IPv6format titik akhir cluster IPv4format titik akhir cluster Titik akhir pribadi cluster Memodifikasi akses titik akhir klaster Mengakses server API privat saja

Titik akhir server API cluster

Topik ini membantu Anda mengaktifkan akses pribadi untuk titik akhir server API Kubernetes klaster Amazon EKS Anda dan membatasi, atau sepenuhnya menonaktifkan, akses publik dari internet.

Ketika Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda (alat pengelolaan Kubernetes seperti kubectl). Secara default, endpoint server API ini bersifat publik ke internet, dan akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) and Access Management (IAM) dan native Kubernetes Role Based Access Control (RBAC). Endpoint ini dikenal sebagai cluster public endpoint. Juga ada titik akhir pribadi cluster. Untuk informasi selengkapnya tentang titik akhir pribadi cluster, lihat bagian Titik akhir pribadi cluster berikut.

`IPv6`format titik akhir cluster

EKS membuat titik akhir dual-stack unik dalam format berikut untuk IPv6 cluster baru yang dibuat setelah Oktober 2024. Cluster adalah IPv6 cluster yang Anda pilih IPv6 dalam pengaturan IP family (ipFamily) cluster.

catatan

Titik akhir cluster dual-stack diperkenalkan pada Oktober 2024. Untuk informasi selengkapnya tentang IPv6 cluster, lihatPelajari tentang IPv6 alamat ke klaster, Pod, dan layanan. Cluster yang dibuat sebelum Oktober 2024, gunakan format titik akhir berikut sebagai gantinya.

`IPv4`format titik akhir cluster

EKS membuat titik akhir unik dalam format berikut untuk setiap cluster yang memilih IPv4 dalam pengaturan keluarga IP (IPFamily) cluster:

catatan

Sebelum Oktober 2024, IPv6 cluster menggunakan format titik akhir ini juga. Untuk cluster tersebut, titik akhir publik dan titik akhir pribadi hanya memiliki IPv4 alamat penyelesaian dari titik akhir ini.

Titik akhir pribadi cluster

Anda dapat mengaktifkan akses privat ke server API Kubernetes sehingga semua komunikasi antara simpul Anda dan server API tetap berada di dalam VPC Anda. Anda dapat membatasi alamat IP yang dapat mengakses server API Anda dari internet, atau menonaktifkan sepenuhnya akses internet ke server API.

catatan

Karena titik akhir ini untuk server API Kubernetes dan bukan AWS PrivateLink titik akhir tradisional untuk berkomunikasi dengan AWS API, titik akhir ini tidak muncul sebagai titik akhir di konsol VPC Amazon.

Saat Anda mengaktifkan akses pribadi titik akhir untuk klaster Anda, Amazon EKS membuat zona host pribadi Route 53 atas nama Anda dan mengaitkannya dengan VPC klaster Anda. Zona host pribadi ini dikelola oleh Amazon EKS, dan tidak muncul di sumber daya Route 53 akun Anda. Agar zona privat yang di-hosting dapat merutekan lalu lintas ke server API Anda dengan benar, VPC Anda harus memiliki enableDnsHostnames dan enableDnsSupport yang diatur ke true, dan opsi DHCP yang diatur untuk VPC Anda harus menyertakan AmazonProvidedDNS dalam daftar server nama domainnya. Untuk informasi selengkapnya, lihat Memperbarui DNS dukungan untuk VPC Anda dalam Panduan Pengguna Amazon VPC.

Anda dapat menentukan persyaratan akses titik akhir server API ketika membuat klaster baru, dan dapat memperbarui akses tersebut untuk klaster kapanpun.

Memodifikasi akses titik akhir klaster

Gunakan prosedur di bagian ini untuk memodifikasi akses titik akhir untuk klaster yang sudah ada. Tabel berikut menunjukkan kombinasi akses titik akhir server API yang didukung dan perilaku terkaitnya.

Akses publik titik akhir	Akses privat titik akhir	Perilaku
Diaktifkan	Dinonaktifkan	Ini adalah perilaku default untuk klaster Amazon EKS yang baru. Permintaan API Kubernetes yang berasal dari dalam VPC klaster Anda (seperti node untuk mengontrol komunikasi pesawat) meninggalkan VPC tetapi bukan jaringan Amazon. Server API klaster Anda dapat diakses dari internet. Secara opsional, Anda dapat membatasi blok CIDR yang dapat mengakses titik akhir publik. Jika Anda membatasi akses ke blok CIDR tertentu, disarankan agar Anda juga mengaktifkan titik akhir pribadi, atau memastikan bahwa blok CIDR yang Anda tentukan menyertakan alamat tempat node dan Pod Fargate (jika Anda menggunakannya) mengakses titik akhir publik.
Diaktifkan	Diaktifkan	Permintaan API Kubernetes dalam VPC klaster Anda (seperti node untuk mengontrol komunikasi pesawat) menggunakan titik akhir VPC pribadi. Server API klaster Anda dapat diakses dari internet. Secara opsional, Anda dapat membatasi blok CIDR yang dapat mengakses titik akhir publik. Jika Anda menggunakan node hibrida dengan kluster Amazon EKS Anda, tidak disarankan untuk mengaktifkan akses titik akhir klaster Publik dan Pribadi. Karena node hybrid Anda berjalan di luar VPC Anda, mereka akan menyelesaikan titik akhir cluster ke alamat IP publik. Disarankan untuk menggunakan akses endpoint klaster Publik atau Pribadi untuk cluster dengan node hibrida.
Nonaktif	Diaktifkan	Semua lalu lintas ke server API cluster Anda harus berasal dari dalam VPC klaster Anda atau jaringan yang terhubung. Tidak ada akses publik ke server API Anda dari internet. Perintah `kubectl` apa pun harus berasal dari dalam VPC atau jaringan yang terhubung. Untuk opsi koneksi lainnya, lihat Mengakses server API privat saja. Titik akhir server API cluster diselesaikan oleh server DNS publik ke alamat IP pribadi dari VPC. Di masa lalu, titik akhir hanya dapat diselesaikan dari dalam VPC. Jika titik akhir Anda tidak menyelesaikan ke alamat IP privat dalam VPC untuk klaster yang sudah ada, Anda dapat: Aktifkan akses publik dan kemudian nonaktifkan kembali. Anda hanya perlu melakukannya sekali untuk sebuah klaster dan titik akhir akan diselesaikan ke alamat IP privat sejak saat itu. Perbarui klaster Anda.

