**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Point de terminaison du serveur d’API du cluster
Cette rubrique vous aide à activer l’accès privé pour le point de terminaison de serveur d’API Kubernetes de votre cluster Amazon EKS et à désactiver complètement l’accès public afin que celui-ci ne soit pas accessible depuis Internet.
Lorsque vous créez un cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster (à l'aide d'outils de gestion Kubernetes comme `kubectl`). Par défaut, ce point de terminaison du serveur d'API est public sur Internet, et l'accès au serveur d'API est sécurisé à l'aide d'une combinaison d' AWS Identity and Access Management (IAM) et de contrôle d'accès basé sur le [rôle](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) Kubernetes natif. Ce point de terminaison est connu sous le nom de *point de terminaison public du cluster*. Il existe également un *point de terminaison privé du cluster*. Pour plus d’informations sur le point de terminaison privé du cluster, consultez la section [Point de terminaison privé du cluster](#cluster-endpoint-private) suivante.
## Format du point de terminaison du cluster `IPv6`
EKS crée un point de terminaison à double pile unique selon le format ci-dessous pour tout nouveau cluster `IPv6` créé après octobre 2024. Un *IPv6 cluster* est un cluster que vous sélectionnez `IPv6` dans le paramètre IP family (`ipFamily`) du cluster.
**Example**
Point de public/private terminaison du cluster EKS : `eks-cluster.region.api.aws`
Point de public/private terminaison du cluster EKS : `eks-cluster.region.api.aws`
Point de public/private terminaison du cluster EKS : `eks-cluster---region---api.amazonwebservices.com.rproxy.govskope.ca.cn`
**Note**
Le point de terminaison de cluster à double pile a été introduit en octobre 2024. Pour plus d’informations sur les clusters `IPv6`, consultez [En savoir plus sur IPv6 les adresses des clusters, des pods et des services](cni-ipv6.md). Les clusters créés avant octobre 2024 utilisent plutôt le format de point de terminaison suivant.
## Format du point de terminaison du cluster `IPv4`
EKS crée un point de terminaison unique au format suivant pour chaque cluster avec `IPv4` sélectionné dans le paramètre de famille d’adresses IP (ipFamily) du cluster :
**Example**
public/private Point final du cluster EKS `eks-cluster.region.eks.amazonaws.com`
public/private Point final du cluster EKS `eks-cluster.region.eks.amazonaws.com`
public/private Point final du cluster EKS `eks-cluster---region.amazonwebservices.com.rproxy.govskope.ca.cn`
**Note**
Avant octobre 2024, les clusters `IPv6` utilisaient également ce format de point de terminaison. Pour ces clusters, les points de terminaison public et privé ne résolvaient que des adresses `IPv4`.
## Point de terminaison privé du cluster
Vous pouvez activer l'accès privé au serveur d'API Kubernetes pour que toutes les communications entre vos nœuds et le serveur d'API restent au sein de votre VPC. Vous pouvez limiter les adresses IP qui peuvent accéder à votre serveur API à partir d'Internet, ou désactiver complètement l'accès Internet au serveur d'API.
**Note**
Comme ce point de terminaison est destiné au serveur d'API Kubernetes et n'est pas un point de AWS PrivateLink terminaison traditionnel pour communiquer avec une AWS API, il n'apparaît pas en tant que point de terminaison dans la console Amazon VPC.
Lorsque vous activez l’accès privé au point de terminaison de votre cluster, Amazon EKS crée automatiquement une zone hébergée privée Route 53 et l’associe au VPC de votre cluster. Cette zone hébergée privée est gérée par Amazon EKS et n’apparaît pas dans vos ressources Route 53. Pour que la zone hébergée privée achemine correctement le trafic vers votre serveur d'API, votre VPC doit avoir `enableDnsHostnames` et `enableDnsSupport` définis sur `true`, et les options DHCP définies pour votre VPC doivent inclure `AmazonProvidedDNS` dans leur liste de serveurs de nom de domaine. Pour plus d'informations, consultez [Mise à jour du support DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dans le *Guide de l'utilisateur d'Amazon VPC*.
Vous pouvez définir les exigences d'accès au point de terminaison de votre serveur d'API lorsque vous créez un nouveau cluster, et vous pouvez mettre à jour l'accès au point de terminaison du serveur d'API pour un cluster à tout moment.
## Modification de l'accès au point de terminaison de cluster
Utilisez les procédures de cette section afin de modifier l'accès au point de terminaison pour un cluster existant. Le tableau suivant présente les combinaisons d'accès au point de terminaison de serveur d'API prises en charge et leur comportement.
| Accès public au point de terminaison | Accès privé au point de terminaison | Attitude |
| --- | --- | --- |
| Activé | Désactivé | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/eks/latest/userguide/cluster-endpoint.html) |
| Activé | Activé | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/eks/latest/userguide/cluster-endpoint.html) |
| Désactivé | Activé | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/eks/latest/userguide/cluster-endpoint.html) |
**Contrôles d'accès aux terminaux**
Notez que chacune des méthodes suivantes pour contrôler l'accès au point de terminaison n'affecte que le point de terminaison concerné.
