協助改進此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
叢集 API 伺服器端點
本主題可協助您啟用 Amazon EKS 叢集 Kubernetes API 伺服器端點和限制的私有存取,或完全停用從網際網路的公有存取。
建立新的叢集時,Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點 (使用 Kubernetes 管理工具,例如 kubectl)。根據預設,此 API 伺服器端點對網際網路是公有的,並且會使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制
IPv6 叢集端點格式
對於 2024 年 10 月之後建立的新 IPv6 叢集,EKS 會以下列格式建立唯一的雙堆疊端點。IPv6 叢集是指您在叢集的 IP 系列 (ipFamily) 設定中選取了 IPv6 的叢集。
注意
雙堆疊叢集端點於 2024 年 10 月引入。如需 IPv6 叢集的詳細資訊,請參閱 了解叢集、Pod 與服務的 IPv6 位址。2024 年 10 月之前建立的叢集,則使用以下端點格式。
IPv4 叢集端點格式
EKS 會為每個在叢集的 IP 系列 (ipFamily) 設定中選擇了 IPv4 的叢集,以下列格式建立唯一端點:
注意
在 2024 年 10 月之前,IPv6 叢集也會使用此端點格式。對於這些叢集,公有端點和私有端點都只能從此端點解析出 IPv4 位址。
叢集私有端點
您可啟用 Kubernetes API 伺服器的私有存取,讓節點和 API 伺服器間的所有通訊都不會離開 VPC。您可以限制可以從網際網路存取 API 伺服器的 IP 地址,或完全停用對 API 伺服器的網際網路存取。
注意
由於此端點適用於 Kubernetes API 伺服器,而不是與 AWS API 通訊的傳統 AWS PrivateLink 端點,因此不會在 Amazon VPC 主控台中顯示為端點。
啟用叢集的端點私有存取時,Amazon EKS 會代表您建立 Route 53 私有託管區域,並將其與您叢集的 VPC 建立關聯。此私有託管區域由 Amazon EKS 管理,不會顯示在帳戶的 Route 53 資源中。若要讓私有託管區域正確將流量路由到 API 伺服器,您的 VPC 必須將 enableDnsHostnames 和 enableDnsSupport 設為 true,且 VPC 設定的 DHCP 選項必須在網域名稱伺服器清單中包含 AmazonProvidedDNS。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的更新 VPC 的 DNS 支援。
建立新的叢集時,可定義您 API 伺服器端點的存取要求,您也可隨時更新叢集的 API 伺服器端點存取。
修改叢集端點存取
使用本節所述程序來修改現有叢集的端點存取。下表說明支援的 API 伺服器端點存取組合及其相關的行為。
| 端點公有存取 | 端點私有存取 | Behavior (行為) |
|---|---|---|
|
已啟用 |
Disabled |
|
|
已啟用 |
已啟用 |
|
|
Disabled |
已啟用 |
|
端點存取控制
請注意,下列每個控制端點存取的方法只會影響個別的端點。
- 叢集安全群組
-
叢集安全群組控制兩種類型的連線:連線至 kubelet API 和私有端點。API 的連線
kubelet用於kubectl attach、kubectl cp、kubectl logs、kubectl exec和kubectl port-forward命令。叢集安全群組不會影響公有端點。 - 公開存取 CIDRs
-
公有存取 CIDRs 會依 CIDR 區塊清單控制對公有端點的存取。請注意,公有存取 CIDRs不會影響私有端點。公有存取 CIDRs 在
IPv6叢集和IPv4叢集上的行為,取決於其建立日期,以下說明:
公有端點中的 CIDR 區塊 (IPv6 叢集)
您可以將 IPv6 和 IPv4 CIDR 區塊新增至 IPv6 叢集的公有端點,因為該公有端點是雙重堆疊的。這僅適用於 2024 年 10 月或之後建立的、ipFamily 設定為 IPv6 的新叢集。您可以透過新的端點網域名稱 api.aws 來識別這些叢集。
公有端點中的 CIDR 區塊 (IPv4 叢集)
您可以將 IPv4 CIDR 區塊新增至 IPv4 叢集的公有端點。您無法將 IPv6 CIDR 區塊新增至 IPv4 叢集的公有端點。如果您嘗試這樣做,EKS 會傳回以下錯誤訊息:The following CIDRs are invalid in publicAccessCidrs
公有端點中的 CIDR 區塊 (2024 年 10 月之前建立的 IPv6 叢集)
您可以將 IPv4 CIDR 區塊新增到您在 2024 年 10 月之前建立的舊 IPv6 叢集的公有端點。您可以透過 eks.amazonaws.com 端點來識別這些叢集。您無法將 IPv6 CIDR 區塊新增到您在 2024 年 10 月之前建立的這些舊 IPv6 叢集的公有端點。如果您嘗試這樣做,EKS 會傳回以下錯誤訊息:The following CIDRs are invalid in publicAccessCidrs
存取僅限私有 API 伺服器
若您已停用叢集 Kubernetes API 伺服器端點的公有存取,將只能在 VPC 內或連接的網路存取 API 伺服器。以下是存取 Kubernetes API 伺服器端點的幾種可能方法:
- 連線的網路
-
使用 AWS 傳輸閘道或其他連線選項,將您的網路連線到 VPC,然後使用連線網路中的電腦。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自連接網路的傳入流量。
- Amazon EC2 堡壘主機
-
您可以在叢集 VPC 中的公有子網路啟動 Amazon EC2 執行個體,然後透過 SSH 登入該執行個體,以執行
kubectl命令。如需詳細資訊,請參閱 AWS上的 Linux 堡壘主機。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自堡壘主機的傳入流量。如需詳細資訊,請參閱檢視叢集的 Amazon EKS 安全群組要求。 當您
kubectl為堡壘主機設定 時,請務必使用已映射至叢集 RBAC 組態的 AWS 登入資料,或在移除端點公開存取之前,將堡壘將使用的 IAM 主體新增至 RBAC 組態。如需詳細資訊,請參閱授予 IAM 使用者和角色對 Kubernetes APIs存取權及未經授權或存取遭拒 (kubectl)。 - AWS Cloud9 IDE
-
AWS Cloud9 是以雲端為基礎的整合式開發環境 (IDE),可讓您使用瀏覽器撰寫、執行和偵錯程式碼。您可以在叢集的 VPC 中建立 an AWS Cloud9 IDE,並使用 IDE 與叢集通訊。如需詳細資訊,請參閱在 AWS Cloud9 中建立環境。您必須確認 Amazon EKS 控制平面安全群組包含的規則允許連接埠 443 上來自 IDE 安全群組的傳入流量。如需詳細資訊,請參閱檢視叢集的 Amazon EKS 安全群組要求。
當您
kubectl為 AWS Cloud9 IDE 設定 時,請務必使用已映射至叢集 RBAC 組態的 AWS 登入資料,或在移除端點公開存取之前,將 IDE 將使用的 IAM 主體新增至 RBAC 組態。如需詳細資訊,請參閱授予 IAM 使用者和角色對 Kubernetes APIs存取權及未經授權或存取遭拒 (kubectl)。
