Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accéder à Amazon EKS à l’aide d’AWS PrivateLink
Vous pouvez utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Elastic Kubernetes Service. Vous pouvez accéder à Amazon EKS comme s’il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de dispositif NAT, de connexion VPN ou de connexion AWS Direct Connect. Les instances de votre VPC n’ont pas besoin d’adresses IP publiques pour accéder à Amazon EKS.
Vous établissez cette connexion privée en créant un point de terminaison d’interface à technologie AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à Amazon EKS.
Pour plus d’informations, consultez Accéder aux services AWS via AWS PrivateLink dans le Guide AWS PrivateLink.
Avant de commencer
Avant de commencer, assurez-vous d’avoir effectué les tâches suivantes :
-
Consultez la section Accéder à un service AWS à l’aide d’un point de terminaison d’un VPC d’interface dans le Guide AWS PrivateLink
Considérations
-
Assistance et limitations : les points de terminaison d’interface Amazon EKS permettent un accès sécurisé à toutes les actions de l’API Amazon EKS à partir de votre VPC, mais ils sont soumis à certaines limitations : ils ne prennent pas en charge l’accès aux API Kubernetes, car celles-ci disposent d’un point de terminaison privé distinct. Vous ne pouvez pas configurer Amazon EKS pour qu’il soit accessible uniquement via le point de terminaison d’interface.
-
Tarification : l’utilisation de points de terminaison d’interface pour Amazon EKS entraîne des frais AWS PrivateLink standard : frais horaires pour chaque point de terminaison provisionné dans chaque zone de disponibilité, frais de traitement des données pour le trafic passant par le point de terminaison. Pour en savoir plus, consultez Tarification AWS PrivateLink
. -
Sécurité et contrôle d’accès : nous vous recommandons de renforcer la sécurité et de contrôler l’accès à l’aide de ces configurations supplémentaires : utilisez les politiques de point de terminaison d’un VPC pour contrôler l’accès à Amazon EKS via le point de terminaison d’interface, associez des groupes de sécurité aux interfaces réseau des points de terminaison pour gérer le trafic, utilisez les journaux de flux VPC pour capturer et surveiller le trafic IP vers et depuis les points de terminaison d’interface, avec des journaux pouvant être diffusés sur Amazon CloudWatch ou Amazon S3. Pour en savoir plus, consultez Contrôle de l’accès aux points de terminaison d’un VPC à l’aide des politiques de point de terminaison et Journalisation du trafic IP à l’aide des journaux de flux VPC.
-
Options de connectivité : les points de terminaison d’interface offrent des options de connectivité flexibles à l’aide de l’accès sur site (connectez votre centre de données sur site à un VPC avec le point de terminaison d’interface à l’aide d’AWS Direct Connect ou d’AWS Site-to-Site VPN) ou via la connectivité inter-VPC (utilisez AWS Transit Gateway ou le peering VPC pour connecter d’autres VPC au VPC avec le point de terminaison d’interface, en conservant le trafic au sein du réseau AWS). .
-
Prise en charge des versions IP : les points de terminaison créés avant août 2024 prennent uniquement en charge IPv4 à l’aide de eks.region.amazonaws.com. Les nouveaux points de terminaison créés après août 2024 prennent en charge la double pile IPv4 et IPv6 (par exemple, eks.region.amazonaws.com, eks.region.api.aws).
-
Disponibilité régionale : AWS PrivateLink pour l’API EKS n’est pas disponible dans les régions Asie-Pacifique (Malaisie) (ap-southeast-5), Asie-Pacifique (Thaïlande) (ap-southeast-7), Mexique (Centre) (mx-central-1) et Asie-Pacifique (Taipei) (ap-east-2). AWS PrivateLink pour eks-auth (Identité du pod Amazon EKS) est disponible dans la région Asie-Pacifique (Malaisie) (ap-southeast-5).
Créer un point de terminaison d'interface pour Amazon EKS
Vous pouvez créer un point de terminaison d’un VPC pour Amazon EKS à l’aide de la console Amazon VPC ou de l’interface de ligne de commande AWS (AWS CLI). Pour plus d’informations, consultez Créer un point de terminaison d’un VPC dans le Guide AWS PrivateLink.
Créez un point de terminaison d’interface pour Amazon EKS à l’aide des noms de service suivants :
API EKS
-
com.amazonaws.region-code.eks
-
com.amazonaws.code-région.eks-fips (pour les points de terminaison conformes à la norme FIPS)
API EKS Auth (Identité du pod EKS)
-
com.amazonaws.region-code.eks-auth
Fonctionnalité DNS privée pour les points de terminaison d’interface Amazon EKS
La fonctionnalité DNS privée, activée par défaut pour les points de terminaison d’interface d’Amazon EKS et d’autres services AWS, facilite les demandes API sécurisées et privées à l’aide des noms DNS régionaux par défaut. Cette fonctionnalité garantit que les appels d’API sont routés via le point de terminaison d’interface sur le réseau AWS privé, ce qui améliore la sécurité et les performances.
La fonctionnalité DNS privés s’active automatiquement lorsque vous créez un point de terminaison d’interface pour Amazon EKS ou d’autres services AWS. Pour l’activer, vous devez configurer correctement votre VPC en définissant des attributs spécifiques :
-
enableDnsHostnames : permet aux instances au sein du VPC d’avoir des noms d’hôte DNS.
-
enableDnsSupport : active la résolution DNS dans l’ensemble du VPC.
Pour obtenir des instructions détaillées sur la vérification ou la modification de ces paramètres, consultez Afficher et mettre à jour les attributs DNS de votre VPC.
Noms DNS et types d’adresses IP
Lorsque la fonctionnalité DNS privés est activée, vous pouvez utiliser des noms DNS spécifiques pour vous connecter à Amazon EKS. Ces options évoluent au fil du temps :
-
eks.region.amazonaws.com : le nom DNS traditionnel, qui ne résout que les adresses IPv4 avant août 2024. Pour les points de terminaison existants mis à jour vers la double pile, ce nom résout à la fois les adresses IPv4 et IPv6.
-
eks.region.api.aws : disponible pour les nouveaux points de terminaison créés après août 2024, ce nom DNS à double pile résout à la fois les adresses IPv4 et IPv6.
Après août 2024, les nouveaux points de terminaison d’interface seront fournis avec deux noms DNS, et vous pourrez opter pour le type d’adresse IP double pile. Pour les points de terminaison existants, la mise à jour vers la double pile modifie eks.region.amazonaws.com afin de prendre en charge à la fois IPv4 et IPv6.
Utilisation de la fonctionnalité DNS privés
Une fois configurée, la fonctionnalité DNS privés peut être intégrée à vos flux de travail, offrant les capacités suivantes :
-
Requêtes API : utilisez les noms DNS régionaux par défaut,
eks---region.amazonaws.com.rproxy.govskope.caoueks.region.api.aws, en fonction de la configuration de votre point de terminaison pour effectuer des requêtes API vers Amazon EKS. -
Compatibilité des applications : vos applications existantes qui appellent les API EKS ne nécessitent aucune modification pour tirer parti de cette fonctionnalité.
-
AWS CLI avec double pile : pour utiliser les points de terminaison à double pile avec l’AWS CLI, consultez la configuration Points de terminaison à double pile et FIPS dans le Guide de référence des SDK et outils AWS.
-
Routage automatique : tout appel vers le point de terminaison de service par défaut d’Amazon EKS est automatiquement dirigé vers le point de terminaison de l’interface, garantissant ainsi une connectivité privée et sécurisée.
