使用 Amazon PrivateLink 访问 Amazon EKS - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

使用 Amazon PrivateLink 访问 Amazon EKS

您可以使用 Amazon PrivateLink 在您的 VPC 和 Amazon Elastic Kubernetes Service 之间创建私有连接。您可以像在 VPC 中一样访问 Amazon EKS,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon EKS。

您可以通过创建由 Amazon PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管式网络接口,用作发往 Amazon EKS 的流量的入口点。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink 访问 Amazon Web Services 服务

Amazon EKS 注意事项

  • 在为 Amazon EKS 设置接口端点之前,请首先检查《Amazon PrivateLink 指南》中的 注意事项

  • Amazon EKS 支持通过接口端点调用其所有 API 操作,但不支持调用 Kubernetes API。Kubernetes API 服务器已经支持私有端点。Kubernetes API 服务器私有端点为您用于与集群进行通信的 Kubernetes API 服务器创建私有端点(使用 Kubernetes 管理工具,如 kubectl)。您可以启用对 Kubernetes API 服务器的私有访问,以便您的节点与 API 服务器之间的所有通信都在 VPC 内。Amazon EKS API 的 Amazon PrivateLink 可帮助您从 VPC 调用 Amazon EKS API,而无需向公共互联网公开流量。

  • 您无法将 Amazon EKS 配置为只能通过接口端点进行访问。

  • Amazon PrivateLink 的标准定价适用于 Amazon EKS 的接口端点。计费方式:按在每个可用区中预置的接口端点每小时以及通过接口端点处理的数据。有关更多信息,请参阅Amazon PrivateLink 定价

  • Amazon EKS 不支持 VPC 端点策略。默认情况下,允许通过接口端点对 Amazon EKS 进行完全访问。或者,您可以将安全组与端点网络接口关联,以控制通过接口端点流向 Amazon EKS 的流量。

  • 您可以使用 VPC 流日志捕获有关传入和传出网络接口(包括接口端点)的 IP 流量的信息。您可以将流日志数据发布到 Amazon CloudWatch 或 Amazon S3。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 流日志记录 IP 流量

  • 您可以从本地数据中心访问 Amazon EKS API,方法是将本地数据中心连接到具有接口端点的 VPC。您可以使用 Amazon Direct Connect 或 Amazon Site-to-Site VPN 将您的本地站点连接到 VPC。

  • 您可以使用 Amazon Transit Gateway 或 VPC 对等连接通过接口端点将其他 VPC 连接到 VPC。VPC 对等连接是两个 VPC 之间的网络连接。您可以在您的 VPC 之间建立 VPC 对等连接,或者在您的 VPC 与其他账户中的 VPC 之间建立此连接。VPC 可以位于不同的 Amazon Web Services 区域。对等 VPC 之间的流量保留在 Amazon 网络上。流量不会穿越公共互联网。中转网关是网络中转中心,您可用它来互连 VPC。VPC 和中转网关之间的流量仍保留在 Amazon 全球私有网络上。流量不会在公共互联网上公开。

  • Amazon EKS 的 VPC 接口端点只能通过 IPv4 访问。不支持 IPv6

  • EKS API 的 Amazon PrivateLink 支持尚未在亚太地区(马来西亚)Amazon Web Services 区域 推出。对 EKS 容器组身份的 eks-auth 的 Amazon PrivateLink 支持已在亚太地区(马来西亚)Amazon Web Services 区域 推出。

为 Amazon EKS 创建接口端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface(Amazon CLI)为 Amazon EKS 创建接口端点。有关更多信息,请参阅 Amazon PrivateLink 指南中的创建 VPC 端点

使用以下服务名称为 Amazon EKS 创建接口端点:

  • com.amazonaws.region-code.eks
  • com.amazonaws.region-code.eks-auth

在为 Amazon EKS 和其他 Amazon Web Services 服务创建接口端点时,默认启用私有 DNS 功能。要使用专用 DNS 功能,必须将以下 VPC 属性设置为 trueenableDnsHostnamesenableDnsSupport。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 VPC 的 DNS 属性。为接口端点启用私有 DNS 功能后:

  • 您可以使用 Amazon EKS 的默认区域 DNS 名称向其发出任何 API 请求。Amazon EKS 的默认区域 DNS 名称为 eks.region.amazonaws.com。它只能通过 IPv4 访问。IPv6 不受支持。有关 API 列表,请参阅 Amazon EKS API Reference(《Amazon EKS API 参考》)中的操作

  • 您无需对调用 EKS API 的应用程序进行任何更改。

    但是,要将双栈端点与 Amazon CLI 一起使用,请参阅《Amazon SDK 和工具参考指南》中的 Dual-stack and FIPS endpoints 配置

  • 对 Amazon EKS 默认服务端点的任何调用都会通过接口端点自动路由到私有 Amazon 网络上。