IPv6 叢集端點格式 IPv4 叢集端點格式叢集私有端點修改叢集端點存取存取僅限私有 API 伺服器

叢集 API 伺服器端點

本主題可協助您為 Amazon EKS 叢集的 Kubernetes API 伺服器端點和限制啟用私有存取，或完全停用網際網路的公有存取。

建立新的叢集時，Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點 (使用 Kubernetes 管理工具，例如 kubectl)。根據預設，此 API 伺服器端點對網際網路是公有的，並且會使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 (RBAC) 的組合來保護對 API 伺服器的存取。此端點稱為叢集公有端點。還有叢集私有端點。如需叢集私有端點的詳細資訊，請參閱下一節叢集私有端點。

`IPv6` 叢集端點格式

EKS 會以下列格式為 2024 年 10 月之後建立的新IPv6叢集建立唯一的雙堆疊端點。IPv6 叢集是您在叢集的 IP 系列 (ipFamily) 設定IPv6中選取的叢集。

注意

雙堆疊叢集端點於 2024 年 10 月推出。如需IPv6叢集的詳細資訊，請參閱了解叢集、Pod 和服務的 IPv6 地址。在 2024 年 10 月之前建立的叢集，請改用下列端點格式。

`IPv4` 叢集端點格式

EKS 會針對在叢集的 IP 系列 (ipFamily) 設定IPv4中選取的每個叢集，以下列格式建立唯一的端點：

注意

在 2024 年 10 月之前，IPv6叢集也會使用此端點格式。對於這些叢集，公有端點和私有端點都只有從此端點解析IPv4的地址。

叢集私有端點

您可啟用 Kubernetes API 伺服器的私有存取，讓節點和 API 伺服器間的所有通訊都不會離開 VPC。您可以限制可以從網際網路存取 API 伺服器的 IP 地址，或完全停用對 API 伺服器的網際網路存取。

注意

由於此端點適用於 Kubernetes API 伺服器，而不是與 AWS API 通訊的傳統 AWS PrivateLink 端點，因此不會在 Amazon VPC 主控台中顯示為端點。

當您為叢集啟用端點私有存取時，Amazon EKS 會代表您建立 Route 53 私有託管區域，並將其與您叢集的 VPC 建立關聯。此私有託管區域由 Amazon EKS 管理，不會出現在您帳戶的 Route 53 資源中。若要讓私有託管區域正確將流量路由到 API 伺服器，您的 VPC 必須將 enableDnsHostnames 和 enableDnsSupport 設為 true，且 VPC 設定的 DHCP 選項必須在網域名稱伺服器清單中包含 AmazonProvidedDNS。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的更新 VPC 的 DNS 支援。

建立新的叢集時，可定義您 API 伺服器端點的存取要求，您也可隨時更新叢集的 API 伺服器端點存取。

修改叢集端點存取

使用本節所述程序來修改現有叢集的端點存取。下表說明支援的 API 伺服器端點存取組合及其相關的行為。

端點公有存取	端點私有存取	Behavior (行為)
已啟用	已停用	這是新 Amazon EKS 叢集的預設行為。源自叢集 VPC （例如控制平面通訊的節點）的 Kubernetes API 請求會離開 VPC，但不會離開 Amazon 的網路。您的叢集 API 伺服器可從網際網路上存取。您可以選擇性地限制可存取公有端點的 CIDR 區塊。如果您限制對特定 CIDR 區塊的存取，建議您也啟用私有端點，或確保您指定的 CIDR 區塊包含節點和 Fargate Pod （如果您使用它們）從中存取公有端點的地址。
已啟用	已啟用	叢集 VPC 內的 Kubernetes API 請求（例如控制平面通訊的節點）會使用私有 VPC 端點。您的叢集 API 伺服器可從網際網路上存取。您可以選擇性地限制可存取公有端點的 CIDR 區塊。如果您搭配 Amazon EKS 叢集使用混合節點，不建議同時啟用公有和私有叢集端點存取。由於您的混合節點是在 VPC 外部執行，因此它們會將叢集端點解析為公有 IP 地址。對於具有混合節點的叢集，建議使用公有或私有叢集端點存取。
已停用	已啟用	到叢集 API 伺服器的所有流量都必須來自叢集的 VPC 或連線的網路。您的 API 伺服器無法從網際網路上公有存取。任何 `kubectl` 命令都必須來自 VPC 或連接的網路內。如需連接選項，請參閱存取僅限私有 API 伺服器。叢集的 API 伺服器端點由公有 DNS 伺服器解析為來自 VPC 的私有 IP 地址。在過去，端點只能從 VPC 內解析。如果您的端點未針對現有叢集解析為 VPC 內的私有 IP 地址，您可以：啟用公有存取，然後再次停用它。您只需對叢集執行一次，從此以後，端點就會解析為私有 IP 地址。更新您的叢集。

