AWS PrivateLink를 사용하여 Amazon EKS에 액세스

AWS 프라이빗 링크를 사용하여 VPC와 Amazon Elastic Kubernetes Service 사이에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect를 사용하지 않고 VPC에 있는 것처럼 Amazon EKS에 액세스할 수 있습니다. VPC의 인스턴스에서 Amazon EKS에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS 프라이빗 링크에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Amazon EKS로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은 AWS PrivateLink 가이드의 AWS PrivateLink를 통한 AWS 서비스 액세스를 참조하세요.

시작하기 전 준비 사항

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

• AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스 검토

고려 사항

• 지원 및 제한 사항: Amazon EKS 인터페이스 엔드포인트를 사용하면 VPC에서 모든 Amazon EKS API 작업에 안전하게 액세스할 수 있지만 특정 제한 사항이 있습니다. 별도의 프라이빗 엔드포인트가 있으므로 Kubernetes API에 대한 액세스를 지원하지 않으며, 인터페이스 엔드포인트를 통해서만 액세스할 수 있도록 Amazon EKS를 구성할 수 없습니다.

• 요금: Amazon EKS에 인터페이스 엔드포인트를 사용하면 표준 AWS PrivateLink 요금이 발생합니다. 즉, 각 가용 영역에 프로비저닝된 각 엔드포인트에 대한 시간당 요금, 엔드포인트를 통과하는 트래픽에 대한 데이터 처리 요금이 발생합니다. 자세히 알아보려면 AWS PrivateLink 요금을 참조하세요.

• 보안 및 액세스 제어: VPC 엔드포인트 정책을 사용하여 인터페이스 엔드포인트를 통해 Amazon EKS에 대한 액세스를 제어하고, 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 트래픽을 관리하고, VPC 흐름 로그를 사용하여 인터페이스 엔드포인트와 주고받는 IP 트래픽을 캡처 및 모니터링하고, Amazon CloudWatch 또는 Amazon S3에 로그를 게시하는 등의 추가 구성으로 보안을 강화하고 액세스를 제어하는 것이 좋습니다. 자세한 내용은 Control access to VPC endpoints using endpoint policies와 VPC 흐름 로그를 사용하여 IP 트래픽 로깅을 참조하세요.

• 연결 옵션: 인터페이스 엔드포인트는 온프레미스 액세스(AWS Direct Connect 또는 AWS Site-to-Site VPN을 사용하여 인터페이스 엔드포인트가 있는 VPC에 온프레미스 데이터 센터 연결) 또는 VPC 간 연결(AWS Transit Gateway 또는 VPC 피어링을 사용하여 인터페이스 엔드포인트가 있는 VPC에 다른 VPC 연결 및 AWS 네트워크 내에 트래픽 유지)을 사용하여 유연한 연결 옵션을 제공합니다.

• IP 버전 지원: 2024년 8월 이전에 생성된 엔드포인트는 eks.region.amazonaws.com을 사용하여 IPv4만 지원합니다. 2024년 8월 이후에 생성된 새 엔드포인트는 이중 스택 IPv4 및 IPv6(예: eks.region.amazonaws.com, eks.region.api.aws)를 지원합니다.

• 리전별 가용성: 아시아 태평양(말레이시아)(ap-southeast-5), 아시아 태평양(태국)(ap-southeast-7), 멕시코(중부)(mx-central-1) 및 아시아 태평양(타이페이)(ap-east-2) 리전에서는 EKS API용 AWS PrivateLink를 사용할 수 없습니다. AWS eks-auth(EKS Pod Identity)에 대한 PrivateLink 지원은 아시아 태평양(말레이시아)(ap-southeast-5) 리전에서 사용할 수 있습니다.

Amazon EKS용 인터페이스 엔드포인트 생성

Amazon VPC 콘솔 또는 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 Amazon EKS의 인터페이스 엔드포인트를 생성할 수 있습니다. 자세한 정보는 AWS 프라이빗 링크 가이드의 VPC 엔드포인트 생성을 참조하세요.

