使用 AWS PrivateLink 存取 Amazon EKS - Amazon EKS
開始之前考量事項建立 Amazon VPC 的介面端點適用於 Amazon EKS 介面端點的私有 DNS 功能

協助改進此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS PrivateLink 存取 Amazon EKS

您可以使用 AWS PrivateLink,在 VPC 與 Amazon Elastic Kubernetes Service 之間建立私有連線。您可以如在 VPC 中一樣存取 Amazon EKS,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體無需公有 IP 位址,即可存取 Amazon EKS。

您可以建立由 AWS PrivateLink 提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon EKS 之流量的進入點。

如需詳細資訊,請參閱 AWS PrivateLink 指南中的透過 AWS PrivateLink 存取 AWS 服務

開始之前

開始之前,請確定您已執行下列任務:

考量事項

  • 支援與限制:Amazon EKS 介面端點支援透過 VPC 安全地存取全部 Amazon EKS API 動作,但同時有特定限制:不支援存取 Kubernetes API,因為他們具有單獨的私有端點,因此,您不能將 Amazon EKS 設定為僅可透過介面端點存取。

  • 定價:使用使用 Amazon EKS 的介面端點,會產生標準 AWS PrivateLink 費用:每個可用區域中佈建的每個端點每小時地費用,以及透過端點產生流量的資料處理費用。如需了解詳細資訊,請參閱 AWS PrivateLink 定價

  • 安全與存取權控制:建議透過這些額外的組態來增強安全性及控制存取權 – 藉助 VPC 端點政策,透過介面端點來控制對 Amazon EKS 的存取、關聯安全群組與端點網路介面來管理流量、使用 VPC 流量日誌來擷取及監控傳入與傳出介面端點的 IP 流量,以及可將日誌發布至 Amazon CloudWatch 或 Amazon S3。如需了解詳細資訊,請參閱藉助端點政策來控制對 VPC 端點的存取權,以及藉助 VPC 流量日誌來記錄 IP 流量日誌

  • 連接選項:介面端點使用內部部署存取權 (藉助 AWS Direct Connect 或 AWS Site-to-Site VPN,透過介面端點來連接內部部署資料中心與 VPC) 或透過跨 VPC 連接 (使用 AWS Transit Gateway 或 VPC 對等互連,連接其他 VPC 與介面端點,從而將流量保留在 AWS 網路內) 來提供靈活的連接選項。

  • IP 版本支援:2024 年 8 月之前建立的端點僅支援 IPv4 (使用 eks.region.amazonaws.com)。2024 年 8 月之後建立的全新端點則支援雙重堆疊 IPv4 和 IPv6 (例如 eks.region.amazonaws.com、eks.region.api.aws)。

  • 區域可用性:亞太區域 (馬來西亞) (ap-southeast-5)、亞太區域 (泰國) (ap-southeast-7)、墨西哥 (中部) (mx-central-1) 及亞太區域 (台北) (ap-east-2) 區域不可使用適用於 EKS API 的 AWS PrivateLink。AWSPrivateLink 對 eks-auth (EKS Pod 身分識別) 的支援適用於亞太區域 (馬來西亞) (ap-southeast-5) 區域。

建立 Amazon VPC 的介面端點

您可使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI),來為 Amazon EKS 建立介面端點。如需詳細資訊,請參閱 AWS PrivateLink 指南中的建立 VPC 端點

使用以下服務名稱為 Amazon EKS 建立介面端點:

EKS API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (適用於 FIPS 相容端點)

EKS 驗證 API (EKS Pod 身分識別)

  • com.amazonaws.region-code.eks-auth

適用於 Amazon EKS 介面端點的私有 DNS 功能

針對 Amazon EKS 及其他 AWS 服務的介面端點,預設會啟用私有 DNS 功能,使用預設的區域 DNS 名稱有助於發出安全的私有 API 請求。藉助此功能,可確保透過私有 AWS 網路的介面端點來路由 API 呼叫,從而增強安全性與效能。

若針對 Amazon EKS 或其他 AWS 服務建立介面端點,則會自動啟用私有 DNS 功能。如需啟用,需要藉由設定特定屬性來正確設定 VPC:

  • enableDnsHostnames:允許 VPC 內的執行個體具有 DNS 主機名稱。

  • enableDnsSupport:啟用整個 VPC 的 DNS 解析。

若要了解檢查或修改這些設定的逐步說明,請參閱檢視並更新 VPC 的 DNS 屬性

DNS 名稱與 IP 位址類型

若啟用私有 DNS 功能,您可使用特定 DNS 名稱來連接至 Amazon EKS,並且這些選項可隨時間推移而演進:

  • eks.region.amazonaws.com:傳統 DNS 名稱,僅解析為 2024 年 8 月之前的 IPv4 位址。針對更新至雙重堆疊的現有端點,此名稱解析為 IPv4 與 IPv6 位址。

  • eks.region.api.aws:適用於 2024 年 8 月之後建立的新端點,此雙重堆疊 DNS 名稱解析為 IPv4 與 IPv6 位址。

在 2024 年 8 月之後,新介面端點帶有兩個 DNS 名稱,並且您可選擇雙重堆疊 IP 位址類型。若是現有端點,更新至雙重堆疊會修改 eks.region.amazonaws.com,以支援 IPv4 與 IPv6。

使用私有 DNS 功能

一旦設定完成,私有 DNS 功能即可整合至工作流程,提供以下功能:

  • API 請求:依據端點的設定,使用預設的區域性 DNS 名稱 eks---region.amazonaws.com.rproxy.govskope.caeks.region.api.aws,向 Amazon EKS 發出 API 請求。

  • 應用程式相容性:現有應用程式呼叫 EKS API,無須任何變更即可善用此功能。

  • AWS CLI 搭配雙重堆疊:若要將 雙堆疊端點與 CLI AWS 配合使用,請參閱 AWS SDK 與工具參考指南中的雙重堆疊與 FIPS 端點組態。

  • 自動路由:對 Amazon EKS 預設服務端點進行任何呼叫,都會透過介面端點自動引導,從而確保私有、安全的連接。