Prima di iniziare Considerazioni Crea un endpoint di interfaccia per Amazon EKS Funzionalità DNS privata per gli endpoint dell’interfaccia Amazon EKS

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ad Amazon EKS tramite AWS PrivateLink

È possibile utilizzare AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon Elastic Kubernetes Service. È possibile accedere ad Amazon EKS come se fosse nel tuo VPC, senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione a collegamento diretto AWS. Le istanze nel tuo VPC non richiedono indirizzi IP pubblici per l’accesso ad Amazon EKS.

Stabilisci questa connessione privata creando un endpoint di interfaccia alimentato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato ad Amazon EKS.

Per ulteriori informazioni, consulta Accedere ai servizi AWS tramite AWS PrivateLink nella Guida AWS PrivateLink.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Esamina Accesso a un servizio AWS utilizzando un endpoint VPC nella Guida AWS PrivateLink

Considerazioni

Supporto e limitazioni: gli endpoint dell’interfaccia Amazon EKS consentono l’accesso sicuro a tutte le azioni dell’API Amazon EKS dal tuo VPC, ma presentano limitazioni specifiche, ovvero non supportano l’accesso alle API Kubernetes, poiché dispongono di un endpoint privato separato né è possibile configurare Amazon EKS in modo che sia accessibile solo tramite l’endpoint di interfaccia.
Prezzi: l’utilizzo degli endpoint di interfaccia per Amazon EKS comporta tariffe AWS PrivateLink standard: tariffe orarie per ciascun endpoint fornito in ciascuna zona di disponibilità, costi di elaborazione dei dati per il traffico attraverso l’endpoint. Per ulteriori informazioni, consulta Prezzi AWS PrivateLink.
Sicurezza e controllo degli accessi: consigliamo di migliorare la sicurezza e il controllo dell’accesso con queste configurazioni aggiuntive: utilizza le policy degli endpoint VPC per controllare l’accesso ad Amazon EKS tramite l’endpoint dell’interfaccia, associa i gruppi di sicurezza alle interfacce di rete degli endpoint per gestire il traffico, utilizza i log di flusso VPC per acquisire e monitorare il traffico IP da e verso gli endpoint dell’interfaccia, con log pubblicabili su Amazon CloudWatch o Amazon S3. Per ulteriori informazioni, consulta Controllare l’accesso agli endpoint VPC utilizzando le policy degli endpoint e Registrare il traffico IP utilizzando log di flusso VPC.
Opzioni di connettività: gli endpoint di interfaccia offrono opzioni di connettività flessibili utilizzando l’accesso on-premises (connetti il data center on-premises a un VPC con l’endpoint dell’interfaccia utilizzando AWS Direct Connect o AWS VPN da sito a sito) o tramite connettività inter-VPC (utilizza AWS Transit Gateway o il peering VPC per connettere altri VPC al VPC con l’endpoint di interfaccia, mantenendo il traffico all’interno della rete AWS).
Supporto versione IP: gli endpoint creati prima di agosto 2024 supportano solo IPv4 utilizzando eks.region.amazonaws.com. I nuovi endpoint creati dopo agosto 2024 supportano IPv4 e IPv6 dual-stack (ad esempio, eks.region.amazonaws.com, eks.region.api.aws).
Disponibilità regionale: AWS PrivateLink per l’API EKS non è disponibile nelle regioni Asia Pacifico (Malesia) (ap-southeast-5), Asia Pacifico (Thailandia) (ap-southeast-7), Messico (Centrale) (mx-central-1) e Asia Pacifica (Taipei) (ap-east-2). AWS Il supporto PrivateLink per eks-auth (EKS Pod Identity) è disponibile nella regione Asia Pacifico (Malesia) (ap-southeast-5).

Crea un endpoint di interfaccia per Amazon EKS

È possibile creare un endpoint di interfaccia per Amazon EKS utilizzando la console Amazon VPC o l’interfaccia a riga di comando AWS (AWS CLI). Per ulteriori informazioni, consulta Creare un endpoint VPC nella Guida di AWS PrivateLink.

Crea un endpoint di interfaccia per Amazon EKS utilizzando i seguenti nomi servizio:

API EKS

com.amazonaws.region-code.eks
com.amazonaws.region-code.eks-fips (per endpoint conformi a FIPS)

API di autenticazione EKS (Pod Identity EKS)

com.amazonaws.region-code.eks-auth

Funzionalità DNS privata per gli endpoint dell’interfaccia Amazon EKS

La funzionalità DNS privata, abilitata per impostazione predefinita per gli endpoint di interfaccia di Amazon EKS e altri servizi AWS, facilita le richieste API sicure e private utilizzando nomi DNS regionali predefiniti. Questa funzionalità garantisce che le chiamate API siano instradate attraverso l’endpoint di interfaccia sulla rete AWS privata, migliorando la sicurezza e le prestazioni.

La funzionalità DNS privata si attiva automaticamente quando si crea un endpoint di interfaccia per Amazon EKS o altri servizi AWS. Per abilitarla, devi configurare correttamente il tuo VPC impostando attributi specifici:

enableDnsHostnames: consente alle istanze all’interno del VPC di avere nomi host DNS.
enableDnsSupport: abilita la risoluzione DNS in tutto il VPC.

Per istruzioni dettagliate per verificare o modificare queste impostazioni, consulta Visualizzare e aggiornare gli attributi DNS per il VPC.

Nomi DNS e tipi di indirizzi IP

Con la funzionalità DNS privata abilitata, è possibile utilizzare nomi DNS specifici per connetterti ad Amazon EKS e queste opzioni si evolvono nel tempo:

eks.region.amazonaws.com: il nome DNS tradizionale, che si risolve solo negli indirizzi IPv4 prima di agosto 2024. Per gli endpoint esistenti aggiornati al dual-stack, questo nome è risolto sia in indirizzi IPv4 che IPv6.
eks.region.api.aws: disponibile per i nuovi endpoint creati dopo agosto 2024, questo nome DNS dual-stack si risolve in indirizzi IPv4 e IPv6.

Dopo agosto 2024, i nuovi endpoint di interfaccia sono forniti con due nomi DNS ed è possibile optare per il tipo di indirizzo IP dual-stack. Per gli endpoint esistenti, l’aggiornamento a dual-stack modifica eks.region.amazonaws.com in modo che supporti sia IPv4 che IPv6.

Utilizzo della funzionalità DNS privata

Una volta configurata, la funzionalità DNS privata può essere integrata nei flussi di lavoro, offrendo le seguenti funzionalità:

Richieste API: utilizza i nomi DNS regionali predefiniti, eks.region.amazonaws.com o eks.region.api.aws, in base alla configurazione dell’endpoint per effettuare richieste API ad Amazon EKS.
Compatibilità delle applicazioni: le applicazioni esistenti che chiamano le API EKS non richiedono modifiche per sfruttare questa funzionalità.
AWS CLI con Dual-Stack: per utilizzare gli endpoint dual-stack con AWS CLI, consulta la configurazione degli endpoint Dual-stack e FIPS nella Guida di riferimento agli SDK e agli strumenti AWS.
Routing automatico: qualsiasi chiamata all’endpoint del servizio predefinito di Amazon EKS è instradata automaticamente tramite l’endpoint di interfaccia, garantendo una connettività privata e sicura.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell’infrastruttura

Resilienza