다음과 같은 서비스 이름을 사용하여 Amazon EKS의 인터페이스 엔드포인트를 생성합니다.

EKS API

• com.amazonaws.region-code.eks

• com.amazonaws.region-code.eks-fips(FIPS 준수 엔드포인트용)

EKS 인증 API(EKS Pod Identity)

• com.amazonaws.region-code.eks-auth

Amazon EKS 인터페이스 엔드포인트를 위한 프라이빗 DNS 기능

Amazon EKS와 기타 AWS 서비스의 인터페이스 엔드포인트에 대해 기본적으로 활성화된 프라이빗 DNS 기능은 기본 리전 DNS 이름을 사용하여 안전한 프라이빗 API 요청을 용이하게 합니다. 이 기능을 사용하면 API 직접 호출이 프라이빗 AWS 네트워크를 통해 인터페이스 엔드포인트로 라우팅되어 보안과 성능이 향상됩니다.

Amazon EKS 또는 기타 AWS 서비스에 대한 인터페이스 엔드포인트를 생성하면 프라이빗 DNS 기능이 자동으로 활성화됩니다. 활성화하려면 특정 속성을 설정하여 VPC를 올바르게 구성해야 합니다.

• enableDnsHostnames: VPC 내의 인스턴스가 DNS 호스트 이름을 가질 수 있도록 허용합니다.

• enableDnsSupport: VPC 전체에서 DNS 확인을 활성화합니다.

이러한 설정을 확인하거나 수정하는 단계별 지침은 VPC의 DNS 속성을 참조하세요.

DNS 이름 및 IP 주소 유형

프라이빗 DNS 기능을 활성화하면 특정 DNS 이름을 사용하여 Amazon EKS에 연결할 수 있으며, 이러한 옵션은 시간이 지남에 따라 발전합니다.

• eks.region.amazonaws.com: 2024년 8월 전에는 IPv4 주소로만 확인되는 기존 DNS 이름입니다. 이중 스택으로 업데이트된 기존 엔드포인트의 경우 이 이름은 IPv4 주소와 IPv6 주소 모두로 확인됩니다.

• eks.region.api.aws: 2024년 8월 이후에 생성된 새 엔드포인트에 사용할 수 있는 이 이중 스택 DNS 이름은 IPv4 주소와 IPv6 주소 모두로 확인됩니다.

2024년 8월 이후에는 새 인터페이스 엔드포인트에 2개의 DNS 이름이 제공되며, 이중 스택 IP 주소 유형을 선택할 수 있습니다. 기존 엔드포인트의 경우 이중 스택으로 업데이트하면 IPv4와 IPv6를 모두 지원하도록 eks.region.amazonaws.com이 수정됩니다.

프라이빗 DNS 기능 사용

구성이 완료되면 프라이빗 DNS 기능을 워크플로에 통합하여 다음과 같은 기능을 제공할 수 있습니다.

• API 요청: Amazon EKS에 API 요청을 하려면 엔드포인트 설정에 따라 eks.region.amazonaws.com 또는 eks.region.api.aws와 같은 기본 리전 DNS 이름을 사용합니다.

• 애플리케이션 호환성: EKS API를 직접적으로 호출하는 기존 애플리케이션은 이 기능을 활용하기 위해 변경할 필요가 없습니다.

• AWS CLI와 이중 스택: AWS CLI와 함께 이중 스택 엔드포인트를 사용하려면 AWS SDK 및 도구 참조 가이드의 이중 스택 및 FIPS 엔드포인트 구성을 참조하세요.

• 자동 라우팅: Amazon EKS 기본 서비스 엔드포인트에 대한 모든 직접 호출은 자동으로 인터페이스 엔드포인트를 통해 전달되어 안전한 프라이빗 연결이 보장됩니다.