Configurare l’accesso di rete all’endpoint del server API del cluster

Aprire la Console Amazon EKS.

Scegliere il nome del cluster per visualizzare le informazioni sul cluster.

Scegli la scheda Networking e scegli Gestisci accesso all’endpoint.

Per Accesso privato, scegli se attivare o disattivare l’acceso privato per l’endpoint del server API Kubernetes del cluster. Se abiliti l’accesso privato, le richieste API Kubernetes che provengono dal VPC del cluster utilizzano l’endpoint VPC privato. Per disabilitare l’accesso pubblico è necessario abilitare l’accesso privato.

Per Accesso pubblico, scegli se attivare o disattivare l’acceso pubblico per l’endpoint del server API Kubernetes del cluster. Se disabiliti l’accesso pubblico, il server API Kubernetes del cluster può ricevere solo richieste dal VPC del cluster.

(Facoltativo) Se abilitati l’Accesso pubblico, puoi specificare quali indirizzi Internet possono comunicare con l’endpoint pubblico. Seleziona Impostazioni avanzate. Immettere un blocco CIDR, ad esempio 203.0.113.5/32. L’intervallo non può includere indirizzi riservati. Puoi immettere intervalli aggiuntivi selezionando Aggiungi origine. Puoi specificare un numero massimo di intervalli CIDR. Per ulteriori informazioni, consulta Visualizzazione e gestione di quote di servizio di Amazon EKS e Fargate. Se non si specificano gli intervalli, l’endpoint del server API pubblico riceve richieste da tutti gli indirizzi IP sia per IPv4 (0.0.0.0/0) che in aggiunta IPv6 (::/0) per il cluster IPv6 a doppio stack. Se limitati l’accesso all’endpoint pubblico utilizzando gli intervalli CIDR, ti consigliamo di abilitare anche l’accesso agli endpoint privati in modo che i nodi e Fargate Pods (se utilizzati) possano comunicare con il cluster. Senza l’endpoint privato abilitato, le origini CIDR dell’endpoint di accesso pubblico devono includere le origini di uscita dal VPC. Ad esempio, se si dispone di un nodo in una sottorete privata che comunica su Internet tramite un gateway NAT, sarà necessario aggiungere l’indirizzo IP in uscita del gateway NAT come parte di un blocco CIDR nella whitelist nell’endpoint pubblico.

Scegliere Update (Aggiorna) per terminare.

Aggiorna l'accesso agli endpoint del server API del cluster con il seguente comando AWS CLI. Sostituire il nome del cluster e i valori di accesso dell’endpoint desiderati. Se si imposta endpointPublicAccess=true, è possibile (facoltativamente) immettere un singolo blocco CIDR o un elenco separato da virgole di blocchi CIDR per publicAccessCidrs. I blocchi non possono includere indirizzi riservati. Se si specificano blocchi CIDR, l’endpoint del server API pubblico riceverà solo le richieste dai blocchi elencati. Puoi specificare un numero massimo di intervalli CIDR. Per ulteriori informazioni, consulta Visualizzazione e gestione di quote di servizio di Amazon EKS e Fargate. Se limiti l’accesso all’endpoint pubblico utilizzando i blocchi CIDR, è consigliabile abilitare anche l’accesso agli endpoint privati in modo che i nodi e i Pods Fargate (se utilizzati) possano comunicare con il cluster. Senza l’endpoint privato abilitato, le origini CIDR dell’endpoint di accesso pubblico devono includere le origini di uscita dal VPC. Ad esempio, se si dispone di un nodo in una sottorete privata che comunica su Internet tramite un gateway NAT, sarà necessario aggiungere l’indirizzo IP in uscita del gateway NAT come parte di un blocco CIDR nella whitelist nell’endpoint pubblico. Se non specifichi intervalli CIDR, l’endpoint del server API pubblico riceve richieste da tutti (0.0.0.0/0) gli indirizzi IP e in aggiunta IPv6 (::/0) per il cluster IPv6 a doppio stack.

aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true

Di seguito viene riportato un output di esempio:

{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "InProgress",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}

Monitorare lo stato di aggiornamento dell’accesso all’endpoint con il comando seguente, utilizzando il nome del cluster, e aggiornare l’ID restituito dal comando precedente. L’aggiornamento è completo quando lo stato è illustrato come Successful.

aws eks describe-update \
    --region region-code \
    --name my-cluster \
    --update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000

Di seguito viene riportato un output di esempio.

{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "Successful",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}