Ajudar a melhorar esta página
Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.
Configurar o acesso à rede para o endpoint do servidor de API do cluster
Você pode modificar o acesso ao endpoint do servidor de API do cluster usando o AWS Management Console ou a AWS CLI nas seções a seguir.
Configure o acesso ao endpoint - AWS console
-
Abra o console do Amazon EKS
. -
Selecione o nome do cluster para exibir as informações dele.
-
Escolha a guia Redes e depois Gerenciar acesso do endpoint.
-
Em Acesso privado: escolha se deseja habilitar ou desabilitar o acesso privado para o endpoint do servidor de API do Kubernetes do cluster. Se você habilitar o acesso privado, as solicitações de API do Kubernetes originadas na VPC do cluster usarão o endpoint da VPC privado. É necessário habilitar o acesso privado para desabilitar o acesso público.
-
Em Acesso público: escolha se deseja habilitar ou desabilitar o acesso público para o endpoint do servidor de API do Kubernetes do cluster. Se você desabilitar o acesso público, o servidor de API do Kubernetes do cluster só poderá receber solicitações da VPC do cluster.
-
(Opcional) Se você habilitou o Acesso público, poderá especificar quais endereços da Internet podem se comunicar com o endpoint público. Selecione Advanced Settings (Configurações avançadas). Insira um bloco CIDR, como
203.0.113.5/32. O bloco não pode incluir endereços reservados. É possível inserir blocos adicionais selecionando Add Source (Adicionar origem). Há um número máximo de blocos CIDR que você pode especificar. Para obter mais informações, consulte Visualizar e gerenciar as cotas de serviço do Amazon EKS e do Fargate. Se você não especificar nenhum bloco, então o endpoint do servidor de API público receberá solicitações de todos os endereços IP tanto para IPv4(0.0.0.0/0) como paraIPv6(::/0) para o clusterIPv6de pilha dupla. Se você restringir o acesso ao endpoint público usando blocos CIDR, recomendamos habilitar também o acesso ao endpoint privado para que os nós e os Pods do Fargate (se você usá-los) possam se comunicar com o cluster. Sem o endpoint privado habilitado, suas origens CIDR de endpoint de acesso público devem incluir as origens de saída de sua VPC. Por exemplo, se você tiver um nó em uma sub-rede privada que se comunica com a Internet por meio de um gateway NAT, será necessário adicionar o endereço IP de saída do gateway NAT como parte de um bloco CIDR na lista de permissões no endpoint público. -
Selecione Update (Atualizar) para concluir.
Configurar o acesso ao endpoint - AWS CLI
Conclua as etapas a seguir usando a versão AWS CLI 1.27.160 ou posterior. É possível verificar sua versão atual com aws --version. Para instalar ou atualizar a AWS CLI, consulte Instalar a AWS CLI.
-
Atualize o acesso ao endpoint do servidor de API do cluster com o seguinte comando da CLI AWS. Substitua o nome do cluster e os valores desejados de acesso ao endpoint. Se você definir
endpointPublicAccess=true, também poderá inserir um único bloco CIDR ou uma lista de blocos CIDR separados por vírgulas parapublicAccessCidrs. Os blocos não podem incluir endereços reservados. Se você especificar blocos CIDR, o endpoint do servidor de API público só receberá solicitações dos blocos listados. Há um número máximo de blocos CIDR que você pode especificar. Para obter mais informações, consulte Visualizar e gerenciar as cotas de serviço do Amazon EKS e do Fargate. Se você restringir o acesso ao endpoint público usando blocos CIDR, é recomendável habilitar também o acesso ao endpoint privado para que os nós e os Pods do Fargate (se você usá-los) possam se comunicar com o cluster. Sem o endpoint privado habilitado, suas origens CIDR de endpoint de acesso público devem incluir as origens de saída de sua VPC. Por exemplo, se você tiver um nó em uma sub-rede privada que se comunica com a Internet por meio de um gateway NAT, será necessário adicionar o endereço IP de saída do gateway NAT como parte de um bloco CIDR na lista de permissões no endpoint público. Se você não especificar nenhum bloco CIDR, então o endpoint do servidor de API público receberá solicitações de todos os endereços IP (0.0.0.0/0) e do IPv6(::/0) para o clusterIPv6de pilha dupla.nota
O comando a seguir permite acesso privado e acesso público a partir de um único endereço IP para o endpoint do servidor de API. Substitua
203.0.113.5/32por um único bloco CIDR ou uma lista de blocos CIDR separados por vírgulas aos quais você deseja restringir o acesso à rede.aws eks update-cluster-config \ --region region-code \ --name my-cluster \ --resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=trueVeja um exemplo de saída abaixo.
{ "update": { "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000", "status": "InProgress", "type": "EndpointAccessUpdate", "params": [ { "type": "EndpointPublicAccess", "value": "true" }, { "type": "EndpointPrivateAccess", "value": "true" }, { "type": "publicAccessCidrs", "value": "[\"203.0.113.5/32\"]" } ], "createdAt": 1576874258.137, "errors": [] } } -
Monitore o status da atualização do acesso ao endpoint com o comando a seguir, usando o nome do cluster e o ID da atualização retornado pelo comando anterior. Sua atualização estará concluída quando o status for exibido como
Successful.aws eks describe-update \ --region region-code \ --name my-cluster \ --update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000Veja um exemplo de saída abaixo.
{ "update": { "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000", "status": "Successful", "type": "EndpointAccessUpdate", "params": [ { "type": "EndpointPublicAccess", "value": "true" }, { "type": "EndpointPrivateAccess", "value": "true" }, { "type": "publicAccessCidrs", "value": "[\"203.0.113.5/32\"]" } ], "createdAt": 1576874258.137, "errors": [] } }
📝 Editar esta página no GitHub
