Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Punto de conexión del servidor de API del clúster
Esto lo ayudará a habilitar el acceso privado al punto de conexión del servidor de API de Kubernetes de su clúster de Amazon EKS y a limitar, o a desactivar por completo, el acceso público desde Internet.
Cuando se crea un clúster nuevo, Amazon EKS crea un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster (mediante herramientas de administración de Kubernetes como, por ejemplo, kubectl). De forma predeterminada, este punto de conexión del servidor de API es público en Internet y el acceso al servidor de API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el Control de acceso basado en rol
formato de punto de conexión del clúster IPv6
EKS crea un punto de conexión único de doble pila con el siguiente formato para los nuevos clústeres IPv6 que se creen después de octubre de 2024. Un clúster IPv6 es un clúster en el que selecciona IPv6 en la configuración de la familia IP (ipFamily) del clúster.
nota
El punto de conexión de clúster de doble pila se introdujo en octubre de 2024. Para obtener más información acerca de los clústeres IPv6, consulte Información sobre la asignación de direcciones IPv6 a clústeres, pods y servicios. En su lugar, los clústeres creados antes de octubre de 2024 utilizan el siguiente formato de punto de conexión.
Formato de punto de conexión del clúster IPv4
EKS crea un punto de conexión único en el siguiente formato para cada clúster en el que se selecciona IPv4 en la configuración de familia IP (ipFamily) del clúster:
nota
Antes de octubre de 2024, los clústeres IPv6 también utilizaban este formato de punto de conexión. En el caso de estos clústeres, tanto en el punto de conexión público como en el privado, solo se resuelven direcciones IPv4 a través de este punto de conexión.
Punto de conexión privado del clúster
Puede habilitar el acceso privado al servidor de la API de Kubernetes para que toda la comunicación entre los nodos y el servidor de la API permanezcan dentro de su VPC. Puede limitar las direcciones IP que pueden acceder a su servidor de API desde Internet o desactivar por completo el acceso a Internet al servidor de API.
nota
Dado que este punto de conexión es para el servidor de la API de Kubernetes y no un punto de conexión de AWS PrivateLink tradicional que sirve para comunicarse con una API de AWS, no aparece como un punto de conexión en la consola de Amazon VPC.
Al habilitar el acceso privado al punto de conexión para el clúster, Amazon EKS crea una zona alojada privada de Route 53 en su nombre y la asocia a la VPC de su clúster. Esta zona alojada privada se administra mediante Amazon EKS y no aparece en los recursos de Route 53 de su cuenta. Para que la zona privada alojada dirija el tráfico adecuadamente a su servidor de API, su VPC debe tener enableDnsHostnames y enableDnsSupport establecidos en true y las opciones de DHCP establecidas para su VPC deben incluir AmazonProvidedDNS en su lista de servidores de nombres de dominios. A fin de obtener más información, consulte Actualización de soporte de DNS para su VPC en la guía del usuario de Amazon VPC.
Puede definir los requisitos de acceso al punto de conexión del servidor de la API al crear un nuevo clúster; puede actualizar el acceso al punto de conexión del servidor de la API para un clúster en cualquier momento.
Modificar el acceso al punto de conexión del clúster
Utilice los procedimientos de esta sección para modificar el acceso al punto de conexión para un clúster existente. En la siguiente tabla se muestran las combinaciones de acceso al punto de conexión del servidor de la API y sus comportamientos asociados.
| Acceso público al punto de conexión | Acceso privado al punto de conexión | Comportamiento |
|---|---|---|
|
Habilitado |
Deshabilitado |
|
|
Habilitado |
Habilitado |
|
|
Deshabilitado |
Habilitado |
|
Bloques CIDR en el punto de conexión público (clúster IPv6)
Puede agregar bloques CIDR IPv6 y IPv4 al punto de conexión público de un clúster IPv6, ya que el punto de conexión público es de doble pila. Esto solo se aplica a los clústeres nuevos con ipFamily configurado como IPv6 que creó en octubre de 2024 o después. Puede identificar estos clústeres por el nuevo nombre de dominio del punto de conexión api.aws.
Bloques CIDR en el punto de conexión público (clúster IPv4)
Puede agregar bloques CIDR IPv4 al punto de conexión público de un clúster IPv4. No puede agregar bloques CIDR IPv6 al punto de conexión público de un clúster IPv4. Si lo intenta, EKS devuelve el siguiente mensaje de error: The following CIDRs are invalid in publicAccessCidrs
Bloques CIDR en el punto de conexión público (clúster IPv6 creado antes de octubre de 2024)
Puede agregar bloques CIDR IPv4 al punto de conexión público de los clústeres IPv6 antiguos que creó antes de octubre de 2024. Puede identificar estos clústeres por el punto de conexión eks.amazonaws.com. No puede agregar bloques CIDR IPv6 al punto de conexión público de los clústeres IPv6 antiguos que creó antes de octubre de 2024. Si lo intenta, EKS devuelve el siguiente mensaje de error: The following CIDRs are invalid in publicAccessCidrs
Acceso a un servidor de API solo privado
Si ha deshabilitado el acceso público al punto de conexión del servidor de API de Kubernetes del clúster, solo puede obtener acceso al servidor de API desde dentro de la VPC o desde una red conectada. Hay varias formas de obtener acceso al punto de conexión del servidor de API de Kubernetes:
- Red conectada
-
Conecte su red a la VPC con una puerta de enlace de tránsito de AWS u otra opción de conectividad y, a continuación, utilice un equipo en la red conectada. Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde la red conectada.
- Host bastión de Amazon EC2
-
Puede lanzar una instancia de Amazon EC2 en una subred pública de la VPC del clúster y, a continuación, iniciar sesión mediante SSH en esa instancia para ejecutar comandos de
kubectl. Para obtener más información, consulte Hosts bastión de Linux en AWS. Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde su host bastión. Para obtener más información, consulte Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres. Cuando configure
kubectlpara el host bastión, asegúrese de utilizar las credenciales de AWS que ya están asignadas a su configuración de RBAC del clúster o agregue la entidad principal de IAM que utilizará el bastión a la configuración de RBAC antes de eliminar el acceso público al punto de conexión. Para obtener más información, consulte Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes y Acceso denegado o no autorizado (kubectl). - IDE de AWS Cloud9
-
AWS Cloud9 es un entorno de desarrollo integrado (IDE) basado en la nube que permite escribir, ejecutar y depurar su código con solo un navegador. Puede crear un IDE de AWS Cloud9 en la VPC de su clúster y utilizar el IDE para comunicarse con el clúster. Para obtener más información, consulte Creación de un entorno en AWS Cloud9. Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde el grupo de seguridad de IDE. Para obtener más información, consulte Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres.
Cuando configure
kubectlpara el IDE de AWS Cloud9, asegúrese de utilizar las credenciales de AWS que ya están asignadas a su configuración de RBAC del clúster o agregue la entidad principal de IAM que utilizará el IDE a la configuración de RBAC antes de eliminar el acceso público al punto de conexión. Para obtener más información, consulte Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes y Acceso denegado o no autorizado (kubectl).
