IPv6formato dell'endpoint del cluster IPv4formato degli endpoint del cluster Endpoint privato del cluster Modifica dell'accesso all'endpoint del cluster Accesso a un server API solo privato

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Endpoint del server Cluster API

Questo argomento ti aiuta a abilitare l'accesso privato per l'endpoint del server API Kubernetes del tuo cluster Amazon EKS e a limitare o disabilitare completamente l'accesso pubblico da Internet.

Quando si crea un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito utilizzato per comunicare con il cluster (usando strumenti di gestione Kubernetes, ad esempio kubectl). Per impostazione predefinita, questo endpoint del server API è pubblico su Internet e l'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e RBAC (Role Based Access Control) nativo di Kubernetes. Questo endpoint è noto come endpoint pubblico del cluster. Esiste anche un endpoint privato del cluster. Per ulteriori informazioni sull'endpoint privato del cluster, vedere la sezione seguente. Endpoint privato del cluster

`IPv6`formato dell'endpoint del cluster

EKS crea un endpoint dual-stack unico nel seguente formato per i nuovi IPv6 cluster creati dopo ottobre 2024. Un IPv6 cluster è un cluster selezionato IPv6 nell'impostazione della famiglia IP () ipFamily del cluster.

Nota

L'endpoint del cluster dual-stack è stato introdotto nell'ottobre 2024. Per ulteriori informazioni sui cluster, vedere. IPv6 Scopri IPv6 gli indirizzi di cluster, pod e servizi Per i cluster creati prima di ottobre 2024, utilizzate invece il seguente formato di endpoint.

`IPv4`formato degli endpoint del cluster

EKS crea un endpoint univoco nel seguente formato per ogni cluster selezionato IPv4 nell'impostazione della famiglia IP (IPFamily) del cluster:

Nota

Prima di ottobre 2024, anche IPv6 i cluster utilizzavano questo formato di endpoint. Per questi cluster, sia l'endpoint pubblico che l'endpoint privato dispongono solo IPv4 di indirizzi risolti da questo endpoint.

Endpoint privato del cluster

Puoi abilitare l'accesso privato al server API Kubernetes in modo che tutte le comunicazioni tra i nodi di lavoro e il server API rimangano all'interno del VPC. È possibile limitare gli indirizzi IP che possono accedere al server API da Internet o disabilitare completamente l'accesso a Internet al server API.

Nota

Poiché questo endpoint è destinato al server API Kubernetes e non a un AWS PrivateLink endpoint tradizionale per la comunicazione con un' AWS API, non viene visualizzato come endpoint nella console Amazon VPC.

Quando abiliti l'accesso privato agli endpoint per il tuo cluster, Amazon EKS crea una zona ospitata privata Route 53 per tuo conto e la associa al VPC del cluster. Questa zona ospitata privata è gestita da Amazon EKS e non compare nelle risorse Route 53 del tuo account. Affinché la zona ospitata privata instradi correttamente il traffico verso il tuo server API, il VPC deve avere enableDnsHostnames e enableDnsSupport impostati su true e le opzioni DHCP impostate per il VPC devono includere AmazonProvidedDNS nell'elenco dei server dei nomi di dominio. Per ulteriori informazioni, consultare Visualizzazione e aggiornamento del supporto DNS per il VPC nella Guida per l'utente di Amazon VPC.

È possibile definire i requisiti di accesso all'endpoint del server API quando si crea un nuovo cluster e aggiornare l'accesso endpoint del server API per un cluster in qualsiasi momento.

Modifica dell'accesso all'endpoint del cluster

Utilizza le procedure in questa sezione per modificare l'accesso all'endpoint per un cluster esistente. La tabella seguente mostra le combinazioni di accesso all'endpoint del server API supportate e il comportamento associato.

Accesso pubblico all'endpoint	Accesso privato all'endpoint	Comportamento
Abilitato	Disabilitato	Questo è il comportamento di default per nuovi cluster Amazon EKS. Le richieste API Kubernetes che provengono dal VPC del cluster (ad esempio la comunicazione tra nodo e piano di controllo) escono dal VPC ma non dalla rete di Amazon. Il server API del cluster è accessibile da Internet. È possibile, facoltativamente, limitare i blocchi CIDR che possono accedere all'endpoint pubblico. Se limiti l'accesso a blocchi CIDR specifici, ti consigliamo di abilitare anche l'endpoint privato o di assicurarti che i blocchi CIDR specificati includano gli indirizzi da cui i nodi e i Fargate Pod (se li usi) accedono all'endpoint pubblico.
Abilitato	Abilitato	Le richieste API Kubernetes all'interno del VPC del cluster (ad esempio la comunicazione tra nodo e piano di controllo) utilizzano l'endpoint VPC privato. Il server API del cluster è accessibile da Internet. È possibile, facoltativamente, limitare i blocchi CIDR che possono accedere all'endpoint pubblico. Se utilizzi nodi ibridi con il tuo cluster Amazon EKS, non è consigliabile abilitare l'accesso agli endpoint del cluster pubblico e privato. Poiché i nodi ibridi sono in esecuzione all'esterno del VPC, risolveranno l'endpoint del cluster negli indirizzi IP pubblici. Si consiglia di utilizzare l'accesso agli endpoint del cluster pubblico o privato per i cluster con nodi ibridi.
Disabilitato	Abilitato	Tutto il traffico verso il server API del cluster deve provenire dal VPC del cluster o da una rete connessa. Non esiste alcun accesso pubblico al server API da Internet. Tutti i comandi `kubectl` devono provenire dall'interno del VPC o da una rete connessa. Per le opzioni di connettività, consultare Accesso a un server API solo privato. L'endpoint del server API del cluster viene risolto dai server DNS pubblici in un indirizzo IP privato dal VPC. In passato, l'endpoint poteva essere risolto solo dall'interno del VPC. Se l'endpoint non viene risolto in un indirizzo IP privato all'interno del VPC per un cluster esistente, è possibile: Abilitare l'accesso pubblico e quindi disabilitarlo di nuovo. È necessario farlo solo una volta per un cluster e l'endpoint si risolverà in un indirizzo IP privato da quel punto in avanti. Aggiornare il cluster.

