**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Cluster-API-Server-Endpunkt
<a name="cluster-endpoint"></a>

Dieses Thema hilft Ihnen, den privaten Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Amazon-EKS-Clusters zu aktivieren und den öffentlichen Zugriff über das Internet einzuschränken oder vollständig zu deaktivieren.

Wenn Sie einen neuen Cluster erstellen, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server, über den Sie mit Ihrem Cluster kommunizieren (mit Kubernetes-Verwaltungswerkzeugen wie `kubectl`). Standardmäßig ist dieser API-Serverendpunkt im Internet öffentlich, und der Zugriff auf den API-Server wird mithilfe einer Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetes [Role Based Access Control](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) gesichert. Dieser Endpunkt wird als *öffentlicher Cluster-Endpunkt* bezeichnet. Es gibt auch einen *privaten Cluster-Endpunkt*. Weitere Informationen zum privaten Cluster-Endpunkt finden Sie im folgenden Abschnitt [Privater Cluster-Endpunkt](#cluster-endpoint-private).

## `IPv6`-Cluster-Endpunkt-Format
<a name="cluster-endpoint-ipv6"></a>

EKS erstellt für neue `IPv6`-Cluster, die nach Oktober 2024 erstellt werden, einen eindeutigen Dual-Stack-Endpunkt im folgenden Format: Ein *IPv6 Cluster* ist ein Cluster, den Sie `IPv6` in der IP-Familie (`ipFamily`) -Einstellung des Clusters auswählen.

**Example**  
 public/private EKS-Cluster-Endpunkt: `eks-cluster.region.api.aws` 
 public/private EKS-Cluster-Endpunkt: `eks-cluster.region.api.aws` 
 public/private EKS-Cluster-Endpunkt: `eks-cluster---region---api.amazonwebservices.com.rproxy.goskope.com.cn` 

**Anmerkung**  
Der Dual-Stack-Cluster-Endpunkt wurde im Oktober 2024 eingeführt. Weitere Informationen zu `IPv6`-Clustern finden Sie unter [Erfahren Sie mehr über IPv6 Adressen für Cluster, Pods und Dienste](cni-ipv6.md). Cluster, die vor Oktober 2024 erstellt wurden, verwenden stattdessen das folgende Endpunkt-Format.

## `IPv4`-Cluster-Endpunkt-Format
<a name="cluster-endpoint-ipv4"></a>

EKS erstellt für jeden Cluster, der in der IP-Familieneinstellung (ipFamily) des Clusters `IPv4` auswählt, einen eindeutigen Endpunkt im folgenden Format:

**Example**  
 public/private EKS-Cluster-Endpunkt `eks-cluster.region.eks.amazonaws.com` 
 public/private EKS-Cluster-Endpunkt `eks-cluster.region.eks.amazonaws.com` 
 public/private EKS-Cluster-Endpunkt `eks-cluster---region.amazonwebservices.com.rproxy.goskope.com.cn` 

**Anmerkung**  
Vor Oktober 2024 verwendeten `IPv6`-Cluster auch dieses Endpunkt-Format. Bei diesen Clustern werden sowohl beim öffentlichen als auch beim privaten Endpunkt nur `IPv4`-Adressen von diesem Endpunkt aufgelöst.

## Privater Cluster-Endpunkt
<a name="cluster-endpoint-private"></a>

Sie können den privaten Zugriff auf den Kubernetes-API-Server aktivieren, sodass die gesamte Kommunikation zwischen Ihren Knoten und dem API-Server innerhalb Ihrer VPC bleibt. Sie können die IP-Adressen einschränken, die über das Internet auf Ihren API-Server zugreifen können, oder den Internetzugriff auf den API-Server vollständig deaktivieren.

**Anmerkung**  
Da dieser Endpunkt für den Kubernetes-API-Server und kein herkömmlicher AWS PrivateLink Endpunkt für die Kommunikation mit einer AWS API ist, wird er in der Amazon VPC-Konsole nicht als Endpunkt angezeigt.

