使用 Amazon PrivateLink 访问 Amazon EKS - Amazon EKS
开始前的准备工作注意事项为 Amazon EKS 创建接口端点Amazon EKS 接口端点的私有 DNS 功能
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

使用 Amazon PrivateLink 访问 Amazon EKS

您可以使用 Amazon PrivateLink 在您的 VPC 和 Amazon Elastic Kubernetes Service 之间创建私有连接。您可以像在 VPC 中一样访问 Amazon EKS,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon EKS。

您可以通过创建由 Amazon PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管式网络接口,用作发往 Amazon EKS 的流量的入口点。

有关更多信息,请参阅《Amazon PrivateLink 指南》中的 Access Amazon services through Amazon PrivateLink

开始前的准备工作

开始之前,请确保您已执行以下任务:

注意事项

  • 支持和限制:Amazon EKS 接口端点允许从您的 VPC 安全访问所有 Amazon EKS API 操作,但有特定的限制:它们不支持访问 Kubernetes API,因为其有单独的私有端点,因此您无法将 Amazon EKS 配置为仅通过接口端点访问。

  • 定价:使用 Amazon EKS 的接口端点会产生标准 Amazon PrivateLink 费用:每个可用区中预置的每个端点的小时费用,以及通过端点的流量的数据处理费用。要了解更多信息,请参阅 Amazon PrivateLink 定价

  • 安全和访问控制:我们建议通过以下附加配置增强安全性和控制访问 – 使用 VPC 端点策略控制通过接口端点访问 Amazon EKS,将安全组与端点网络接口关联以管理流量,使用 VPC 流日志捕获和监控进出接口端点的 IP 流量,日志可发布到 Amazon CloudWatch 或 Amazon S3。要了解更多信息,请参阅 Control access to VPC endpoints using endpoint policies使用 VPC 流日志记录 IP 流量

  • 连接选项:接口端点提供灵活的连接选项,支持通过本地访问(使用 Amazon Direct Connect 或 Amazon Site-to-Site VPN 将本地数据中心连接到包含接口端点的 VPC)或通过 VPC 间连接(使用 Amazon Transit Gateway 或 VPC 对等连接将其他 VPC 连接到包含接口端点的 VPC,从而将流量保持在 Amazon 网络内)。

  • IP 版本支持:在 2024 年 8 月之前创建的端点仅支持使用 eks.region.amazonaws.com 的 IPv4。2024 年 8 月之后创建的新端点支持双堆栈 IPv4 和 IPv6(例如,eks.region.amazonaws.com、eks.region.api.aws)。

  • 区域可用性:适用于 EKS API 的 Amazon PrivateLink 在以下区域不可用:亚太地区(马来西亚)(ap-southeast-5)、亚太地区(泰国)(ap-southeast-7)、墨西哥(中部)(mx-central-1)和亚太地区(台北)(ap-east-2)区域。AmazonPrivateLink 对 eks-auth(EKS 容器组身份)的支持已在亚太地区(马来西亚)(ap-southeast-5) 区域开放。

为 Amazon EKS 创建接口端点

您可以使用 Amazon VPC 控制台或 Amazon 命令行界面(Amazon CLI)为 Amazon EKS 创建接口端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建 VPC 端点

使用以下服务名称为 Amazon EKS 创建接口端点:

EKS API

  • com.amazonaws.region-code.eks

  • com.amazonaws.region-code.eks-fips(适用于符合 FIPS 的端点)

EKS Auth API(EKS 容器组身份)

  • com.amazonaws.region-code.eks-auth

Amazon EKS 接口端点的私有 DNS 功能

Amazon EKS 和其他 Amazon 服务的接口端点默认启用私有 DNS 功能,便于使用默认区域 DNS 名称进行安全和私有 API 请求。此功能可确保 API 调用通过接口端点经由私有 Amazon 网络路由,从而增强安全性和性能。

当您为 Amazon EKS 或其他 Amazon 服务创建接口端点时,将自动激活 DNS 功能。要启用该功能,您需要通过设置特定属性来正确配置您的 VPC:

  • enableDnsHostnames:允许 VPC 内的实例拥有 DNS 主机名。

  • enableDnsSupport:在整个 VPC 中启用 DNS 解析。

有关检查或修改这些设置的分步说明,请参阅查看和更新 VPC 的 DNS 属性

DNS 名称和 IP 地址类型

启用私有 DNS 功能后,您可以使用特定的 DNS 名称连接到 Amazon EKS,这些选项会随着时间的推移而不断演进:

  • eks.region.amazonaws.com:传统的 DNS 名称,在 2024 年 8 月之前仅解析为 IPv4 地址。对于更新为双堆栈的现有端点,此名称将同时解析为 IPv4 和 IPv6 地址。

  • eks.region.api.aws:适用于 2024 年 8 月之后创建的新端点,此双堆栈 DNS 名称可同时解析为 IPv4 和 IPv6 地址。

2024 年 8 月之后,新的接口端点将包含两个 DNS 名称,您可以选择双堆栈 IP 地址类型。对于现有端点,更新为双堆栈将修改 eks.region.amazonaws.com 以同时支持 IPv4 和 IPv6。

使用私有 DNS 功能

配置完成后,可以将私有 DNS 功能集成到您的工作流程中,提供以下功能:

  • API 请求:根据端点的设置,使用默认区域 DNS 名称(eks.region.amazonaws.comeks.region.api.aws)向 Amazon EKS 发出 API 请求。

  • 应用程序兼容性:调用 EKS API 的现有应用程序无需进行任何更改即可利用此功能。

  • 具有双堆栈的 Amazon CLI:要将双堆栈端点与 Amazon CLI 结合使用,请参阅《Amazon SDKs and Tools Reference Guide》中的 Dual-stack and FIPS endpoints 配置。

  • 自动路由:对 Amazon EKS 默认服务端点的任何调用都会通过接口端点自动定向,从而确保连接私有和安全。