Acceso a Amazon EKS con AWS PrivateLink - Amazon EKS
Antes de empezarConsideracionesCrear de un punto de conexión de interfaz para Amazon EKSCaracterística de DNS privado para los puntos de conexión de la interfaz de Amazon EKS

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Acceso a Amazon EKS con AWS PrivateLink

Puede usar un AWS PrivateLink para crear una conexión privada entre la VPC y Amazon Elastic Kubernetes Service. Puede acceder a Amazon EKS como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon EKS.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Amazon EKS.

Para obtener más información, consulte Access AWS services through AWS PrivateLink en la Guía de AWS PrivateLink.

Antes de empezar

Antes de comenzar, asegúrese de haber realizado las siguientes tareas:

Consideraciones

  • Compatibilidad y limitaciones: los puntos de conexión de la interfaz de Amazon EKS permiten el acceso seguro a todas las acciones de la API de Amazon EKS desde su VPC, pero tienen limitaciones específicas: no admiten el acceso a las API de Kubernetes, ya que estas tienen un punto de conexión privado independiente, no puede configurar Amazon EKS para que solo se pueda acceder a través del punto de conexión de la interfaz.

  • Precios: el uso de puntos de conexión de la interfaz para Amazon EKS conlleva cargos estándar de AWS PrivateLink: cargos por hora por cada punto de conexión aprovisionado en cada zona de disponibilidad, cargos por procesamiento de datos por el tráfico a través del punto de conexión. Para obtener más información, consulte Precios de AWS PrivateLink.

  • Seguridad y control de acceso: recomendamos mejorar la seguridad y controlar el acceso con estas configuraciones adicionales: utilice políticas de puntos de conexión de VPC para controlar el acceso a Amazon EKS a través del punto de conexión de la interfaz, asocie grupos de seguridad a las interfaces de red de los puntos de conexión para gestionar el tráfico, utilice registros de flujo de VPC para capturar y supervisar el tráfico IP hacia y desde los puntos de conexión de la interfaz, con registros que se puedan publicar en Amazon CloudWatch o Amazon S3. Para obtener más información, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC y Registro del tráfico de IP con registros de flujo de la VPC.

  • Opciones de conectividad: los puntos de conexión de la interfaz ofrecen opciones de conectividad flexibles mediante el acceso local (conecte el centro de datos en las instalaciones a una VPC con el punto de conexión de la interfaz mediante AWS Direct Connect o AWS Site-to-Site VPN) o mediante la conectividad entre VPC (utilice AWS Transit Gateway o el emparejamiento de VPC para conectar otras VPC a la VPC con el punto de conexión de la interfaz y mantener el tráfico dentro de la red de AWS).

  • Compatibilidad con la versión IP: los puntos de conexión creados antes de agosto de 2024 solo admiten IPv4 con eks.region.amazonaws.com. Los nuevos puntos de conexión creados después de agosto de 2024 admiten IPv4 e IPv6 de doble pila (por ejemplo, eks.region.amazonaws.com, eks.region.api.aws).

  • Disponibilidad regional: AWS PrivateLink para la API de EKS no está disponible en las regiones de Asia-Pacífico (Malasia) (ap-southeast-5), Asia-Pacífico (Tailandia) (ap-southeast-7), México (centro) (mx-central-1) y Asia-Pacífico (Taipéi) (ap-east-2). AWS La compatibilidad de PrivateLink con eks-auth (EKS Pod Identity) se encuentra disponible en la región de Asia-Pacífico (Malasia) (ap-southeast-5).

Crear de un punto de conexión de interfaz para Amazon EKS

Puede crear un punto de conexión de interfaz para Amazon EKS mediante la consola de Amazon VPC o la Interfaz de la línea de comandos de AWS (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de VPC en la Guía de AWS PrivateLink.

Cree un punto de conexión de interfaz para Amazon EKS con los siguientes nombres de servicios:

API de EKS

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (para puntos de conexión compatibles con FIPS)

API de autenticación de EKS (Pod Identity de EKS)

  • com.amazonaws.region-code.eks-auth

Característica de DNS privado para los puntos de conexión de la interfaz de Amazon EKS

La característica de DNS privado, habilitada de forma predeterminada para los puntos de conexión de la interfaz de Amazon EKS y otros servicios de AWS, facilita las solicitudes de API seguras y privadas mediante nombres de DNS regionales predeterminados. Esta característica garantiza que las llamadas de API se enruten a través del punto de conexión de la interfaz a través de la red de AWS privada, lo que mejora la seguridad y el rendimiento.

La característica de DNS privado se activa automáticamente cuando crea un punto de conexión de la interfaz para Amazon EKS u otros servicios de AWS. Para habilitarla, debe configurar la VPC correctamente mediante el establecimiento de atributos específicos:

  • enableDnsHostnames: Permite que las instancias dentro de la VPC tengan nombres de host DNS.

  • enableDnsSupport: Habilita la resolución de DNS en toda la VPC.

Si desea obtener instrucciones paso a paso para comprobar o modificar estos ajustes, consulte Ver y actualizar los atributos de DNS de su VPC.

Nombres de DNS y tipos de direcciones IP

Con la característica de DNS privado habilitada, puede usar nombres de DNS específicos para conectarse a Amazon EKS, y estas opciones evolucionan con el tiempo:

  • eks.region.amazonaws.com: El nombre de DNS tradicional, que solo se resuelve en direcciones IPv4 antes de agosto de 2024. Para los puntos de conexión existentes actualizados a doble pila, este nombre se resuelve en direcciones IPv4 e IPv6.

  • eks.region.api.aws: Disponible para los nuevos puntos de conexión creados después de agosto de 2024, este nombre de DNS de doble pila se resuelve en direcciones IPv4 e IPv6.

A partir de agosto de 2024, los nuevos puntos de conexión de la interfaz vienen con dos nombres de DNS y puede optar por el tipo de dirección IP de doble pila. Para los puntos de conexión existentes, la actualización a doble pila modifica eks.region.amazonaws.com para que sea compatible con IPv4 e IPv6.

Uso de la característica de DNS privado

Una vez configurada, la característica de DNS privado se puede integrar en sus flujos de trabajo y ofrece las siguientes capacidades:

  • Solicitudes de API: Utilice los nombres de DNS regionales predeterminados, ya sea eks.region.amazonaws.com o eks.region.api.aws, según la configuración de su punto de conexión, para realizar solicitudes de API a Amazon EKS.

  • Compatibilidad con aplicaciones: Las aplicaciones existentes que utilizan las API de EKS no requieren cambios para aprovechar esta característica.

  • AWS CLI con doble pila: Para usar los puntos de conexión de doble pila con AWS CLI, consulte la configuración de los puntos de conexión de doble pila y FIPS en la Guía de referencia de SDK y herramientas de AWS.

  • Enrutamiento automático: Cualquier llamada al punto de conexión del servicio predeterminado de Amazon EKS se enruta automáticamente a través del punto de conexión de interfaz, lo que garantiza una conectividad privada y segura.