**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 使用 AWS PrivateLink 访问 Amazon EKS
您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon Elastic Kubernetes Service 之间创建私有连接。您可以像在 VPC 中一样访问 Amazon EKS,而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon EKS。
您可以通过创建由 AWS PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管式网络接口,用作发往 Amazon EKS 的流量的入口点。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的 [Access AWS services through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## 开始前的准备工作
开始之前,请确保您已执行以下任务:
+ 查看《AWS PrivateLink Guide》**中的 [Access an AWS service using an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)
## 注意事项
+ **支持和限制**:Amazon EKS 接口端点允许从您的 VPC 安全访问所有 Amazon EKS API 操作,但有特定的限制:它们不支持访问 Kubernetes API,因为其有单独的私有端点,因此您无法将 Amazon EKS 配置为仅通过接口端点访问。
+ **定价**:使用 Amazon EKS 的接口端点会产生标准 AWS PrivateLink 费用:每个可用区中预置的每个端点的小时费用,以及通过端点的流量的数据处理费用。要了解更多信息,请参阅 [AWS PrivateLink 定价](https://aws.amazon.com/privatelink/pricing/)。
+ **安全和访问控制**:我们建议通过以下附加配置增强安全性和控制访问 – 使用 VPC 端点策略控制通过接口端点访问 Amazon EKS,将安全组与端点网络接口关联以管理流量,使用 VPC 流日志捕获和监控进出接口端点的 IP 流量,日志可发布到 Amazon CloudWatch 或 Amazon S3。要了解更多信息,请参阅 [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) 和[使用 VPC 流日志记录 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
+ **连接选项**:接口端点提供灵活的连接选项,支持通过**本地访问**(使用 AWS Direct Connect 或 AWS Site-to-Site VPN 将本地数据中心连接到包含接口端点的 VPC)或通过 **VPC 间连接**(使用 AWS Transit Gateway 或 VPC 对等连接将其他 VPC 连接到包含接口端点的 VPC,从而将流量保持在 AWS 网络内)。
+ **IP 版本支持**:在 2024 年 8 月之前创建的端点仅支持使用 eks.region.amazonaws.com 的 IPv4。2024 年 8 月之后创建的新端点支持双堆栈 IPv4 和 IPv6(例如,eks.region.amazonaws.com、eks.region.api.aws)。
+ **区域可用性**:适用于 EKS API 的 AWS PrivateLink 在以下区域不可用:亚太地区(马来西亚)(ap-southeast-5)、亚太地区(泰国)(ap-southeast-7)、墨西哥(中部)(mx-central-1)和亚太地区(台北)(ap-east-2)区域。AWSPrivateLink 对 eks-auth(EKS 容器组身份)的支持已在亚太地区(马来西亚)(ap-southeast-5) 区域开放。
## 为 Amazon EKS 创建接口端点
您可以使用 Amazon VPC 控制台或 AWS 命令行界面(AWS CLI)为 Amazon EKS 创建接口端点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
使用以下服务名称为 Amazon EKS 创建接口端点:
### EKS API
+ com.amazonaws.region-code.eks
+ com.amazonaws.region-code.eks-fips(适用于符合 FIPS 的端点)
### EKS Auth API(EKS 容器组身份)
+ com.amazonaws.region-code.eks-auth
## Amazon EKS 接口端点的私有 DNS 功能
Amazon EKS 和其他 AWS 服务的接口端点默认启用私有 DNS 功能,便于使用默认区域 DNS 名称进行安全和私有 API 请求。此功能可确保 API 调用通过接口端点经由私有 AWS 网络路由,从而增强安全性和性能。
当您为 Amazon EKS 或其他 AWS 服务创建接口端点时,将自动激活 DNS 功能。要启用该功能,您需要通过设置特定属性来正确配置您的 VPC:
+ **enableDnsHostnames**:允许 VPC 内的实例拥有 DNS 主机名。
+ **enableDnsSupport**:在整个 VPC 中启用 DNS 解析。
有关检查或修改这些设置的分步说明,请参阅[查看和更新 VPC 的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
### DNS 名称和 IP 地址类型
启用私有 DNS 功能后,您可以使用特定的 DNS 名称连接到 Amazon EKS,这些选项会随着时间的推移而不断演进:
+ **eks.region.amazonaws.com**:传统的 DNS 名称,在 2024 年 8 月之前仅解析为 IPv4 地址。对于更新为双堆栈的现有端点,此名称将同时解析为 IPv4 和 IPv6 地址。
+ **eks.region.api.aws**:适用于 2024 年 8 月之后创建的新端点,此双堆栈 DNS 名称可同时解析为 IPv4 和 IPv6 地址。
2024 年 8 月之后,新的接口端点将包含两个 DNS 名称,您可以选择双堆栈 IP 地址类型。对于现有端点,更新为双堆栈将修改 **eks.region.amazonaws.com** 以同时支持 IPv4 和 IPv6。
### 使用私有 DNS 功能
配置完成后,可以将私有 DNS 功能集成到您的工作流程中,提供以下功能:
+ **API 请求**:根据端点的设置,使用默认区域 DNS 名称(`eks.region.amazonaws.com` 或 `eks.region.api.aws`)向 Amazon EKS 发出 API 请求。
+ **应用程序兼容性**:调用 EKS API 的现有应用程序无需进行任何更改即可利用此功能。
+ **具有双堆栈的 AWS CLI**:要将双堆栈端点与 AWS CLI 结合使用,请参阅《AWS SDKs and Tools Reference Guide》**中的 [Dual-stack and FIPS endpoints](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html) 配置。
+ **自动路由**:对 Amazon EKS 默认服务端点的任何调用都会通过接口端点自动定向,从而确保连接私有和安全。