**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 集群 API 服务器端点
<a name="cluster-endpoint"></a>

本主题可帮助您为 Amazon EKS 集群的 Kubernetes API 服务器端点启用私有访问，并限制或完全禁用通过互联网进行公有访问。

在创建新集群时，Amazon EKS 将为您用于与集群进行通信的托管 Kubernetes API 服务器（使用 Kubernetes 管理工具，如 `kubectl`）创建端点。默认情况下，此 API 服务器端点对于互联网是公有的，对 API 服务器的访问将使用 AWS Identity and Access Management（IAM）与本机 Kubernetes [基于角色的访问控制](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)（RBAC）相结合的方式加以保护。此端点称为*集群公共端点*。还有一个*集群私有端点*。有关集群私有端点的更多信息，请参阅以下部分：[集群私有端点](#cluster-endpoint-private)。

## `IPv6` 集群端点格式
<a name="cluster-endpoint-ipv6"></a>

EKS 按以下格式为 2024 年 10 月之后创建的新 `IPv6` 集群创建唯一的双堆栈端点。*IPv6 集群*是您在群集的 IP 系列 (`ipFamily`) 设置中选择了 `IPv6` 的集群。

**Example**  
EKS 集群公共/私有端点：`eks-cluster.region.api.aws`
EKS 集群公共/私有端点：`eks-cluster.region.api.aws`
EKS 集群公共/私有端点：`eks-cluster---region---api.amazonwebservices.com.rproxy.govskope.ca.cn`

**注意**  
双堆栈集群端点已于 2024 年 10 月推出。有关 `IPv6` 的更多信息，请参阅 [了解如何将 IPv6 地址分配给集群、容器组（pod）和服务](cni-ipv6.md)。在 2024 年 10 月之前创建的集群，请改用以下端点格式。

## `IPv4` 集群端点格式
<a name="cluster-endpoint-ipv4"></a>

EKS 采用以下格式为在集群的 IP 系列（ipFamily）设置中选择了 `IPv4` 的每个集群创建一个唯一的端点：

**Example**  
EKS 集群公共/私有端点 `eks-cluster.region.eks.amazonaws.com` 
EKS 集群公共/私有端点 `eks-cluster.region.eks.amazonaws.com` 
EKS 集群公共/私有端点 `eks-cluster---region.amazonwebservices.com.rproxy.govskope.ca.cn` 

**注意**  
在 2024 年 10 月之前，`IPv6` 集群也使用此端点格式。对于这些集群，公共端点和私有端点都只有从此端点解析的 `IPv4` 地址。

## 集群私有端点
<a name="cluster-endpoint-private"></a>

您可以启用对 Kubernetes API 服务器的私有访问，以便节点与 API 服务器之间的所有通信都在 VPC 内。您可以限制从 Internet 访问 API 服务器的 IP 地址，或完全禁用对 API 服务器的 Internet 访问。

**注意**  
由于此端点用于 Kubernetes API 服务器，而不是用于与 AWS API 通信的传统 AWS PrivateLink 端点，因而不会在 Amazon VPC 控制台中显示为端点。

当您为集群启用端点私有访问时，Amazon EKS 将代表您创建一个 Route 53 私有托管区域，并将它与您的集群的 VPC 关联。这个私有托管区域由 Amazon EKS 管理，它不会出现在您的账户的 Route 53 资源中。为了使私有托管区域正确地将流量路由到您的 API 服务器，您的 VPC 必须将 `enableDnsHostnames` 和 `enableDnsSupport` 设置为 `true`，而且为 VPC 设置的 DHCP 选项必须在其域名服务器列表中包含 `AmazonProvidedDNS`。有关更多信息，请参阅 *Amazon VPC 用户指南*中的[更新 VPC 的 DNS 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。

您可以在创建新集群时定义 API 服务器终端节点的访问要求，并且可以随时更新集群的 API 服务器终端节点访问。

## 修改集群终端节点访问
<a name="modify-endpoint-access"></a>

使用本节中的过程来修改现有集群的终端节点访问。下表显示了受支持的 API 服务器终端节点访问组合及其关联的行为。


| 终端节点公有访问 | 终端节点私有访问 | 行为 | 
| --- | --- | --- | 
|  已启用  |  已禁用  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/eks/latest/userguide/cluster-endpoint.html)  | 
|  已启用  |  已启用  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/eks/latest/userguide/cluster-endpoint.html)  | 
|  已禁用  |  已启用  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/eks/latest/userguide/cluster-endpoint.html)  | 