Wenn Sie den privaten Endpunktzugriff für Ihren Cluster aktivieren, erstellt Amazon EKS in Ihrem Namen eine privat gehostete Route-53-Zone und ordnet diese der VPC Ihres Clusters zu. Diese private gehostete Zone wird von Amazon EKS verwaltet und wird nicht in den Route-53-Ressourcen Ihres Kontos angezeigt. Damit die private gehostete Zone Datenverkehr ordnungsgemäß an Ihren API-Server weiterleiten kann, müssen `enableDnsHostnames` und `enableDnsSupport` für Ihre VPC auf `true` gesetzt sein und die DHCP-Optionen für Ihre VPC müssen `AmazonProvidedDNS` in ihrer Domainnamen-Serverliste enthalten. Weitere Informationen finden Sie unter [Aktualisieren der DNS-Unterstützung für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im *Amazon-VPC-Benutzerhandbuch*.

Sie können Ihre Anforderungen für den Zugriff auf Ihre API-Server-Endpunkte definieren, wenn Sie einen neuen Cluster erstellen. Sie können den Zugriff auf die API-Server-Endpunkte für einen Cluster jederzeit aktualisieren.

## Ändern des Cluster-Endpunktzugriffs
<a name="modify-endpoint-access"></a>

Verwenden Sie die Verfahren in diesem Abschnitt, um den Endpunktzugriff für einen bestehenden Cluster zu ändern. Die folgende Tabelle zeigt die unterstützten Kombinationen von API-Server-Endpunktzugriffen und das damit verbundene Verhalten.


| Endpunkt für öffentlichen Zugriff | Endpunkt für privaten Zugriff | Behavior | 
| --- | --- | --- | 
|  Enabled  |  Disabled  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eks/latest/userguide/cluster-endpoint.html)  | 
|  Aktiviert  |  Aktiviert  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eks/latest/userguide/cluster-endpoint.html)  | 
|  Disabled  |  Aktiviert  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eks/latest/userguide/cluster-endpoint.html)  | 

 **Zugangskontrollen für Endgeräte** 

Beachten Sie, dass sich jede der folgenden Methoden zur Steuerung des Endpunktzugriffs nur auf den jeweiligen Endpunkt auswirkt.

 *Cluster-Sicherheitsgruppe*   
Die Cluster-Sicherheitsgruppe steuert zwei Arten von Verbindungen: Verbindungen zur *Kubelet-API* und zum privaten Endpunkt. Die Verbindungen zur `kubelet` API werden in den Befehlen`kubectl attach`,, `kubectl cp` `kubectl exec``kubectl logs`, und `kubectl port-forward` verwendet. Die Cluster-Sicherheitsgruppe hat keine Auswirkungen auf den öffentlichen Endpunkt.

 *Öffentlicher Zugriff CIDRs*   
Der *öffentliche Zugriff CIDRs* steuert den Zugriff auf den öffentlichen Endpunkt anhand einer Liste von CIDR-Blöcken. Beachten Sie, dass der öffentliche Zugriff CIDRs keinen Einfluss auf den privaten Endpunkt hat. Der öffentliche Zugriff CIDRs verhält sich auf den `IPv6` Clustern und `IPv4` Clustern je nach dem Datum, an dem sie erstellt wurden, unterschiedlich. Dies wird im Folgenden beschrieben:

 **CIDR-Blöcke im öffentlichen Endpunkt (`IPv6`-Cluster)** 

Sie können `IPv6` und `IPv4`-CIDR-Blöcke zum öffentlichen Endpunkt eines `IPv6`-Clusters hinzufügen, da der öffentliche Endpunkt Dual-Stack-fähig ist. Dies gilt nur für neue Cluster mit dem Wert `ipFamily` auf `IPv6`, die Sie im Oktober 2024 oder später erstellt haben. Sie können diese Cluster anhand des neuen Endpunkt-Domain-Namens `api.aws` identifizieren.