Blok CIDR di titik akhir publik (cluster) IPv6

Anda dapat menambahkan IPv6 dan IPv4 CIDR memblokir ke titik akhir publik sebuah IPv6 cluster, karena titik akhir publik adalah dual-stack. Ini hanya berlaku untuk cluster baru dengan ipFamily set IPv6 yang Anda buat pada Oktober 2024 atau lebih baru. Anda dapat mengidentifikasi cluster ini dengan nama domain endpoint baru. api.aws

Blok CIDR di titik akhir publik (cluster) IPv4

Anda dapat menambahkan blok IPv4 CIDR ke titik akhir publik sebuah IPv4 cluster. Anda tidak dapat menambahkan blok IPv6 CIDR ke titik akhir publik klaster. IPv4 Jika Anda mencoba, EKS mengembalikan pesan kesalahan berikut: The following CIDRs are invalid in publicAccessCidrs

Blok CIDR di titik akhir publik (IPv6cluster dibuat sebelum Oktober 2024)

Anda dapat menambahkan blok IPv4 CIDR ke titik akhir publik dari IPv6 cluster lama yang Anda buat sebelum Oktober 2024. Anda dapat mengidentifikasi cluster ini dengan titik eks.amazonaws.com akhir. Anda tidak dapat menambahkan blok IPv6 CIDR ke titik akhir publik dari IPv6 cluster lama yang Anda buat sebelum Oktober 2024. Jika Anda mencoba, EKS mengembalikan pesan kesalahan berikut: The following CIDRs are invalid in publicAccessCidrs

Mengakses server API privat saja

Jika Anda telah menonaktifkan akses publik untuk titik akhir server Kubernetes API klaster Anda, Anda hanya dapat mengakses server API dari dalam VPC atau jaringan yang terhubung. Berikut adalah beberapa alternatif cara untuk mengakses titik akhir server Kubernetes API:

Jaringan yang terhubung

Hubungkan jaringan Anda ke VPC dengan gateway AWS transit atau opsi konektivitas lainnya dan kemudian gunakan komputer di jaringan yang terhubung. Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari jaringan terhubung milik Anda.

Tuan rumah EC2 benteng Amazon

Anda dapat meluncurkan EC2 instans Amazon ke subnet publik di VPC klaster Anda dan kemudian masuk melalui SSH ke instance tersebut untuk menjalankan perintah. kubectl Untuk informasi selengkapnya, lihat Linux bastion host di AWS. Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari host bastion milik Anda. Untuk informasi selengkapnya, lihat Lihat persyaratan grup keamanan Amazon EKS untuk cluster.

Saat Anda mengonfigurasi kubectl untuk host bastion Anda, pastikan untuk menggunakan AWS kredenal yang sudah dipetakan ke konfigurasi RBAC cluster Anda, atau tambahkan prinsipal IAM yang akan digunakan bastion Anda ke konfigurasi RBAC sebelum Anda menghapus akses publik titik akhir. Untuk informasi selengkapnya, lihat Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs dan Tidak sah atau akses ditolak (kubectl).

AWS Cloud9 IDE

AWS Cloud9 adalah lingkungan pengembangan terintegrasi berbasis cloud (IDE) yang memungkinkan Anda menulis, menjalankan, dan men-debug kode hanya dengan browser. Anda dapat membuat AWS Cloud9 IDE di VPC klaster Anda dan menggunakan IDE untuk berkomunikasi dengan cluster Anda. Untuk informasi selengkapnya, lihat Membuat lingkungan di AWS Cloud9. Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari grup keamanan IDE milik Anda. Untuk informasi selengkapnya, lihat Lihat persyaratan grup keamanan Amazon EKS untuk cluster.

Saat Anda mengonfigurasi kubectl untuk AWS Cloud9 IDE, pastikan untuk AWS menggunakan kredensional yang sudah dipetakan ke konfigurasi RBAC klaster Anda, atau tambahkan prinsip IAM yang akan digunakan IDE Anda ke konfigurasi RBAC sebelum Anda menghapus akses publik titik akhir. Untuk informasi selengkapnya, lihat Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs dan Tidak sah atau akses ditolak (kubectl).

📝 Edit halaman ini di GitHub

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Lindungi kluster EKS dari penghapusan yang tidak disengaja

Konfigurasikan akses titik akhir