協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格中的 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS PrivateLink 存取 Amazon EKS
您可以使用 AWS PrivateLink 在 VPC 和 Amazon Elastic Kubernetes Service 之間建立私有連線。您可以像在 VPC 中一樣存取 Amazon EKS,無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Amazon EKS。
您可以透過建立由 AWS PrivateLink 支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon EKS 之流量的進入點。
如需詳細資訊,請參閱 AWS PrivateLink 指南中的透過 PrivateLink 存取 AWS 服務。 AWS PrivateLink
Amazon EKS 的考量事項
-
在您設定 Amazon EKS 的介面端點之前,請檢閱 AWS PrivateLink 指南中的考量事項。
-
Amazon EKS 支援透過介面端點呼叫其所有 API 動作,但不支援呼叫 Kubernetes APIs。Kubernetes API 伺服器已支援私有端點。Kubernetes API 伺服器私有端點會為您用來與叢集通訊的 Kubernetes API 伺服器建立私有端點 (使用 Kubernetes 管理工具,例如
kubectl)。您可以啟用 Kubernetes API 伺服器的私有存取,讓節點和 API 伺服器之間的所有通訊保持在 VPC 內。Amazon EKS API 的 AWS PrivateLink可協助您從 VPC 呼叫 Amazon EKS APIs,而不會將流量暴露至公有網際網路。 -
您無法將 Amazon EKS 設定為只能透過介面端點存取。
-
for AWS PrivateLink 的標準定價適用於 Amazon EKS 的介面端點。對於在每個可用區域中佈建的介面端點,以及透過介面端點處理的資料,都會按每小時向您收費。如需詳細資訊,請參閱 AWS PrivateLink 定價
。 -
Amazon EKS 支援 VPC 端點政策。您可以使用這些政策,透過介面端點控制對 Amazon EKS 的存取。此外,您可以將安全群組與端點網路介面建立關聯,以透過介面端點控制 Amazon EKS 的流量。如需詳細資訊,請參閱《Amazon VPC 文件》中的使用端點政策控制對 VPC 端點的存取。
-
您可以使用 VPC 流量日誌來擷取傳入和傳出網路介面之 IP 流量的相關資訊,包括介面端點。您可以將流量日誌資料發佈到 Amazon CloudWatch 或 Amazon S3。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 流量日誌來記錄 IP 流量。
-
您可以將 Amazon EKS API 連線到擁有介面端點的 VPC,藉以從內部部署資料中心存取 Amazon EKS API。您可以使用 AWS Direct Connect AWS Site-to-Site VPN 將內部部署站台連接到 VPC。
-
您可以使用 AWS Transit Gateway VPCs 對等互連,透過介面端點將其他 VPC 連接至 VPC。VPC 對等互連是兩個 VPC 之間的網路連線。您可以在自己的 VPC 之間建立 VPC 對等互連,或與其他帳戶的 VPC 建立對等互連。VPCs 可以位於不同的 AWS 區域。對等 VPCs之間的流量會保留在 AWS 網路上。流量不會周遊公有網際網路。傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC。VPC 與 Transit Gateway 之間的流量會保留在 AWS 全域私有網路上。流量不會公開到公有網際網路。
-
在 2024 年 8 月之前,Amazon EKS 的 VPC 介面端點只能
IPv4透過 存取eks.。在 2024 年 8 月之後建立的新 VPC 介面端點使用region.amazonaws.comIPv4和IPv6IP 地址的雙堆疊,以及 DNS 名稱:eks.和region.amazonaws.comeks.。region.api.aws -
AWS PrivateLink 對 EKS API 的支援不適用於亞太區域 (馬來西亞) ()
ap-southeast-5、亞太區域 (泰國) (ap-southeast-7) 和墨西哥 (中部) (mx-central-1) AWS Regions。 AWS PrivateLinkeks-auth對 EKS Pod Identity 的支援適用於亞太區域 (馬來西亞) () (ap-southeast-5)。
建立 Amazon VPC 的介面端點
您可以使用 Amazon VPC 主控台或 AWS 命令列界面 (AWS CLI) 來建立 Amazon EKS 的界面端點。如需詳細資訊,請參閱 AWS PrivateLink 指南中的建立 VPC 端點。
使用下列服務名稱建立 Amazon EKS 的介面端點:
-
EKS API
com.amazonaws.region-code.eks
-
EKS 身分驗證 API (EKS Pod Identity)
com.amazonaws.region-code.eks-auth
建立 Amazon EKS 和其他 AWS 服務的介面端點時,預設會啟用私有 DNS 功能。若要使用私有 DNS 功能,您必須確保下列 VPC 屬性設定為 true: enableDnsHostnames和 enableDnsSupport。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性。在介面端點啟用私有 DNS 功能時:
-
您可以使用其預設區域 DNS 名稱對 Amazon EKS 進行任何 API 請求。2024 年 8 月之後,Amazon EKS API 的任何新 VPC 介面端點有兩個預設的區域 DNS 名稱,您可以選擇
dualstackIP 地址類型的 。第一個 DNS 名稱eks.是雙堆疊。它同時解析為region.api.awsIPv4地址和IPv6地址。在 2024 年 8 月之前,Amazon EKS 只使用解析為IPv4地址eks.的 。如果您想要搭配現有的 VPC 介面端點使用region.amazonaws.comIPv6和 雙堆疊 IP 地址,您可以更新端點以使用 IP 地址dualstack類型,但只會有eks.DNS 名稱。在此組態中,現有的端點會更新,將該名稱指向region.amazonaws.comIPv4和IPv6IP 地址。如需 API 清單,請參閱《Amazon EKS API 參考》中的動作。 -
您不需要對呼叫 EKS APIs 的應用程式進行任何變更。
不過,若要搭配 CLI AWS 使用雙堆疊端點,請參閱 AWS SDKs和工具參考指南中的雙堆疊和 FIPS 端點組態。
-
對 Amazon EKS 預設服務端點所做的任何呼叫都會透過私有 AWS 網路的介面端點自動路由。
