Configuration de l'accès aux terminaux - AWS console Configurer l'accès aux points de terminaison - AWS CLI

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Configuration de l'accès réseau au point de terminaison du serveur API du cluster

Vous pouvez modifier l'accès aux points de terminaison de votre serveur API de cluster à l'aide de la AWS CLI AWS Management Console ou dans les sections suivantes.

Configuration de l'accès aux terminaux - AWS console

Ouvrez la console Amazon EKS.
Choisissez le nom du cluster pour afficher les informations le concernant.
Choisissez l'onglet Mise en réseau, puis sélectionnez Gérer l'accès aux terminaux.
Pour l'accès privé, choisissez d'activer ou de désactiver l'accès privé pour le point de terminaison du serveur d'KubernetesAPI de votre cluster. Si vous activez l'accès privé, les demandes d'KubernetesAPI provenant du VPC de votre cluster utilisent le point de terminaison VPC privé. Vous devez activer l'accès privé pour désactiver l'accès public.
Pour l'accès public, choisissez d'activer ou de désactiver l'accès public pour le point de terminaison du serveur d'KubernetesAPI de votre cluster. Si vous désactivez l'accès public, le serveur Kubernetes API de votre cluster ne peut recevoir des demandes que depuis le VPC du cluster.
(Facultatif) Si vous avez activé l'accès public, vous pouvez spécifier les adresses Internet qui peuvent communiquer avec le point de terminaison public. Sélectionnez Advanced Settings (Paramètres avancés). Entrez un bloc CIDR, tel que 203.0.113.5/32. Le bloc ne peut pas inclure d'adresses réservées. Vous pouvez entrer des blocs supplémentaires en sélectionnant Add Source (Ajouter une source). Vous pouvez spécifier un nombre maximal de blocs CIDR. Pour de plus amples informations, veuillez consulter Afficher et gérer les quotas de service Amazon EKS et Fargate. Si vous ne spécifiez aucun bloc, le point de terminaison du serveur d'API public reçoit des demandes de toutes les adresses IP pour IPv4 (0.0.0.0/0) et en plus IPv6 (::/0) pour le IPv6 cluster à double pile. Si vous limitez l'accès à votre point de terminaison public à l'aide de blocs CIDR, nous vous recommandons d'activer également l'accès au point de terminaison privé afin que les nœuds et Pods Fargate (si vous les utilisez) puissent communiquer avec le cluster. Sans le point de terminaison privé activé, vos sources CIDR de point d'accès public doivent inclure les sources de sortie de votre VPC. Par exemple, si vous avez un nœud dans un sous-réseau privé qui communique à Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans le cadre d'un bloc CIDR autorisé sur votre point de terminaison public.
Choisissez Update (Mettre à jour) pour terminer.

Configurer l'accès aux points de terminaison - AWS CLI

Effectuez les étapes suivantes à l'aide de la version AWS CLI 1.27.160 ou ultérieure. Vous pouvez vérifier votre version actuelle avec aws --version. Pour installer ou mettre à niveau la AWS CLI, reportez-vous à la section Installation de la AWS CLI.

Mettez à jour l'accès aux points de terminaison de votre serveur d'API de cluster à l'aide de la commande AWS CLI suivante. Remplacez les valeurs par le nom de votre cluster et les valeurs d'accès au point de terminaison souhaitées. Si vous définissez endpointPublicAccess=true, vous pouvez (éventuellement) entrer un seul bloc CIDR ou une liste de blocs CIDR séparés par des virgules pour publicAccessCidrs. Les blocs ne peuvent pas inclure d'adresses réservées. Si vous spécifiez des blocs CIDR, le point de terminaison du serveur d'API public ne recevra que les demandes des blocs répertoriés. Vous pouvez spécifier un nombre maximal de blocs CIDR. Pour de plus amples informations, veuillez consulter Afficher et gérer les quotas de service Amazon EKS et Fargate. Si vous limitez l'accès à votre point de terminaison public à l'aide de blocs CIDR, il est recommandé d'activer également l'accès au point de terminaison privé afin que les nœuds et les Pods Fargate (si vous les utilisez) puissent communiquer avec le cluster. Sans le point de terminaison privé activé, vos sources CIDR de point d'accès public doivent inclure les sources de sortie de votre VPC. Par exemple, si vous avez un nœud dans un sous-réseau privé qui communique à Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans le cadre d'un bloc CIDR autorisé sur votre point de terminaison public. Si vous ne spécifiez aucun bloc CIDR, le point de terminaison du serveur d'API public reçoit les demandes de toutes les adresses IP (0.0.0.0/0) et en plus IPv6 (::/0) pour le cluster à double pile. IPv6

Note
La commande suivante active l'accès privé et l'accès public à partir d'une adresse IP unique pour le point de terminaison du serveur API. Remplacez 203.0.113.5/32 par un seul bloc CIDR ou une liste de blocs CIDR séparés par des virgules auxquels vous souhaitez restreindre l'accès réseau.
```
aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true
```
L'exemple qui suit illustre un résultat.
```
{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "InProgress",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}
```

Surveillez le statut de la mise à jour de l'accès à votre point de terminaison avec la commande suivante, en indiquant le nom de votre cluster et l'ID de mise à jour qui a été renvoyé par la commande précédente. Votre mise à jour est terminée lorsqu'elle affiche l'état Successful.


aws eks describe-update \
    --region region-code \
    --name my-cluster \
    --update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000

L'exemple qui suit illustre un résultat.


{
    "update": {
        "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
        "status": "Successful",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "true"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            },
            {
                "type": "publicAccessCidrs",
                "value": "[\"203.0.113.5/32\"]"
            }
        ],
        "createdAt": 1576874258.137,
        "errors": []
    }
}

📝 Modifiez cette page sur GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès au point de terminaison de cluster

Activer le support Windows

Configuration de l'accès réseau au point de terminaison du serveur API du cluster

Configuration de l'accès aux terminaux - AWS console

Configurer l'accès aux points de terminaison - AWS CLI

Note