公有端點 (IPv6 叢集）中的 CIDR 區塊

您可以將 IPv6和 IPv4 CIDR 區塊新增至 IPv6叢集的公有端點，因為公有端點是雙堆疊。這僅適用於新叢集，並將 ipFamily設定為IPv6您在 2024 年 10 月或之後建立的。您可以透過新的端點網域名稱來識別這些叢集api.aws。

公有端點 (IPv4 叢集）中的 CIDR 區塊

您可以將 IPv4 CIDR 區塊新增至 IPv4叢集的公有端點。您無法將 IPv6 CIDR 區塊新增至IPv4叢集的公有端點。如果您嘗試，EKS 會傳回下列錯誤訊息： The following CIDRs are invalid in publicAccessCidrs

公有端點中的 CIDR 區塊 (IPv6 叢集在 2024 年 10 月之前建立）

您可以將 IPv4 CIDR 區塊新增至您在 2024 年 10 月之前建立之舊IPv6叢集的公有端點。您可以依eks.amazonaws.com端點識別這些叢集。您無法將 IPv6 CIDR 區塊新增至您在 2024 年 10 月之前建立的這些舊IPv6叢集的公有端點。如果您嘗試，EKS 會傳回下列錯誤訊息： The following CIDRs are invalid in publicAccessCidrs

存取僅限私有 API 伺服器

如果您已停用叢集 Kubernetes API 伺服器端點的公有存取，您只能從 VPC 或連線網路中存取 API 伺服器。以下是存取 Kubernetes API 伺服器端點的幾種可能方法：

連線的網路

使用 AWS 傳輸閘道或其他連線選項，將您的網路連線到 VPC，然後使用連線網路中的電腦。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自連接網路的傳入流量。

Amazon EC2 堡壘主機

您可以在叢集 VPC 中的公有子網路中啟動 Amazon EC2 執行個體，然後透過 SSH 登入該執行個體以執行kubectl命令。如需詳細資訊，請參閱 AWS上的 Linux 堡壘主機。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自堡壘主機的傳入流量。如需詳細資訊，請參閱檢視叢集的 Amazon EKS 安全群組需求。

當您kubectl為堡壘主機設定時，請務必使用已映射至叢集 RBAC 組態的 AWS 登入資料，或在移除端點公開存取之前，將堡壘將使用的 IAM 主體新增至 RBAC 組態。如需詳細資訊，請參閱授予 IAM 使用者和角色對 Kubernetes APIs存取權及未經授權或存取遭拒 (kubectl)。

AWS Cloud9 IDE

AWS Cloud9 是以雲端為基礎的整合式開發環境 (IDE)，可讓您使用瀏覽器撰寫、執行和偵錯程式碼。您可以在叢集的 VPC 中建立 AWS Cloud9 IDE，並使用 IDE 與您的叢集通訊。如需詳細資訊，請參閱在 AWS Cloud9 中建立環境。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自 IDE 安全群組的傳入流量。如需詳細資訊，請參閱檢視叢集的 Amazon EKS 安全群組需求。

當您kubectl為 AWS Cloud9 IDE 設定時，請務必使用已映射至叢集 RBAC 組態的 AWS 登入資料，或在移除端點公開存取之前，將 IDE 將使用的 IAM 主體新增至 RBAC 組態。如需詳細資訊，請參閱授予 IAM 使用者和角色對 Kubernetes APIs存取權及未經授權或存取遭拒 (kubectl)。

📝 在 GitHub 上編輯此頁面

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

刪除叢集

設定端點存取