Acessar o Amazon EKS usando o AWS PrivateLink - Amazon EKS
Antes de começarConsideraçõesCriar um endpoint de interface de VPC para o Amazon EKSRecurso de DNS privado para endpoints de interface do Amazon EKS

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Acessar o Amazon EKS usando o AWS PrivateLink

Você pode usar o AWS PrivateLink para criar uma conexão privada entre seu VPC e o Amazon Elastic Kubernetes Service. Você pode acessar o Amazon EKS como se ele estivesse em sua VPC, sem o uso de um gateway de Internet, dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para acessar o Amazon EKS.

Você estabelece essa conexão privada criando um endpoint de interface alimentado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon EKS.

Para obter mais informações, consulte Acessar serviços da AWS por meio do AWS PrivateLink no Guia do AWS PrivateLink.

Antes de começar

Antes de começar, certifique-se de ter realizado as seguintes tarefas:

Considerações

  • Suporte e limitações: os endpoints da interface do Amazon EKS permitem acesso seguro a todas as ações da API do Amazon EKS da sua VPC, mas vêm com limitações específicas: eles não oferecem suporte ao acesso às APIs do Kubernetes, pois estas têm um endpoint privado separado. Você não pode configurar o Amazon EKS para ser acessível somente por meio do endpoint da interface.

  • Preços: o uso de endpoints de interface para o Amazon EKS gera cobranças padrão do AWS PrivateLink: cobranças por hora para cada endpoint provisionado em cada zona de disponibilidade e cobranças de processamento de dados do tráfego pelo endpoint. Para saber mais, consulte Preço do AWS PrivateLink.

  • Segurança e controle de acesso: recomendamos aprimorar a segurança e controlar o acesso com estas configurações adicionais: use políticas de endpoints da VPC para controlar o acesso ao Amazon EKS por meio do endpoint da interface, associe grupos de segurança a interfaces de rede de endpoints para gerenciar tráfego e use logs de fluxo da VPC para capturar e monitorar o tráfego IP de e para os endpoints da interface, com logs publicáveis no Amazon CloudWatch ou no Amazon S3. Para saber mais, consulte Control access to VPC endpoints using endpoint policies e Como registrar tráfego IP em log com logs de fluxo da VPC.

  • Opções de conectividade: os endpoints de interface oferecem opções flexíveis de conectividade usando acesso on-premises (conecte seu data center on-premises a uma VPC com o endpoint de interface usando o AWS Direct Connect ou o AWS Site-to-Site VPN) ou via conectividade entre VPCs (use o AWS Transit Gateway ou o emparelhamento da VPC para conectar outras VPCs à VPC com o endpoint de interface, mantendo o tráfego na rede da AWS).

  • Suporte para a versão IP: endpoints criados antes de agosto de 2024 são compatíveis somente com o IPv4 usando eks.region.amazonaws.com. Novos endpoints criados após agosto de 2024 são compatíveis com o IPv4 e IPv6 de pilha dupla (por exemplo, eks.region.amazonaws.com, eks.region.api.aws).

  • Disponibilidade regional: o AWS PrivateLink para a API do EKS não está disponível nas regiões Ásia-Pacífico (Malásia) (ap-southeast-5), Ásia-Pacífico (Tailândia) (ap-southeast-7), México (Centro) (mx-central-1) e Ásia-Pacífico (Taipei) (ap-east-2). O suporte do AWS PrivateLink para o eks-auth (Identidade de Pods do EKS) está disponível na região Ásia-Pacífico (Malásia) (ap-southeast-5).

Criar um endpoint de interface de VPC para o Amazon EKS

Você pode criar um endpoint de interface para o Amazon EKS usando o console do Amazon VPC ou a interface de linha de comando AWS (AWS CLI). Para obter mais informações, consulte Criar um endpoint VPC no AWS PrivateLink Guide.

Crie um endpoint de interface para o Amazon EKS usando os seguintes nomes de serviço:

API do EKS

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips (para endpoints compatíveis com FIPS)

API de autenticação do EKS (Identidade de Pods do EKS)

  • com.amazonaws.region-code.eks-auth

Recurso de DNS privado para endpoints de interface do Amazon EKS

O recurso de DNS privado, habilitado por padrão para endpoints de interface do Amazon EKS e outros serviços da AWS, viabiliza solicitações de API seguras e privadas usando nomes de DNS regionais padrão. Esse recurso garante que as chamadas de API sejam roteadas pelo endpoint de interface pela rede privada da AWS, aprimorando a segurança e a performance.

O recurso de DNS privado é ativado automaticamente quando você cria um endpoint de interface para o Amazon EKS ou outros serviços da AWS. Para habilitar, você precisa configurar sua VPC corretamente definindo atributos específicos:

  • enableDnsHostnames: permite que as instâncias dentro da VPC tenham nomes de host DNS.

  • enableDnsSupport: habilita a resolução de DNS em toda a VPC.

Para obter instruções passo a passo para verificar ou modificar essas configurações, consulte Visualizar e atualizar atributos de DNS para sua VPC.

Nomes de DNS e tipos de endereço IP

Com o recurso de DNS privado habilitado, você pode usar nomes DNS específicos para se conectar ao Amazon EKS, e essas opções evoluem com o tempo:

  • eks.region.amazonaws.com: o nome DNS tradicional, resolvido apenas para endereços IPv4 antes de agosto de 2024. Para endpoints existentes atualizados para pilha dupla, esse nome resolve para endereços IPv4 e IPv6.

  • eks.region.api.aws: disponível para novos endpoints criados após agosto de 2024, esse nome DNS de pilha dupla resolve para endereços IPv4 e IPv6.

Depois de agosto de 2024, os novos endpoints de interface vêm com dois nomes DNS, e você pode optar pelo tipo de endereço IP de pilha dupla. Para endpoints existentes, a atualização para pilha dupla modifica eks.region.amazonaws.com para ser compatível tanto com IPv4 quanto com IPv6.

Como usar o recurso DNS privado

Depois de configurado, o recurso de DNS privado pode ser integrado aos seus fluxos de trabalho, oferecendo os seguintes recursos:

  • Solicitações de API: use os nomes DNS regionais padrão, eks.region.amazonaws.com ou eks.region.api.aws, com base na configuração do seu endpoint para fazer solicitações de API para o Amazon EKS.

  • Compatibilidade de aplicações: suas aplicações existentes que chamam as APIs do EKS não precisam de alterações para aproveitar esse recurso.

  • AWS CLI com pilha dupla: para usar os endpoints de pilha dupla com a AWS CLI, consulte a configuração de endpoints de pilha dupla e FIPS no Guia de referência de ferramentas e SDKs da AWS.

  • Roteamento automático: qualquer chamada para o endpoint de serviço padrão do Amazon EKS é automaticamente direcionada pelo endpoint de interface, garantindo conectividade privada e segura.