 **CIDR-Blöcke im öffentlichen Endpunkt (`IPv4`-Cluster)** 

Sie können dem öffentlichen Endpunkt eines `IPv4`-Clusters `IPv4`-CIDR-Blöcke hinzufügen. Sie können keine `IPv6`-CIDR-Blöcke zum öffentlichen Endpunkt eines `IPv4`-Clusters hinzufügen. Wenn Sie dies versuchen, gibt EKS die folgende Fehlermeldung zurück: `The following CIDRs are invalid in publicAccessCidrs` 

 **CIDR-Blöcke im öffentlichen Endpunkt (`IPv6`-Cluster vor Oktober 2024 erstellt)** 

Sie können `IPv4`-CIDR-Blöcke zum öffentlichen Endpunkt der alten `IPv6`-Cluster hinzufügen, die Sie vor Oktober 2024 erstellt haben. Sie können diese Cluster anhand des `eks.amazonaws.com`-Endpunkts identifizieren. Sie können dem öffentlichen Endpunkt dieser alten `IPv6`-Cluster, die Sie vor Oktober 2024 erstellt haben, keine `IPv6`-CIDR-Blöcke hinzufügen. Wenn Sie dies versuchen, gibt EKS die folgende Fehlermeldung zurück: `The following CIDRs are invalid in publicAccessCidrs` 

## Zugriff auf einen privaten API-Server
<a name="private-access"></a>

Wenn Sie den öffentlichen Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Clusters deaktiviert haben, können Sie nur über Ihre VPC oder ein [verbundenes Netzwerk](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) auf den API-Server zugreifen. Hier sind einige Möglichkeiten, um auf den Kubernetes-API-Server-Endpunkt zuzugreifen:

 **Verbundenes Netzwerk**   
Verbinden Sie Ihr Netzwerk über ein [AWS -Transit-Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) oder eine andere [Konnektivitätsoption](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html) mit der VPC und verwenden Sie dann einen Computer im verbundenen Netzwerk. Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrem verbundenen Netzwerk zulassen.

 **Gastgeber bei Amazon EC2 Bastion**   
Sie können eine EC2 Amazon-Instance in einem öffentlichen Subnetz in der VPC Ihres Clusters starten und sich dann über SSH bei dieser Instance anmelden, um Befehle auszuführen. `kubectl` Weitere Informationen finden Sie unter [Linux-Bastion-Hosts in AWS](https://aws.amazon.com/quickstart/architecture/linux-bastion/). Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrem Bastion-Host zulassen. Weitere Informationen finden Sie unter [Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen](sec-group-reqs.md).  
Achten Sie bei der Konfiguration `kubectl` für Ihren Bastion-Host darauf, AWS Anmeldeinformationen zu verwenden, die bereits der RBAC-Konfiguration Ihres Clusters zugeordnet sind, oder fügen Sie den [IAM-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal), den Ihre Bastion verwenden wird, zur RBAC-Konfiguration hinzu, bevor Sie den öffentlichen Zugriff auf Endgeräte entfernen. Weitere Informationen erhalten Sie unter [Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs](grant-k8s-access.md) und [Nicht autorisiert oder Zugriff verweigert (`kubectl`)](troubleshooting.md#unauthorized).

 ** AWS -Cloud9-IDE**   
 AWS Cloud9 ist eine cloudbasierte integrierte Entwicklungsumgebung (IDE), mit der Sie Ihren Code mit nur einem Browser schreiben, ausführen und debuggen können. Sie können eine AWS Cloud9-IDE in der VPC Ihres Clusters erstellen und die IDE für die Kommunikation mit Ihrem Cluster verwenden. Weitere Informationen finden Sie unter [Umgebung in AWS Cloud9 erstellen](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html). Sie müssen sicherstellen, dass Ihre Amazon-EKS-Steuerebenen-Sicherheitsgruppe Regeln enthält, die den eingehenden Datenverkehr auf Port 443 von Ihrer IDE-Sicherheitsgruppe zulassen. Weitere Informationen finden Sie unter [Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen](sec-group-reqs.md).  
Achten Sie bei der Konfiguration `kubectl` für Ihre AWS Cloud9-IDE darauf, AWS Anmeldeinformationen zu verwenden, die bereits der RBAC-Konfiguration Ihres Clusters zugeordnet sind, oder fügen Sie den IAM-Prinzipal, den Ihre IDE verwenden wird, zur RBAC-Konfiguration hinzu, bevor Sie den öffentlichen Endpunktzugriff entfernen. Weitere Informationen erhalten Sie unter [Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs](grant-k8s-access.md) und [Nicht autorisiert oder Zugriff verweigert (`kubectl`)](troubleshooting.md#unauthorized).

