Akses Amazon EKS menggunakan AWS PrivateLink - Amazon EKS
Sebelum Anda mulaiPertimbanganBuat titik akhir antarmuka untuk Amazon EKSFitur DNS pribadi untuk titik akhir antarmuka Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses Amazon EKS menggunakan AWS PrivateLink

Anda dapat menggunakannya AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon Elastic Kubernetes Service. Anda dapat mengakses Amazon EKS seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Amazon EKS.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Amazon EKS.

Untuk informasi selengkapnya, lihat Akses AWS layanan melalui AWS PrivateLink AWS PrivateLink Panduan.

Sebelum Anda mulai

Sebelum memulai, pastikan Anda telah melakukan tugas-tugas berikut:

Pertimbangan

  • Support and Limitations: Endpoint antarmuka Amazon EKS memungkinkan akses aman ke semua tindakan Amazon EKS API dari VPC Anda tetapi dilengkapi dengan batasan khusus: mereka tidak mendukung akses ke APIs Kubernetes, karena ini memiliki titik akhir pribadi yang terpisah, Anda tidak dapat mengonfigurasi Amazon EKS agar hanya dapat diakses melalui titik akhir antarmuka.

  • Harga: Menggunakan titik akhir antarmuka untuk Amazon EKS menimbulkan AWS PrivateLink biaya standar: biaya per jam untuk setiap titik akhir yang disediakan di setiap Zona Ketersediaan, biaya pemrosesan data untuk lalu lintas melalui titik akhir. Untuk mempelajari lebih lanjut, lihat AWS PrivateLink harga.

  • Keamanan dan Kontrol Akses: Sebaiknya tingkatkan keamanan dan kontrol akses dengan konfigurasi tambahan ini—gunakan kebijakan titik akhir VPC untuk mengontrol akses ke Amazon EKS melalui titik akhir antarmuka, mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengelola lalu lintas, menggunakan log aliran VPC untuk menangkap dan memantau lalu lintas IP ke dan dari titik akhir antarmuka, dengan log yang dapat dipublikasikan ke Amazon atau Amazon S3. CloudWatch Untuk mempelajari lebih lanjut, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir dan Mencatat lalu lintas IP menggunakan Log Aliran VPC.

  • Opsi Konektivitas: Titik akhir antarmuka menawarkan opsi konektivitas fleksibel menggunakan akses lokal (sambungkan pusat data lokal Anda ke VPC dengan titik akhir antarmuka menggunakan Direct AWS Connect atau AWS Site-to-Site VPN) atau melalui konektivitas antar-VPC (gunakan Transit AWS Gateway atau peering VPC untuk VPCs menghubungkan orang lain ke VPC dengan titik akhir antarmuka, menjaga lalu lintas dalam jaringan). AWS

  • Dukungan Versi IP: Titik akhir yang dibuat sebelum Agustus 2024 mendukung hanya IPv4 menggunakan eks.region.amazonaws.com. Titik akhir baru yang dibuat setelah Agustus 2024 mendukung dual-stack IPv4 dan IPv6 (misalnya, eks.region.amazonaws.com, eks.region.api.aws).

  • Ketersediaan Regional: AWS PrivateLink untuk EKS API tidak tersedia di wilayah Asia Pasifik (Malaysia) (ap-tenggara 5), Asia Pasifik (Thailand) (ap-tenggara - 7), Meksiko (Tengah) (mx-sentral-1), dan Asia Pasifik (Taipei) (ap-timur-2). AWS PrivateLink dukungan untuk eks-auth (EKS Pod Identity) tersedia di wilayah Asia Pasifik (Malaysia) (ap-tenggara 5).

Buat titik akhir antarmuka untuk Amazon EKS

Anda dapat membuat titik akhir antarmuka untuk Amazon EKS menggunakan konsol Amazon VPC atau Antarmuka Baris AWS Perintah (AWS CLI). Untuk informasi selengkapnya, lihat Membuat titik akhir VPC di Panduan. AWS PrivateLink

Buat titik akhir antarmuka untuk Amazon EKS menggunakan nama layanan berikut:

EKS API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (untuk titik akhir yang sesuai dengan FIPS)

EKS Auth API (Identitas EKS Pod)

  • com.amazonaws.region-code.eks-auth

Fitur DNS pribadi untuk titik akhir antarmuka Amazon EKS

Fitur DNS pribadi, diaktifkan secara default untuk titik akhir antarmuka Amazon EKS dan AWS layanan lainnya, memfasilitasi permintaan API yang aman dan pribadi menggunakan nama DNS Regional default. Fitur ini memastikan bahwa panggilan API dirutekan melalui titik akhir antarmuka melalui AWS jaringan pribadi, meningkatkan keamanan dan kinerja.

Fitur DNS pribadi aktif secara otomatis saat Anda membuat titik akhir antarmuka untuk Amazon EKS atau layanan lainnya. AWS Untuk mengaktifkan, Anda perlu mengkonfigurasi VPC Anda dengan benar dengan mengatur atribut tertentu:

  • enableDnsHostnames: Memungkinkan instance dalam VPC memiliki nama host DNS.

  • enableDnsSupport: Mengaktifkan resolusi DNS di seluruh VPC.

Untuk step-by-step petunjuk untuk memeriksa atau mengubah pengaturan ini, lihat Melihat dan memperbarui atribut DNS untuk VPC Anda.

Nama DNS dan jenis alamat IP

Dengan mengaktifkan fitur DNS pribadi, Anda dapat menggunakan nama DNS tertentu untuk terhubung ke Amazon EKS, dan opsi ini berkembang seiring waktu:

  • eks.region.amazonaws.com: Nama DNS tradisional, hanya diselesaikan ke alamat sebelum Agustus 2024. IPv4 Untuk titik akhir yang ada yang diperbarui ke dual-stack, nama ini diselesaikan ke keduanya dan alamat. IPv4 IPv6

  • eks.region.api.aws: Tersedia untuk titik akhir baru yang dibuat setelah Agustus 2024, nama DNS tumpukan ganda ini diselesaikan ke keduanya dan alamat. IPv4 IPv6

Setelah Agustus 2024, titik akhir antarmuka baru hadir dengan dua nama DNS, dan Anda dapat memilih jenis alamat IP dual-stack. Untuk titik akhir yang ada, memperbarui ke dual-stack memodifikasi eks.region.amazonaws.com untuk mendukung keduanya dan. IPv4 IPv6

Menggunakan fitur DNS Pribadi

Setelah dikonfigurasi, fitur DNS pribadi dapat diintegrasikan ke dalam alur kerja Anda, menawarkan kemampuan berikut:

  • Permintaan API: Gunakan nama DNS Regional default, baik eks.region.amazonaws.com ataueks.region.api.aws, berdasarkan penyiapan titik akhir Anda untuk membuat permintaan API ke Amazon EKS.

  • Kompatibilitas Aplikasi: Aplikasi Anda yang ada yang memanggil EKS tidak APIs memerlukan perubahan untuk memanfaatkan fitur ini.

  • AWS CLI dengan Dual-Stack: Untuk menggunakan titik akhir dual-stack dengan AWS CLI, lihat konfigurasi titik akhir Dual-stack dan FIPS di Panduan Referensi Alat dan. AWS SDKs

  • Perutean Otomatis: Setiap panggilan ke titik akhir layanan default Amazon EKS secara otomatis diarahkan melalui titik akhir antarmuka, memastikan konektivitas pribadi dan aman.