EKS entweder über die Amazon-VPC-Konsole oder die AWS-Befehlszeilenschnittstelle (AWS-CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines VPC-Endpunkts im AWS-PrivateLink-Leitfaden .

Erstellen Sie einen Schnittstellenendpunkt für Amazon EKS unter Verwendung der folgenden Service-Namen:

EKS-API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (für FIPS-kompatible Endpunkte)

EKS-Auth-API (EKS Pod Identity)

  • com.amazonaws.region-code.eks-auth

Private DNS-Feature für Amazon-EKS-Schnittstellenendpunkte

Das private DNS-Feature, das standardmäßig für Schnittstellenendpunkte von Amazon EKS und anderen AWS-Services aktiviert ist, ermöglicht sichere und private API-Anfragen unter Verwendung der standardmäßigen regionalen DNS-Namen. Dieses Feature stellt sicher, dass API-Aufrufe über den Schnittstellenendpunkt über das private AWS-Netzwerk geleitet werden, was die Sicherheit und Leistung verbessert.

Das private DNS-Feature wird automatisch aktiviert, wenn Sie einen Schnittstellenendpunkt für Amazon EKS oder andere AWS-Services erstellen. Zur Aktivierung, müssen Sie Ihre VPC korrekt konfigurieren, indem Sie bestimmte Attribute festlegen:

  • enableDnsHostnames: Ermöglicht Instances innerhalb der VPC, DNS-Host-Namen zu verwenden.

  • enableDnsSupport: Aktiviert die DNS-Auflösung im gesamten VPC.

Eine Schritt-für-Schritt-Anleitung zum Überprüfen oder Ändern dieser Einstellungen finden Sie unter Anzeigen und Aktualisieren der DNS-Attribute für Ihre VPC.

DNS-Namen und IP-Adresstypen

Wenn das private DNS-Feature aktiviert ist, können Sie bestimmte DNS-Namen verwenden, um eine Verbindung zu Amazon EKS herzustellen. Diese Optionen werden im Laufe der Zeit weiterentwickelt:

  • eks.region.amazonaws.com: Der herkömmliche DNS-Name, der vor August 2024 nur zu IPv4-Adressen aufgelöst wird. Für vorhandene Endpunkte, die auf Dual-Stack aktualisiert wurden, wird dieser Name sowohl in IPv4- als auch in IPv6-Adressen aufgelöst.

  • eks.region.api.aws: Dieser Dual-Stack-DNS-Name ist für neue Endpunkte verfügbar, die nach August 2024 erstellt wurden, und wird sowohl in IPv4- als auch in IPv6-Adressen aufgelöst.

Nach August 2024 werden neue Schnittstellenendpunkte mit zwei DNS-Namen bereitgestellt, und Sie haben die Möglichkeit, den Dual-Stack-IP-Adresstyp zu wählen. Für vorhandene Endpunkte wird durch die Aktualisierung auf Dual-Stack eks.region.amazonaws.com so geändert, dass sowohl IPv4 als auch IPv6 unterstützt werden.

Verwendung des privaten DNS-Features

Nach der Konfiguration kann das private DNS-Feature in Ihre Workflows integriert werden und bietet Ihnen folgende Möglichkeiten:

  • API-Anfragen: Verwenden Sie die standardmäßigen regionalen DNS-Namen, entwedereks.region.amazonaws.com oder eks.region.api.aws, basierend auf der Konfiguration Ihres Endpunkts, um API-Anfragen an Amazon EKS zu senden.

  • Anwendungskompatibilität: Ihre vorhandenen Anwendungen, die EKS-APIs aufrufen, erfordern keine Änderungen, um dieses Feature zu nutzen.

  • AWS-CLI mit Dual-Stack: Informationen zur Verwendung der Dual-Stack-Endpunkte mit der AWS-CLI finden Sie in der Konfiguration für Dual-Stack- und FIPS-Endpunkte im AWS-SDK- und Tools-Referenzhandbuch..

  • Automatische Weiterleitung: Jeder Aufruf des Standard-Service-Endpunkts von Amazon EKS wird automatisch über den Schnittstellenendpunkt weitergeleitet, wodurch eine private und sichere Verbindung gewährleistet wird.