[📝 Bearbeiten Sie diese Seite auf GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code) 

# Konfiguration des Netzwerkzugriffs auf den Endpunkt des Cluster-API-Servers
<a name="config-cluster-endpoint"></a>

Sie können den Endpunktzugriff Ihres Cluster-API-Servers mithilfe der AWS-Managementkonsole oder AWS CLI in den folgenden Abschnitten ändern.

## Konfigurieren Sie den Endpunktzugriff — AWS Konsole
<a name="configure_endpoint_access_shared_aws_console"></a>

1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).

1. Wählen Sie den Namen des Clusters aus, um Ihre Cluster-Informationen anzuzeigen.

1. Wählen Sie die Registerkarte **Netzwerk** und anschließend **Endpunktzugriff verwalten** aus.

1. Wählen Sie für den **privaten Zugriff** aus, ob Sie den privaten Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Clusters aktivieren oder deaktivieren möchten. Wenn Sie den privaten Zugriff aktivieren, verwenden Kubernetes-API-Anfragen aus der VPC Ihres Clusters den privaten VPC-Endpunkt. Sie müssen den privaten Zugriff aktivieren, um den öffentlichen Zugriff zu deaktivieren.

1. Wählen Sie für **Öffentlicher Zugriff** aus, ob der öffentliche Zugriff für den Kubernetes-API-Server-Endpunkt Ihres Clusters aktiviert oder deaktiviert werden soll. Wenn Sie den öffentlichen Zugriff deaktivieren, kann der Kubernetes-API-Server Ihres Clusters nur Anfragen aus der VPC des Clusters empfangen.

1. (Optional) Wenn Sie **Öffentlicher Zugriff** aktiviert haben, können Sie angeben, welche Adressen aus dem Internet mit dem öffentlichen Endpunkt kommunizieren können. Wählen Sie **Erweiterte Einstellungen** aus. Geben Sie einen CIDR-Block ein, z. B. *203.0.113.5/32*. Der Block darf keine [reservierten Adressen](https://en.wikipedia.org/wiki/Reserved_IP_addresses) enthalten. Sie können zusätzliche Blöcke eingeben, indem Sie **Quelle hinzufügen** auswählen. Es gibt eine maximale Anzahl von CIDR-Blöcken, die Sie angeben können. Weitere Informationen finden Sie unter [Service Quotas für Amazon EKS und Fargate anzeigen und verwalten](service-quotas.md). Wenn Sie keine Blöcke angeben, empfängt der öffentliche API-Server-Endpunkt Anfragen von allen IP-Adressen sowohl für `IPv4` (`0.0.0.0/0`) als auch zusätzlich `IPv6` (`::/0`) für Dual-Stack-Cluster `IPv6`. Wenn Sie den Zugriff auf Ihren öffentlichen Endpunkt mithilfe von CIDR-Blöcken einschränken, wird empfohlen, dass Sie auch den privaten Endpunktzugriff aktivieren, damit Knoten und Fargate-Pods (falls Sie diese verwenden) mit dem Cluster kommunizieren können. Wenn der private Endpunkt nicht aktiviert ist, müssen Ihre CIDR-Quellen für den öffentlichen Zugriffsendpunkt die Ausgangsquellen aus Ihrer VPC enthalten. Wenn Sie beispielsweise einen Knoten in einem privaten Subnetz haben, der über ein NAT-Gateway mit dem Internet kommuniziert, müssen Sie die ausgehende IP-Adresse des NAT-Gateways als Teil eines erlaubten CIDR-Blocks auf Ihrem öffentlichen Endpunkt hinzufügen.

