IPv6format d'extrémité du cluster IPv4format d'extrémité du cluster Point de terminaison privé du cluster Modification de l'accès au point de terminaison de cluster Accès à un serveur d'API privé uniquement

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Point de terminaison du serveur API du cluster

Cette rubrique vous aide à activer l'accès privé pour le point de terminaison du serveur d'API Kubernetes de votre cluster Amazon EKS et à limiter, voire à désactiver complètement, l'accès public depuis Internet.

Lorsque vous créez un cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster (à l'aide d'outils de gestion Kubernetes comme kubectl). Par défaut, ce point de terminaison du serveur d'API est public sur Internet, et l'accès au serveur d'API est sécurisé à l'aide d'une combinaison d' AWS Identity and Access Management (IAM) et de contrôle d'accès basé sur le rôle (RBAC) Kubernetes natif. Ce point de terminaison est connu sous le nom de point de terminaison public du cluster. Il existe également un point de terminaison privé du cluster. Pour plus d'informations sur le point de terminaison privé du cluster, consultez la section suivantePoint de terminaison privé du cluster.

`IPv6`format d'extrémité du cluster

EKS crée un point de terminaison à double pile unique au format suivant pour les nouveaux IPv6 clusters créés après octobre 2024. Un IPv6 cluster est un cluster que vous sélectionnez IPv6 dans le paramètre IP family (ipFamily) du cluster.

Note

Le point de terminaison du cluster à double pile a été introduit en octobre 2024. Pour plus d'informations sur IPv6 les clusters, consultezEn savoir plus sur IPv6 les adresses des clusters, des pods et des services. Les clusters créés avant octobre 2024 utilisent plutôt le format de point de terminaison suivant.

`IPv4`format d'extrémité du cluster

EKS crée un point de terminaison unique au format suivant pour chaque cluster sélectionné IPv4 dans le paramètre de famille d'adresses IP (IPFamily) du cluster :

Note

Avant octobre 2024, les IPv6 clusters utilisaient également ce format de point de terminaison. Pour ces clusters, seules les IPv4 adresses du point de terminaison public et du point de terminaison privé sont résolues à partir de ce point de terminaison.

Point de terminaison privé du cluster

Vous pouvez activer l'accès privé au serveur d'API Kubernetes pour que toutes les communications entre vos nœuds et le serveur d'API restent au sein de votre VPC. Vous pouvez limiter les adresses IP qui peuvent accéder à votre serveur API à partir d'Internet, ou désactiver complètement l'accès Internet au serveur d'API.

Note

Comme ce point de terminaison est destiné au serveur d'API Kubernetes et n'est pas un point de AWS PrivateLink terminaison traditionnel pour communiquer avec une AWS API, il n'apparaît pas en tant que point de terminaison dans la console Amazon VPC.

Lorsque vous activez l'accès privé aux terminaux pour votre cluster, Amazon EKS crée une zone hébergée privée Route 53 en votre nom et l'associe au VPC de votre cluster. Cette zone hébergée privée est gérée par Amazon EKS et n'apparaît pas dans les ressources Route 53 de votre compte. Pour que la zone hébergée privée achemine correctement le trafic vers votre serveur d'API, votre VPC doit avoir enableDnsHostnames et enableDnsSupport définis sur true, et les options DHCP définies pour votre VPC doivent inclure AmazonProvidedDNS dans leur liste de serveurs de nom de domaine. Pour plus d'informations, consultez Mise à jour du support DNS pour votre VPC dans le Guide de l'utilisateur d'Amazon VPC.

Vous pouvez définir les exigences d'accès au point de terminaison de votre serveur d'API lorsque vous créez un nouveau cluster, et vous pouvez mettre à jour l'accès au point de terminaison du serveur d'API pour un cluster à tout moment.

Modification de l'accès au point de terminaison de cluster

Utilisez les procédures de cette section afin de modifier l'accès au point de terminaison pour un cluster existant. Le tableau suivant présente les combinaisons d'accès au point de terminaison de serveur d'API prises en charge et leur comportement.

Accès public au point de terminaison	Accès privé au point de terminaison	Attitude
Activé	Désactivées	Il s'agit du comportement par défaut pour les nouveaux clusters Amazon EKS. Les demandes d'API Kubernetes qui proviennent du VPC de votre cluster (telles que la communication entre le nœud et le plan de contrôle) quittent le VPC mais pas le réseau d'Amazon. Le serveur d'API de votre cluster est accessible depuis internet. Si nécessaire, vous pouvez limiter les blocs CIDR qui peuvent accéder au point de terminaison public. Si vous limitez l'accès à des blocs CIDR spécifiques, il est recommandé d'activer également le point de terminaison privé ou de vous assurer que les blocs CIDR que vous spécifiez incluent les adresses à partir desquelles les nœuds et les pods Fargate (si vous les utilisez) accèdent au point de terminaison public.
Activées	Activées	Les demandes d'API Kubernetes au sein du VPC de votre cluster (telles que la communication entre le nœud et le plan de contrôle) utilisent le point de terminaison VPC privé. Le serveur d'API de votre cluster est accessible depuis internet. Si nécessaire, vous pouvez limiter les blocs CIDR qui peuvent accéder au point de terminaison public. Si vous utilisez des nœuds hybrides avec votre cluster Amazon EKS, il n'est pas recommandé d'activer à la fois l'accès aux points de terminaison du cluster public et privé. Comme vos nœuds hybrides s'exécutent en dehors de votre VPC, ils relieront le point de terminaison du cluster aux adresses IP publiques. Il est recommandé d'utiliser un accès aux points de terminaison de cluster public ou privé pour les clusters dotés de nœuds hybrides.
Désactivées	Activées	Tout le trafic vers le serveur API de votre cluster doit provenir du VPC de votre cluster ou d'un réseau connecté. Il n'y a pas d'accès public vers votre serveur d'API depuis Internet. Toutes les commandes `kubectl` doivent provenir du VPC ou d'un réseau connecté. Pour les options de connectivité, consultez Accès à un serveur d'API privé uniquement. Le point de terminaison du serveur API du cluster est résolu par les serveurs DNS publics en une adresse IP privée provenant du VPC. Dans le passé, le point de terminaison ne pouvait être résolu qu'à partir du VPC. Si votre point de terminaison ne se résout pas à une adresse IP privée dans le VPC pour un cluster existant, vous pouvez : Activer l'accès public, puis le désactiver à nouveau. Vous n'avez besoin de le faire qu'une seule fois pour un cluster et le point de terminaison se résoudra en une adresse IP privée à partir de ce point. Mettez à jour votre cluster.