Blocchi CIDR nell'endpoint pubblico (cluster) IPv6

È possibile aggiungere IPv6 blocchi IPv4 CIDR all'endpoint pubblico di un IPv6 cluster, poiché l'endpoint pubblico è dual-stack. Questo vale solo per i nuovi cluster con il ipFamily set creato a ottobre 2024 o IPv6 successivamente. È possibile identificare questi cluster in base al nuovo nome di dominio dell'endpoint. api.aws

Blocchi CIDR nell'endpoint pubblico (cluster) IPv4

È possibile aggiungere blocchi IPv4 CIDR all'endpoint pubblico di un cluster. IPv4 Non è possibile aggiungere blocchi IPv6 CIDR all'endpoint pubblico di un cluster. IPv4 Se ci provi, EKS restituisce il seguente messaggio di errore: The following CIDRs are invalid in publicAccessCidrs

Blocchi CIDR nell'endpoint pubblico (IPv6cluster creato prima di ottobre 2024)

Puoi aggiungere blocchi IPv4 CIDR all'endpoint pubblico dei vecchi IPv6 cluster creati prima di ottobre 2024. È possibile identificare questi cluster in base all'endpoint. eks.amazonaws.com Non puoi aggiungere blocchi IPv6 CIDR all'endpoint pubblico di questi vecchi IPv6 cluster creati prima di ottobre 2024. Se ci provi, EKS restituisce il seguente messaggio di errore: The following CIDRs are invalid in publicAccessCidrs

Accesso a un server API solo privato

Se hai disabilitato l'accesso pubblico per l'endpoint del server API Kubernetes del tuo cluster, puoi accedere al server API solo dal tuo VPC o da una rete connessa. Di seguito sono elencati alcuni possibili modi per accedere all'endpoint del server API Kubernetes:

Rete connessa

È possibile connettere la rete al VPC con un gateway di transito AWS o un'altra opzione di connettività e quindi utilizzare un computer nella rete connessa. Il gruppo di sicurezza del piano di controllo di Amazon EKS deve contenere le regole per consentire il traffico in ingresso sulla porta 443 dalla rete connessa.

Host Amazon EC2 bastion

Puoi avviare un' EC2 istanza Amazon in una sottorete pubblica nel VPC del cluster e quindi accedere tramite SSH a quell'istanza per eseguire i comandi. kubectl Per ulteriori informazioni, consultare Bastion host Linux in AWS. Il gruppo di sicurezza del piano di controllo di Amazon EKS deve contenere le regole per consentire il traffico in ingresso sulla porta 443 dal bastion host. Per ulteriori informazioni, consulta Visualizza i requisiti dei gruppi di sicurezza Amazon EKS per i cluster.

Quando esegui la configurazione kubectl per il tuo host bastion, assicurati di utilizzare AWS le credenziali già mappate alla configurazione RBAC del cluster oppure aggiungi il principale IAM che verrà utilizzato dal tuo bastion alla configurazione RBAC prima di rimuovere l'accesso pubblico agli endpoint. Per ulteriori informazioni, consultare Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs e Accesso negato o non autorizzato (kubectl).

AWS IDE Cloud9

AWS Cloud9 è un ambiente di sviluppo integrato (IDE) basato su cloud che consente di scrivere, eseguire ed eseguire il debug del codice con un semplice browser. Puoi creare un IDE AWS Cloud9 nel VPC del cluster e utilizzare l'IDE per comunicare con il cluster. Per ulteriori informazioni, consulta Creazione di un ambiente in AWS Cloud9. È necessario assicurarsi che il gruppo di sicurezza del piano di controllo Amazon EKS contenga regole per consentire il traffico in ingresso sulla porta 443 dal gruppo di sicurezza IDE. Per ulteriori informazioni, consulta Visualizza i requisiti dei gruppi di sicurezza Amazon EKS per i cluster.

Quando esegui la configurazione kubectl per il tuo AWS IDE Cloud9, assicurati di AWS utilizzare credenziali già mappate alla configurazione RBAC del cluster o aggiungi il principio IAM che l'IDE utilizzerà alla configurazione RBAC prima di rimuovere l'accesso pubblico agli endpoint. Per ulteriori informazioni, consultare Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs e Accesso negato o non autorizzato (kubectl).

📝 Modifica questa pagina su GitHub

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Proteggi i cluster EKS dall'eliminazione accidentale

Configura l'accesso agli endpoint