 **端点访问控制** 

请注意，以下用于控制端点访问的各个方法都只会影响相应的端点。

 *集群安全组*   
集群安全组控制两种类型的连接：与 *kubelet API* 的连接和私有端点的连接。与 `kubelet` API 的连接用于 `kubectl attach`、`kubectl cp`、`kubectl exec`、`kubectl logs` 和 `kubectl port-forward` 命令中。集群安全组不会影响公有端点。

 *公共访问权限 CIDR*   
*公共访问权限 CIDR* 通过 CIDR 数据块列表来控制对公有端点的访问权限。请注意，公共访问权限 CIDR 不会影响私有端点。公共访问权限 CIDR 在 `IPv6` 集群和 `IPv4` 集群上的行为会有所不同，具体取决于它们的创建日期，如下所述：

 **公有端点（`IPv6` 集群）中的 CIDR 块** 

您可以将 `IPv6` 和 `IPv4` CIDR 块添加到 `IPv6` 集群的公有端点，因为公有端点是双堆栈端点。这仅适用于您在 2024 年 10 月或之后创建的且将 `ipFamily` 设置为 `IPv6` 的新集群。您可以通过新的端点域名 `api.aws` 来识别这些集群。

 **公有端点（`IPv4` 集群）中的 CIDR 块** 

您可以将 `IPv4` CIDR 块添加到 `IPv4` 集群的公有端点。您无法将 `IPv6` CIDR 块添加到 `IPv4` 集群的公有端点。如果您尝试添加，EKS 将返回以下错误消息：`The following CIDRs are invalid in publicAccessCidrs`

 **公有端点中的 CIDR 块（2024 年 10 月之前创建的 `IPv6` 集群）** 

您可以将 `IPv4` CIDR 块添加到您在 2024 年 10 月之前创建的旧 `IPv6` 集群的公有端点。您可以通过 `eks.amazonaws.com` 端点识别这些集群。您无法将 `IPv6` CIDR 块添加到您在 2024 年 10 月之前创建的旧 `IPv6` 集群的公有端点。如果您尝试添加，EKS 将返回以下错误消息：`The following CIDRs are invalid in publicAccessCidrs`

## 访问私有 API 服务器
<a name="private-access"></a>

如果已禁用集群的 Kubernetes API 服务器端点的公有访问，则只能从 VPC 或[连接的网络](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)内访问 API 服务器。以下是访问 Kubernetes API 服务器终端节点的部分可行方法：

 **连接的网络**   
使用 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 或其它[连接](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html)选项将您的网络连接到 VPC，然后使用连接的网络中的计算机。必须确保 Amazon EKS 控制面板安全组包含允许来自所连接网络的入口流量通过端口 443 的规则。

 **Amazon EC2 堡垒主机**   
您可以在集群的 VPC 中将 Amazon EC2 实例启动到公共子网中，然后通过 SSH 登录到该实例来运行 `kubectl` 命令。有关更多信息，请参阅[AWS上的 Linux 堡垒主机](https://aws.amazon.com/quickstart/architecture/linux-bastion/)。必须确保 Amazon EKS 控制面板安全组包含允许来自堡垒主机的入口流量通过端口 443 的规则。有关更多信息，请参阅 [查看集群的 Amazon EKS 安全组要求](sec-group-reqs.md)。  
在为堡垒主机配置 `kubectl` 时，请确保使用已映射到集群的 RBAC 配置的 AWS 凭证，或在移除端点公共访问之前添加您的堡垒机将用于 RBAC 配置的 [IAM 主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal)。有关更多信息，请参阅[向 IAM 用户和角色授予对 Kubernetes API 的访问权限](grant-k8s-access.md)和[未经授权或访问被拒绝 (`kubectl`)](troubleshooting.md#unauthorized)。

 ** AWSCloud9 IDE**   
 AWS Cloud9 是一种基于云的集成式开发环境（IDE），您只需要一个浏览器，即可编写、运行和调试代码。您可以在集群的 VPC 中创建 AWS Cloud9 IDE，然后使用 IDE 来与集群进行通信。有关更多信息，请参阅[在 AWS Cloud9 中创建环境](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html)。必须确保 Amazon EKS 控制面板安全组包含允许来自 IDE 安全组的入口流量通过端口 443 的规则。有关更多信息，请参阅 [查看集群的 Amazon EKS 安全组要求](sec-group-reqs.md)。  
在为 AWS Cloud9 IDE 配置 `kubectl` 时，请确保使用已映射到集群的 RBAC 配置的 AWS 凭证，或在移除端点公共访问之前添加您的 IDE 将用于 RBAC 配置的 IAM 主体。有关更多信息，请参阅[向 IAM 用户和角色授予对 Kubernetes API 的访问权限](grant-k8s-access.md)和[未经授权或访问被拒绝 (`kubectl`)](troubleshooting.md#unauthorized)。

📝 [在 GitHub 上编辑此页面](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code)