Prima di iniziare Considerazioni Crea un endpoint di interfaccia per Amazon EKS Funzionalità DNS privata per gli endpoint dell'interfaccia Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ad Amazon EKS utilizzando AWS PrivateLink

Puoi utilizzarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon Elastic Kubernetes Service. Puoi accedere ad Amazon EKS come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere ad Amazon EKS.

Stabilisci questa connessione privata creando un endpoint di interfaccia alimentato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato ad Amazon EKS.

Per ulteriori informazioni, consulta Accedere ai AWS servizi AWS PrivateLink nella AWS PrivateLink Guida.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida AWS PrivateLink

Considerazioni

Supporto e limitazioni: gli endpoint dell'interfaccia Amazon EKS consentono l'accesso sicuro a tutte le azioni dell'API Amazon EKS dal tuo VPC, ma presentano limitazioni specifiche: non supportano l'accesso a APIs Kubernetes, poiché dispongono di un endpoint privato separato, non puoi configurare Amazon EKS in modo che sia accessibile solo tramite l'endpoint di interfaccia.
Prezzi: l'utilizzo degli endpoint di interfaccia per Amazon EKS comporta costi standard: AWS PrivateLink tariffe orarie per ogni endpoint fornito in ciascuna zona di disponibilità, costi di elaborazione dei dati per il traffico attraverso l'endpoint. Per ulteriori informazioni, consulta Prezzi di AWS PrivateLink .
Sicurezza e controllo degli accessi: consigliamo di migliorare la sicurezza e il controllo dell'accesso con queste configurazioni aggiuntive: utilizza le policy degli endpoint VPC per controllare l'accesso ad Amazon EKS tramite l'endpoint dell'interfaccia, associa i gruppi di sicurezza alle interfacce di rete degli endpoint per gestire il traffico, usa i log di flusso VPC per acquisire e monitorare il traffico IP da e verso gli endpoint dell'interfaccia, con log pubblicabili su Amazon o Amazon S3. CloudWatch Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint e Registrazione del traffico IP utilizzando i log di flusso VPC.
Opzioni di connettività: gli endpoint di interfaccia offrono opzioni di connettività flessibili utilizzando l'accesso locale (connetti il data center locale a un VPC con l'endpoint dell'interfaccia tramite Direct Connect o AWS Site-to-Site VPN) o tramite la AWS connettività inter-VPC (usa Transit AWS Gateway o il peering VPC per VPCs connettere altri al VPC con l'endpoint di interfaccia, mantenendo il traffico all'interno della rete). AWS
Supporto versione IP: gli endpoint creati prima di agosto 2024 supportano solo IPv4 eks.region.amazonaws.com. I nuovi endpoint creati dopo agosto 2024 supportano il dual-stack e (ad esempio, eks.region.amazonaws.com, eks.region.api.aws). IPv4 IPv6
Disponibilità regionale: AWS PrivateLink per l'API EKS non è disponibile nelle regioni Asia Pacifico (Malesia) (ap-southeast-5), Asia Pacifico (Tailandia) (ap-southeast-7), Messico (Centrale) (mx-central-1) e Asia Pacifico (Taipei) (ap-east-2). AWS PrivateLink il supporto per eks-auth (EKS Pod Identity) è disponibile nella regione Asia Pacifico (Malesia) (ap-southeast-5).

Crea un endpoint di interfaccia per Amazon EKS

Puoi creare un endpoint di interfaccia per Amazon EKS utilizzando la console Amazon VPC o l'interfaccia a riga di comando ( AWS AWS CLI). Per ulteriori informazioni, consulta Creare un endpoint VPC nella Guida. AWS PrivateLink

Crea un endpoint di interfaccia per Amazon EKS utilizzando i seguenti nomi di servizio:

EKS API

com.amazonaws.region-code.eks
com.amazonaws.region-code.eks-fips (per endpoint conformi a FIPS)

API di autenticazione EKS (EKS Pod Identity)

com.amazonaws.region-code.eks-auth

Funzionalità DNS privata per gli endpoint dell'interfaccia Amazon EKS

La funzionalità DNS privata, abilitata di default per gli endpoint di interfaccia di Amazon EKS e altri AWS servizi, facilita le richieste API sicure e private utilizzando nomi DNS regionali predefiniti. Questa funzionalità garantisce che le chiamate API vengano instradate attraverso l'endpoint dell'interfaccia sulla AWS rete privata, migliorando la sicurezza e le prestazioni.

La funzionalità DNS privata si attiva automaticamente quando crei un endpoint di interfaccia per Amazon EKS o altri servizi. AWS Per abilitarlo, devi configurare correttamente il tuo VPC impostando attributi specifici:

enableDnsHostnames: consente alle istanze all'interno del VPC di avere nomi host DNS.
enableDnsSupport: abilita la risoluzione DNS in tutto il VPC.

Per step-by-step istruzioni su come controllare o modificare queste impostazioni, consulta Visualizzare e aggiornare gli attributi DNS per il tuo VPC.

Nomi DNS e tipi di indirizzi IP

Con la funzionalità DNS privata abilitata, puoi utilizzare nomi DNS specifici per connetterti ad Amazon EKS e queste opzioni si evolvono nel tempo:

eks.region.amazonaws.com: il nome DNS tradizionale, risolto solo per gli indirizzi prima di agosto 2024. IPv4 Per gli endpoint esistenti aggiornati al dual-stack, questo nome si risolve in entrambi gli indirizzi. IPv4 IPv6
eks.region.api.aws: disponibile per i nuovi endpoint creati dopo agosto 2024, questo nome DNS dual-stack si risolve in entrambi gli indirizzi. IPv4 IPv6

Dopo agosto 2024, i nuovi endpoint di interfaccia vengono forniti con due nomi DNS e puoi optare per il tipo di indirizzo IP dual-stack. Per gli endpoint esistenti, l'aggiornamento a dual-stack modifica eks.region.amazonaws.com in modo da supportare entrambi e. IPv4 IPv6

Utilizzo della funzionalità DNS privato

Una volta configurata, la funzionalità DNS privato può essere integrata nei flussi di lavoro, offrendo le seguenti funzionalità:

Richieste API: utilizza i nomi DNS regionali predefiniti, eks.region.amazonaws.com oppureeks.region.api.aws, in base alla configurazione dell'endpoint per effettuare richieste API ad Amazon EKS.
Compatibilità delle applicazioni: le applicazioni esistenti che chiamano EKS non APIs richiedono modifiche per sfruttare questa funzionalità.
AWS CLI con Dual-Stack: per utilizzare gli endpoint dual-stack con la AWS CLI, consulta la configurazione degli endpoint Dual-stack e FIPS nella Guida di riferimento agli strumenti e agli strumenti. AWS SDKs
Routing automatico: qualsiasi chiamata all'endpoint del servizio predefinito di Amazon EKS viene indirizzata automaticamente attraverso l'endpoint dell'interfaccia, garantendo una connettività privata e sicura.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell'infrastruttura

Resilienza