*Groupe de sécurité du cluster*
Le groupe de sécurité du cluster contrôle deux types de connexions : les connexions à l'*API kubelet et* le point de terminaison privé. Les connexions à l'`kubelet`API sont utilisées dans les `kubectl port-forward` commandes `kubectl attach` `kubectl cp``kubectl exec`,`kubectl logs`,, et. Le groupe de sécurité du cluster n'affecte pas le point de terminaison public.
*Accès public CIDRs*
L'*accès public CIDRs contrôle l'*accès au point de terminaison public par une liste de blocs CIDR. Notez que l'accès public n'affecte CIDRs pas le point de terminaison privé. L'accès public CIDRs se comporte différemment sur les `IPv6` `IPv4` clusters et les clusters en fonction de leur date de création, décrite ci-dessous :
**Blocs CIDR dans le point de terminaison public (cluster `IPv6`)**
Vous pouvez ajouter des blocs CIDR `IPv6` et `IPv4` au point de terminaison public d’un cluster `IPv6`, car le point de terminaison public est double pile. Cette option ne s’applique qu’aux nouveaux clusters dont la `ipFamily` est définie sur `IPv6` et qui sont créés en octobre 2024 ou après. Vous pouvez identifier ces clusters grâce à leur nouveau nom de domaine de point de terminaison `api.aws`.
**Blocs CIDR dans le point de terminaison public (cluster `IPv4`)**
Vous pouvez ajouter des blocs CIDR `IPv4` au point de terminaison public d’un cluster `IPv4`. Vous ne pouvez pas ajouter des blocs CIDR `IPv6` au point de terminaison public d’un cluster `IPv4`. Si vous essayez, EKS renvoie le message d’erreur suivant : `The following CIDRs are invalid in publicAccessCidrs`
**Blocs CIDR dans le point de terminaison public (cluster `IPv6` créé avant octobre 2024)**
Vous pouvez ajouter des blocs CIDR `IPv4` au point de terminaison public des anciens clusters `IPv6` que vous avez créés avant octobre 2024. Vous pouvez identifier ces clusters grâce au point de terminaison `eks.amazonaws.com`. Vous ne pouvez pas ajouter des blocs CIDR `IPv6` au point de terminaison public de ces anciens clusters `IPv6` que vous avez créés avant octobre 2024. Si vous essayez, EKS renvoie le message d’erreur suivant : `The following CIDRs are invalid in publicAccessCidrs`
## Accès à un serveur d'API privé uniquement
Si vous avez désactivé l’accès public au point de terminaison du serveur d’API Kubernetes de votre cluster, vous ne pouvez accéder à l’API serveur que depuis votre VPC ou un [réseau connecté](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html). Voici quelques méthodes d'accès possibles au point de terminaison du serveur d'API Kubernetes :
**Réseau connecté**
Connectez votre réseau au VPC à l'aide d'une [passerelle de transit AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) ou d'une autre option de [connectivité](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html), puis utilisez un ordinateur dans le réseau connecté. Vous devez vous assurer que le groupe de sécurité de votre plan de contrôle Amazon EKS contient des règles pour autoriser le trafic entrant sur le port 443 depuis votre réseau connecté.
**Hôte Amazon EC2 Bastion**
Vous pouvez lancer une EC2 instance Amazon dans un sous-réseau public du VPC de votre cluster, puis vous connecter via SSH à cette instance pour exécuter des commandes. `kubectl` Pour plus d'informations, consultez la section [Hôtes bastions Linux sur AWS](https://aws.amazon.com/quickstart/architecture/linux-bastion/). Vous devez vous assurer que le groupe de sécurité de votre plan de contrôle Amazon EKS contient des règles pour autoriser le trafic entrant sur le port 443 depuis l'hôte bastion. Pour de plus amples informations, veuillez consulter [Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters](sec-group-reqs.md).
Lorsque vous configurez `kubectl` votre hôte bastion, veillez à utiliser des AWS informations d'identification déjà mappées à la configuration RBAC de votre cluster, ou ajoutez le [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que votre bastion utilisera à la configuration RBAC avant de supprimer l'accès public du point de terminaison. Pour plus d’informations, consultez [Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs](grant-k8s-access.md) et [Accès non autorisé ou refusé (`kubectl`)](troubleshooting.md#unauthorized).
**Environnement de développement intégré AWS Cloud9**
AWS Cloud9 est un environnement de développement intégré (IDE) basé sur le cloud qui vous permet d'écrire, d'exécuter et de déboguer votre code avec un simple navigateur. Vous pouvez créer un IDE AWS Cloud9 dans le VPC de votre cluster et utiliser l'IDE pour communiquer avec votre cluster. Pour plus d'informations, consultez [Création d'un environnement dans AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html). Vous devez vous assurer que votre groupe de sécurité de plan de contrôle Amazon EKS contient des règles permettant d'autoriser le trafic entrant sur le port 443 à partir de votre groupe de sécurité IDE. Pour de plus amples informations, veuillez consulter [Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters](sec-group-reqs.md).
Lorsque vous configurez `kubectl` votre IDE AWS Cloud9, veillez à utiliser des AWS informations d'identification déjà mappées à la configuration RBAC de votre cluster, ou ajoutez le principal IAM que votre IDE utilisera à la configuration RBAC avant de supprimer l'accès public des terminaux. Pour plus d’informations, consultez [Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs](grant-k8s-access.md) et [Accès non autorisé ou refusé (`kubectl`)](troubleshooting.md#unauthorized).
📝 [Modifiez cette page sur GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code)