Accédez à Amazon EKS à l'aide de AWS PrivateLink

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Elastic Kubernetes Service. Vous pouvez accéder à Amazon EKS comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou une connexion Direct AWS Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à Amazon EKS.

Vous établissez cette connexion privée en créant un point de terminaison d'interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à Amazon EKS.

Pour plus d'informations, consultez la section Accès aux AWS services AWS PrivateLink dans le AWS PrivateLink Guide.

Considérations relatives à Amazon EKS

• Avant de configurer un point de terminaison d'interface pour Amazon EKS, consultez les considérations du AWS PrivateLink guide.

• Amazon EKS prend en charge les appels vers toutes ses actions d'API via le point de terminaison de l'interface, mais pas vers APIs Kubernetes. Le serveur d'API Kubernetes prend déjà en charge un point de terminaison privé. Le point de terminaison privé du serveur d'API Kubernetes crée un point de terminaison privé pour le serveur d'API Kubernetes que vous utilisez pour communiquer avec votre cluster (à l'aide d'outils de gestion Kubernetes tels que). kubectl Vous pouvez activer l'accès privé au serveur d'API Kubernetes afin que toutes les communications entre vos nœuds et le serveur d'API restent au sein de votre VPC. AWS PrivateLink car l'API Amazon EKS vous permet d'appeler Amazon EKS APIs depuis votre VPC sans exposer le trafic à l'Internet public.

• Vous ne pouvez pas configurer Amazon EKS pour qu'il soit uniquement accessible via un point de terminaison d'interface.

• La tarification standard AWS PrivateLink s'applique aux points de terminaison d'interface pour Amazon EKS. Vous êtes facturé pour chaque heure d'approvisionnement de point de terminaison d'interface dans chaque zone de disponibilité, et pour les données traitées via le point de terminaison d'interface. Pour en savoir plus, consultez Pricing AWS PrivateLink (Tarification).

• Les politiques de point de terminaison VPC sont prises en charge pour Amazon EKS. Vous pouvez utiliser ces politiques pour contrôler l'accès à Amazon EKS via le point de terminaison de l'interface. En outre, vous pouvez associer un groupe de sécurité aux interfaces réseau du point de terminaison afin de contrôler le trafic vers Amazon EKS via le point de terminaison de l'interface. Pour plus d'informations, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison dans la documentation Amazon VPC.

• Vous pouvez utiliser les journaux de flux VPC pour capturer des informations sur le trafic IP entrant et sortant des interfaces réseau, y compris des points de terminaison d'interface. Vous pouvez publier les données du journal de flux sur Amazon CloudWatch ou Amazon S3. Pour de plus amples informations, consultez Journalisation du trafic IP à l'aide des journaux de flux VPC dans le Guide de l'utilisateur Amazon VPC.

• Vous pouvez accéder à Amazon EKS APIs depuis un centre de données sur site en le connectant à un VPC doté d'un point de terminaison d'interface. Vous pouvez utiliser AWS Direct Connect ou AWS Site-to-Site un VPN pour connecter vos sites locaux à un VPC.

• Vous pouvez connecter d'autres utilisateurs VPCs au VPC via un point de terminaison d'interface à l'aide d'un AWS Transit Gateway ou d'un peering VPC. Le peering VPC est une connexion réseau entre deux. VPCs Vous pouvez établir une connexion d'appairage VPC entre votre VPCs compte ou avec un VPC d'un autre compte. Ils VPCs peuvent se trouver dans différentes AWS régions. Le trafic entre pairs VPCs reste sur le AWS réseau. Le trafic ne traverse pas l'Internet public. Un Transit Gateway est un hub de transit réseau que vous pouvez utiliser pour vous interconnecter VPCs. Le trafic entre un VPC et un Transit Gateway reste sur le réseau privé AWS mondial. Le trafic n'est pas exposé à l'Internet public.

• Avant août 2024, les points de terminaison de l'interface VPC pour Amazon EKS n'étaient accessibles qu'après utilisation. IPv4 eks.region.amazonaws.com Les nouveaux points de terminaison d'interface VPC créés après août 2024 utilisent une double pile d'adresses IPv6 IP IPv4 et les deux noms DNS : et. eks.region.amazonaws.com eks.region.api.aws

• AWS PrivateLink le support pour l'API EKS n'est pas disponible dans les régions Asie-Pacifique ap-southeast-5 (Malaisie) (), Asie-Pacifique (Thaïlande) ap-southeast-7 () et Mexique (centre) mx-central-1 ( AWS ). AWS PrivateLink le support eks-auth pour EKS Pod Identity est disponible dans la région Asie-Pacifique (Malaisie) ap-southeast-5 ().

Créer un point de terminaison d'interface pour Amazon EKS

Vous pouvez créer un point de terminaison d'interface pour Amazon EKS à l'aide de la console Amazon VPC ou de l'interface de ligne de AWS commande (AWS CLI). Pour plus d'informations, consultez la section Créer un point de terminaison VPC dans le AWS PrivateLink Guide.

Créez un point de terminaison d'interface pour Amazon EKS à l'aide des noms de service suivants :

• API EKS

com.amazonaws.region-code.eks

• API d'authentification EKS (identité du pod EKS)

com.amazonaws.region-code.eks-auth

La fonctionnalité DNS privé est activée par défaut lors de la création d'un point de terminaison d'interface pour Amazon EKS et d'autres AWS services. Pour utiliser la fonctionnalité DNS privé, vous devez vous assurer que les attributs VPC suivants sont définis sur true : enableDnsHostnames et. enableDnsSupport Pour plus d'informations, consultez Affichage et mise à jour des attributs DNS pour votre VPC dans le Guide de l'utilisateur Amazon VPC. Lorsque la fonctionnalité de DNS privé est activée pour le point de terminaison d'interface :

• Vous pouvez envoyer n'importe quelle demande d'API à Amazon EKS en utilisant son nom DNS régional par défaut. Après août 2024, tout nouveau point de terminaison d'interface VPC pour l'API Amazon EKS possède deux noms DNS régionaux par défaut et vous pouvez choisir le dualstack type d'adresse IP. Le premier nom DNS est « eks.region.api.aws which is dual-stack ». Il se résout à la fois IPv4 aux adresses et IPv6 aux adresses. Avant août 2024, Amazon EKS n'utilisait eks.region.amazonaws.com que les IPv4 adresses résolues uniquement. Si vous souhaitez utiliser IPv6 des adresses IP à double pile avec un point de terminaison d'interface VPC existant, vous pouvez mettre à jour le point de terminaison pour qu'il utilise dualstack le type d'adresse IP, mais il portera uniquement eks.region.amazonaws.com le nom DNS. Dans cette configuration, le point de terminaison existant est mis à jour pour pointer ce nom à la fois vers des adresses IPv6 IP IPv4 et vers des adresses IP. Pour en obtenir la liste APIs, consultez la section Actions dans le manuel Amazon EKS API Reference.

• Il n'est pas nécessaire d'apporter des modifications à vos applications qui appellent l'EKS APIs.

  Toutefois, pour utiliser les points de terminaison à double pile avec la AWS CLI, consultez la configuration des points de terminaison à double pile et FIPS dans le AWS SDKs guide de référence des outils and.

• Tout appel effectué vers le point de terminaison du service par défaut Amazon EKS est automatiquement acheminé via le point de terminaison de l'interface via le AWS réseau privé.