Blocs CIDR dans le point de terminaison public (IPv6cluster)

Vous pouvez ajouter IPv6 des blocs IPv4 CIDR au point de terminaison public d'un IPv6 cluster, car le point de terminaison public est à double pile. Cela ne s'applique IPv6 qu'aux nouveaux clusters ipFamily définis en octobre 2024 ou ultérieurement. Vous pouvez identifier ces clusters par le nouveau nom de domaine du point de terminaisonapi.aws.

Blocs CIDR dans le point de terminaison public (IPv4cluster)

Vous pouvez ajouter des blocs IPv4 CIDR au point de terminaison public d'un IPv4 cluster. Vous ne pouvez pas ajouter de blocs IPv6 CIDR au point de terminaison public d'un IPv4 cluster. Si vous essayez, EKS renvoie le message d'erreur suivant : The following CIDRs are invalid in publicAccessCidrs

Blocs CIDR dans le point de terminaison public (IPv6cluster créé avant octobre 2024)

Vous pouvez ajouter des blocs IPv4 CIDR au point de terminaison public des anciens IPv6 clusters que vous avez créés avant octobre 2024. Vous pouvez identifier ces clusters par le eks.amazonaws.com point de terminaison. Vous ne pouvez pas ajouter de blocs IPv6 CIDR au point de terminaison public de ces anciens IPv6 clusters que vous avez créés avant octobre 2024. Si vous essayez, EKS renvoie le message d'erreur suivant : The following CIDRs are invalid in publicAccessCidrs

Accès à un serveur d'API privé uniquement

Si vous avez désactivé l'accès public pour le point de terminaison du serveur d'API Kubernetes de votre cluster, vous ne pouvez accéder au serveur d'API que depuis votre VPC ou un réseau connecté. Voici quelques méthodes d'accès possibles au point de terminaison du serveur d'API Kubernetes :

Réseau connecté

Connectez votre réseau au VPC à l'aide d'une passerelle de transit AWS ou d'une autre option de connectivité, puis utilisez un ordinateur dans le réseau connecté. Vous devez vous assurer que le groupe de sécurité de votre plan de contrôle Amazon EKS contient des règles pour autoriser le trafic entrant sur le port 443 depuis votre réseau connecté.

Hôte Amazon EC2 Bastion

Vous pouvez lancer une EC2 instance Amazon dans un sous-réseau public du VPC de votre cluster, puis vous connecter via SSH à cette instance pour exécuter des commandes. kubectl Pour plus d'informations, consultez la section Hôtes bastions Linux sur AWS. Vous devez vous assurer que le groupe de sécurité de votre plan de contrôle Amazon EKS contient des règles pour autoriser le trafic entrant sur le port 443 depuis l'hôte bastion. Pour de plus amples informations, veuillez consulter Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters.

Lorsque vous configurez kubectl votre hôte bastion, veillez à utiliser des AWS informations d'identification déjà mappées à la configuration RBAC de votre cluster, ou ajoutez le principal IAM que votre bastion utilisera à la configuration RBAC avant de supprimer l'accès public du point de terminaison. Pour plus d’informations, consultez Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs et Accès non autorisé ou refusé (kubectl).

AWS Environnement de développement intégré Cloud9

AWS Cloud9 est un environnement de développement intégré (IDE) basé sur le cloud qui vous permet d'écrire, d'exécuter et de déboguer votre code avec un simple navigateur. Vous pouvez créer un IDE AWS Cloud9 dans le VPC de votre cluster et utiliser l'IDE pour communiquer avec votre cluster. Pour plus d'informations, consultez Création d'un environnement dans AWS Cloud9. Vous devez vous assurer que votre groupe de sécurité de plan de contrôle Amazon EKS contient des règles permettant d'autoriser le trafic entrant sur le port 443 à partir de votre groupe de sécurité IDE. Pour de plus amples informations, veuillez consulter Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters.

Lorsque vous configurez kubectl votre IDE AWS Cloud9, veillez à utiliser des AWS informations d'identification déjà mappées à la configuration RBAC de votre cluster, ou ajoutez le principal IAM que votre IDE utilisera à la configuration RBAC avant de supprimer l'accès public des terminaux. Pour plus d’informations, consultez Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs et Accès non autorisé ou refusé (kubectl).

📝 Modifiez cette page sur GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Supprimer un cluster

Configuration de l'accès aux terminaux