使用 AWS PrivateLink 存取 Amazon EKS - Amazon EKS
開始之前考量事項建立 Amazon VPC 的介面端點Amazon EKS 介面端點的私有 DNS 功能

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS PrivateLink 存取 Amazon EKS

您可以使用 AWS PrivateLink 在 VPC 和 Amazon Elastic Kubernetes Service 之間建立私有連線。您可以像在 VPC 中一樣存取 Amazon EKS,無需使用網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連接。VPC 中的執行個體不需要公有 IP 地址即可存取 Amazon EKS。

您可以透過建立採用 AWS PrivateLink 技術的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon EKS 之流量的進入點。

如需詳細資訊,請參閱《 AWS PrivateLink 指南》中的透過 PrivateLink 存取 AWS 服務 AWS PrivateLink

開始之前

開始之前,請確定您已執行下列任務:

考量事項

  • 支援和限制:Amazon EKS 介面端點可讓您從 VPC 安全存取所有 Amazon EKS API 動作,但具有特定限制:它們不支援存取 Kubernetes APIs,因為這些端點具有單獨的私有端點,因此您無法將 Amazon EKS 設定為只能透過介面端點存取。

  • 定價:使用 Amazon EKS 的界面端點會產生 standard AWS PrivateLink 費用:每個可用區域中佈建的每個端點的每小時費用、透過端點的流量的資料處理費用。若要進一步了解,請參閱 AWS PrivateLink 定價

  • 安全與存取控制:建議使用這些額外組態增強安全性並控制存取:使用 VPC 端點政策透過介面端點控制對 Amazon EKS 的存取、將安全群組與端點網路介面建立關聯以管理流量、使用 VPC 流量日誌擷取和監控進出介面端點的 IP 流量,以及可發佈至 Amazon CloudWatch 或 Amazon S3 的日誌。若要進一步了解,請參閱使用端點政策控制對 VPC 端點的存取,以及使用 VPC 流程日誌記錄 IP 流量

  • 連線選項:界面端點使用內部部署存取 (使用 AWS Direct Connect 或 AWS Site-to-Site VPN 將內部部署資料中心連接至 VPC 與介面端點) 或透過跨 VPC 連線 (使用 AWS Transit Gateway 或 VPC 對等互連將其他 VPCs 與介面端點連接至 VPC,將流量保留在 AWS 網路內) 提供彈性的連線選項。

  • IP 版本支援:2024 年 8 月之前建立的端點僅支援使用 eks.region.amazonaws.com 的 IPv4。在 2024 年 8 月之後建立的新端點支援雙堆疊 IPv4 和 IPv6 (例如 eks.region.amazonaws.com、eks.region.api.aws)。

  • 區域可用性:EKS API 的 AWS PrivateLink不適用於亞太區域 (馬來西亞) (ap-southeast-5)、亞太區域 (泰國) (ap-southeast-7)、墨西哥 (中部) (mx-central-1) 和亞太區域 (台北) (ap-east-2) 區域。亞太區域 (馬來西亞) (ap-southeast-5) 區域提供 eks-auth (EKS Pod Identity) 的 AWS PrivateLink支援。

建立 Amazon VPC 的介面端點

您可以使用 Amazon VPC 主控台或 AWS 命令列界面 (AWS CLI) 來建立 Amazon EKS 的界面端點。如需詳細資訊,請參閱 AWS PrivateLink 指南中的建立 VPC 端點

使用下列服務名稱建立 Amazon EKS 的介面端點:

EKS API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (適用於 FIPS 相容端點)

EKS 身分驗證 API (EKS Pod 身分)

  • com.amazonaws.region-code.eks-auth

Amazon EKS 介面端點的私有 DNS 功能

預設針對 Amazon EKS 和其他 AWS 服務的介面端點啟用的私有 DNS 功能,可使用預設的區域 DNS 名稱來促進安全且私有的 API 請求。此功能可確保透過私有 AWS 網路的界面端點路由 API 呼叫,從而增強安全性和效能。

當您為 Amazon EKS 或其他 AWS 服務建立介面端點時,私有 DNS 功能會自動啟用。若要啟用 ,您需要透過設定特定屬性來正確設定 VPC:

  • enableDnsHostnames:允許 VPC 內的執行個體具有 DNS 主機名稱。

  • enableDnsSupport:啟用整個 VPC 的 DNS 解析。

如需檢查或修改這些設定的step-by-step說明,請參閱檢視和更新 VPC 的 DNS 屬性

DNS 名稱和 IP 地址類型

啟用私有 DNS 功能後,您可以使用特定 DNS 名稱來連線至 Amazon EKS,而且這些選項會隨著時間演進:

  • eks.region.amazonaws.com:傳統 DNS 名稱,僅在 2024 年 8 月之前解析為 IPv4 地址。對於更新為雙堆疊的現有端點,此名稱會解析為 IPv4 和 IPv6 地址。

  • eks.region.api.aws:適用於 2024 年 8 月之後建立的新端點,此雙堆疊 DNS 名稱同時解析為 IPv4 和 IPv6 地址。

2024 年 8 月之後,新的介面端點會有兩個 DNS 名稱,您可以選擇雙堆疊 IP 地址類型。對於現有端點,更新至雙堆疊會修改 eks.region.amazonaws.com 以支援 IPv4 和 IPv6。

使用私有 DNS 功能

設定完成後,即可將私有 DNS 功能整合至您的工作流程,提供下列功能:

  • API 請求:根據您端點的設定eks.region.api.aws,使用預設的區域 DNS 名稱 eks.region.amazonaws.com或 向 Amazon EKS 提出 API 請求。

  • 應用程式相容性:呼叫 EKS APIs現有應用程式不需要變更即可利用此功能。

  • 具有雙堆疊的 AWS CLI:若要搭配 CLI AWS 使用雙堆疊端點,請參閱 AWS SDKs和工具參考指南中的雙堆疊和 FIPS 端點組態。

  • 自動轉接:對 Amazon EKS 預設服務端點的任何呼叫都會自動導向介面端點,以確保私有且安全的連線。