Configuration de l'accès aux points de terminaison - AWS console Configuration de l'accès aux points de terminaison - AWS CLI

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Configuration de l’accès réseau au point de terminaison du serveur d’API du cluster

Vous pouvez modifier l'accès aux points de terminaison de votre serveur API de cluster à l'aide de la AWS CLI AWS Management Console ou dans les sections suivantes.

Configuration de l'accès aux points de terminaison - AWS console

Ouvrez la console Amazon EKS.
Choisissez le nom du cluster pour afficher les informations le concernant.
Sélectionnez l’onglet Réseau, puis Gérer l’accès au point de terminaison.
Pour Accès privé, choisissez d’activer ou de désactiver l’accès privé au point de terminaison du serveur d’API Kubernetes de votre cluster. Si vous activez l’accès privé, les requêtes d’API Kubernetes provenant de l’intérieur du VPC de votre cluster utilisent le point de terminaison d’un VPC privé. Vous devez activer l'accès privé pour désactiver l'accès public.
Pour Accès public, choisissez d’activer ou de désactiver l’accès public au point de terminaison du serveur d’API Kubernetes de votre cluster. Si vous désactivez l’accès public, le serveur d’API Kubernetes de votre cluster peut uniquement recevoir des requêtes provenant de l’intérieur du VPC du cluster.
(Facultatif) Si vous avez activé l’accès public, vous pouvez spécifier les adresses IP Internet autorisées à communiquer avec le point de terminaison public. Sélectionnez Advanced Settings (Paramètres avancés). Entrez un bloc CIDR, tel que 203.0.113.5/32. Le bloc ne peut pas inclure d'adresses réservées. Vous pouvez entrer des blocs supplémentaires en sélectionnant Add Source (Ajouter une source). Vous pouvez spécifier un nombre maximal de blocs CIDR. Pour de plus amples informations, veuillez consulter Afficher et gérer les quotas de service Amazon EKS et Fargate. Si vous ne spécifiez aucun bloc CIDR, le point de terminaison public du serveur d’API reçoit des requêtes provenant de toutes les adresses IP pour les IPv4 (0.0.0.0/0) et également pour les IPv6 (::/0) dans un cluster IPv6 à double pile. Si vous limitez l’accès à votre point de terminaison public à l’aide de blocs CIDR, il est recommandé d’activer également l’accès au point de terminaison privé, afin que les nœuds et les pods Fargate Pods (le cas échéant) puissent communiquer avec le cluster. Sans le point de terminaison privé activé, vos sources CIDR de point d’accès public doivent inclure les sources de sortie de votre VPC. Par exemple, si vous avez un nœud dans un sous-réseau privé qui communique à Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans le cadre d'un bloc CIDR autorisé sur votre point de terminaison public.
Choisissez Update (Mettre à jour) pour terminer.

Configuration de l'accès aux points de terminaison - AWS CLI

Effectuez les étapes suivantes à l'aide de la version AWS CLI 1.27.160 ou ultérieure. Vous pouvez vérifier votre version actuelle avec aws --version. Pour installer ou mettre à niveau la AWS CLI, reportez-vous à la section Installation de la AWS CLI.

Mettez à jour l'accès aux points de terminaison de votre serveur d'API de cluster à l'aide de la commande AWS CLI suivante. Remplacez les valeurs par le nom de votre cluster et les valeurs d'accès au point de terminaison souhaitées. Si vous définissez endpointPublicAccess=true, vous pouvez (éventuellement) entrer un seul bloc CIDR ou une liste de blocs CIDR séparés par des virgules pour publicAccessCidrs. Les blocs ne peuvent pas inclure d'adresses réservées. Si vous spécifiez des blocs CIDR, le point de terminaison du serveur d'API public ne recevra que les demandes des blocs répertoriés. Vous pouvez spécifier un nombre maximal de blocs CIDR. Pour de plus amples informations, veuillez consulter Afficher et gérer les quotas de service Amazon EKS et Fargate. Si vous limitez l'accès à votre point de terminaison public à l'aide de blocs CIDR, il est recommandé d'activer également l'accès au point de terminaison privé afin que les nœuds et les Pods Fargate (si vous les utilisez) puissent communiquer avec le cluster. Sans le point de terminaison privé activé, vos sources CIDR de point d’accès public doivent inclure les sources de sortie de votre VPC. Par exemple, si vous avez un nœud dans un sous-réseau privé qui communique à Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans le cadre d'un bloc CIDR autorisé sur votre point de terminaison public. Si vous ne spécifiez aucun bloc CIDR, le point de terminaison public du serveur d’API reçoit des requêtes provenant de toutes les adresses IP (0.0.0.0/0), ainsi que des IPv6 (::/0) dans le cas d’un cluster IPv6 à double pile.

Note
La commande suivante active l'accès privé et l'accès public à partir d'une adresse IP unique pour le point de terminaison du serveur API. Remplacez 203.0.113.5/32 par un seul bloc CIDR ou une liste de blocs CIDR séparés par des virgules auxquels vous souhaitez restreindre l'accès réseau.
```
aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true
```
L'exemple qui suit illustre un résultat.
```
{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "InProgress",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}
```

Surveillez le statut de la mise à jour de l'accès à votre point de terminaison avec la commande suivante, en indiquant le nom de votre cluster et l'ID de mise à jour qui a été renvoyé par la commande précédente. Votre mise à jour est terminée lorsqu'elle affiche l'état Successful.


aws eks describe-update \
    --region region-code \
    --name my-cluster \
    --update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000

L'exemple qui suit illustre un résultat.


{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "Successful",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}

📝 Modifiez cette page sur GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès au point de terminaison de cluster

Activer la prise en charge de Windows

Configuration de l’accès réseau au point de terminaison du serveur d’API du cluster

Configuration de l'accès aux points de terminaison - AWS console

Configuration de l'accès aux points de terminaison - AWS CLI

Note