Accédez à Amazon EKS à l'aide de AWS PrivateLink - Amazon EKS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à Amazon EKS à l'aide de AWS PrivateLink

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Elastic Kubernetes Service. Vous pouvez accéder à Amazon EKS comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou une connexion Direct AWS Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à Amazon EKS.

Vous établissez cette connexion privée en créant un point de terminaison d'interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à Amazon EKS.

Pour plus d'informations, consultez la section Accès aux AWS services AWS PrivateLink dans le AWS PrivateLink Guide.

Avant de commencer

Avant de commencer, assurez-vous d'avoir effectué les tâches suivantes :

Considérations

  • Support et limites : les points de terminaison de l'interface Amazon EKS permettent un accès sécurisé à toutes les actions de l'API Amazon EKS depuis votre VPC, mais comportent des limitations spécifiques : ils ne prennent pas en charge l'accès à APIs Kubernetes, car ils disposent d'un point de terminaison privé distinct, vous ne pouvez pas configurer Amazon EKS pour qu'il soit accessible uniquement via le point de terminaison de l'interface.

  • Tarification : L'utilisation de points de terminaison d'interface pour Amazon EKS entraîne des AWS PrivateLink frais standard : frais horaires pour chaque point de terminaison approvisionné dans chaque zone de disponibilité, frais de traitement des données pour le trafic via le point de terminaison. Pour en savoir plus, consultez la page Tarification AWS PrivateLink .

  • Sécurité et contrôle d'accès : nous recommandons d'améliorer la sécurité et de contrôler l'accès grâce à ces configurations supplémentaires : utilisez des politiques de point de terminaison VPC pour contrôler l'accès à Amazon EKS via le point de terminaison de l'interface, associez des groupes de sécurité aux interfaces réseau des points de terminaison pour gérer le trafic, utilisez les journaux de flux VPC pour capturer et surveiller le trafic IP à destination et en provenance des points de terminaison de l'interface, les journaux pouvant être publiés sur Amazon ou Amazon S3. CloudWatch Pour en savoir plus, consultez Contrôler l'accès aux points de terminaison VPC à l'aide de politiques relatives aux points de terminaison et Journalisation du trafic IP à l'aide des journaux de flux VPC.

  • Options de connectivité : les points de terminaison d'interface offrent des options de connectivité flexibles utilisant un accès sur site (connectez votre centre de données sur site à un VPC avec le point de terminaison d'interface via Direct AWS Connect ou AWS Site-to-Site VPN) ou via une connectivité inter-VPC (utilisez AWS Transit Gateway ou le peering VPC pour connecter une VPCs autre personne au VPC avec le point de terminaison d'interface, en maintenant le trafic sur le réseau). AWS

  • Support des versions IP : les points de terminaison créés avant août 2024 ne sont compatibles qu' IPv4 avec eks.region.amazonaws.com. Les nouveaux points de terminaison créés après août 2024 sont compatibles avec la technologie Dual-Stack IPv4 IPv6 (par exemple, eks.region.amazonaws.com, eks.region.api.aws).

  • Disponibilité régionale : car AWS PrivateLink l'API EKS n'est pas disponible dans les régions Asie-Pacifique (Malaisie) (ap-southeast-5), Asie-Pacifique (Thaïlande) (ap-southeast-7), Mexique (centre) (mx-central-1) et Asie-Pacifique (Taipei) (ap-east-2). AWS PrivateLink le support pour eks-auth (EKS Pod Identity) est disponible dans la région Asie-Pacifique (Malaisie) (ap-southeast-5).

Créer un point de terminaison d'interface pour Amazon EKS

Vous pouvez créer un point de terminaison d'interface pour Amazon EKS à l'aide de la console Amazon VPC ou de l'interface de ligne de AWS commande (AWS CLI). Pour plus d'informations, consultez la section Créer un point de terminaison VPC dans le AWS PrivateLink Guide.

Créez un point de terminaison d'interface pour Amazon EKS à l'aide des noms de service suivants :

API EKS

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (pour les terminaux conformes à la norme FIPS)

API d'authentification EKS (identité du pod EKS)

  • com.amazonaws.region-code.eks-auth

Fonctionnalité DNS privée pour les points de terminaison de l'interface Amazon EKS

La fonctionnalité DNS privé, activée par défaut pour les points de terminaison d'interface d'Amazon EKS et d'autres AWS services, facilite les demandes d'API sécurisées et privées à l'aide des noms DNS régionaux par défaut. Cette fonctionnalité garantit que les appels d'API sont acheminés via le point de terminaison de l'interface via le AWS réseau privé, améliorant ainsi la sécurité et les performances.

La fonctionnalité DNS privé s'active automatiquement lorsque vous créez un point de terminaison d'interface pour Amazon EKS ou d'autres AWS services. Pour l'activer, vous devez configurer correctement votre VPC en définissant des attributs spécifiques :

  • enableDnsHostnames: autorise les instances du VPC à avoir des noms d'hôte DNS.

  • enableDnsSupport: active la résolution DNS dans l'ensemble du VPC.

Pour step-by-step obtenir des instructions sur la vérification ou la modification de ces paramètres, consultez Afficher et mettre à jour les attributs DNS de votre VPC.

Noms DNS et types d'adresses IP

Lorsque la fonctionnalité DNS privé est activée, vous pouvez utiliser des noms DNS spécifiques pour vous connecter à Amazon EKS, et ces options évoluent au fil du temps :

  • eks.region.amazonaws.com : nom DNS traditionnel, résolu uniquement pour les adresses antérieures à août 2024. IPv4 Pour les points de terminaison existants mis à jour vers Dual-Stack, ce nom correspond à la fois aux adresses IPv4 et IPv6 aux adresses.

  • eks.region.api.aws : Disponible pour les nouveaux points de terminaison créés après août 2024, ce nom DNS à double pile correspond à la fois aux adresses et aux adresses. IPv4 IPv6

Après août 2024, les nouveaux points de terminaison d'interface sont dotés de deux noms DNS, et vous pouvez opter pour le type d'adresse IP à double pile. Pour les points de terminaison existants, la mise à jour vers Dual-Stack modifie eks.region.amazonaws.com pour prendre en charge les deux et. IPv4 IPv6

Utilisation de la fonctionnalité DNS privé

Une fois configurée, la fonctionnalité DNS privé peut être intégrée à vos flux de travail, offrant les fonctionnalités suivantes :

  • Demandes d'API : utilisez les noms DNS régionaux par défaut eks.region.amazonaws.com oueks.region.api.aws, en fonction de la configuration de votre terminal, pour envoyer des demandes d'API à Amazon EKS.

  • Compatibilité des applications : vos applications existantes qui appellent EKS ne APIs nécessitent aucune modification pour tirer parti de cette fonctionnalité.

  • AWS CLI avec double pile : pour utiliser les points de terminaison à double pile avec la AWS CLI, consultez la configuration des points de terminaison à double pile et FIPS dans le guide de référence des outils et. AWS SDKs

  • Routage automatique : tout appel vers le point de terminaison du service par défaut Amazon EKS est automatiquement dirigé via le point de terminaison de l'interface, garantissant ainsi une connectivité privée et sécurisée.