1. Wählen Sie zum Abschluss **Update (Aktualisieren)** aus.

## Endpunktzugriff konfigurieren — AWS CLI
<a name="configure_endpoint_access_shared_aws_cli"></a>

Führen Sie die folgenden Schritte mit der AWS CLI-Version `1.27.160` oder höher aus. Sie können Ihre aktuelle Version mit `aws --version` überprüfen. Informationen zur Installation oder zum Upgrade der AWS CLI finden Sie unter [AWS CLI installieren](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html).

1. Aktualisieren Sie den Endpunktzugriff Ihres Cluster-API-Servers mit dem folgenden AWS CLI-Befehl. Verwenden Ihre eigenen Werte für den Clusternamen und den gewünschten Endpunkt. Wenn Sie `endpointPublicAccess=true` festlegen, können Sie (optional) einen einzelnen CIDR-Block oder eine kommagetrennte Liste von CIDR-Blöcken für `publicAccessCidrs` eingeben. Die Blöcke dürfen keine [reservierten Adressen](https://en.wikipedia.org/wiki/Reserved_IP_addresses) enthalten. Wenn Sie CIDR-Blöcke angeben, empfängt der öffentliche API-Server-Endpunkt nur Anforderungen von den aufgelisteten Blöcken. Es gibt eine maximale Anzahl von CIDR-Blöcken, die Sie angeben können. Weitere Informationen finden Sie unter [Service Quotas für Amazon EKS und Fargate anzeigen und verwalten](service-quotas.md). Wenn Sie den Zugriff auf Ihren öffentlichen Endpunkt mithilfe von CIDR-Blöcken einschränken, wird empfohlen, dass Sie auch den privaten Endpunktzugriff aktivieren, damit Knoten und Fargate-Pods (falls Sie diese verwenden) mit dem Cluster kommunizieren können. Wenn der private Endpunkt nicht aktiviert ist, müssen Ihre CIDR-Quellen für den öffentlichen Zugriffsendpunkt die Ausgangsquellen aus Ihrer VPC enthalten. Wenn Sie beispielsweise einen Knoten in einem privaten Subnetz haben, der über ein NAT-Gateway mit dem Internet kommuniziert, müssen Sie die ausgehende IP-Adresse des NAT-Gateways als Teil eines erlaubten CIDR-Blocks auf Ihrem öffentlichen Endpunkt hinzufügen. Wenn Sie keine CIDR-Blöcke angeben, empfängt der öffentliche API-Server-Endpunkt Anfragen von allen (0.0.0.0/0) IP-Adressen und zusätzlich `IPv6` (`::/0`) für Dual-Stack-`IPv6`-Cluster.
**Anmerkung**  
Der folgende Befehl ermöglicht den privaten Zugriff und den öffentlichen Zugriff von einer einzelnen IP-Adresse für den API-Server-Endpunkt. Ersetzen Sie *203.0.113.5/32* durch einen einzelnen CIDR-Block oder eine kommagetrennte Liste von CIDR-Blöcken, auf die Sie den Netzwerkzugriff beschränken möchten.

   ```
   aws eks update-cluster-config \
       --region region-code \
       --name my-cluster \
       --resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true
   ```

   Eine Beispielausgabe sieht wie folgt aus.

   ```
   {
       "update": {
           "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
           "status": "InProgress",
           "type": "EndpointAccessUpdate",
           "params": [
               {
                   "type": "EndpointPublicAccess",
                   "value": "true"
               },
               {
                   "type": "EndpointPrivateAccess",
                   "value": "true"
               },
               {
                   "type": "publicAccessCidrs",
                   "value": "[\"203.0.113.5/32\"]"
               }
           ],
           "createdAt": 1576874258.137,
           "errors": []
       }
   }
   ```

1. Überwachen Sie den Status des aktualisierten Endpunktzugriffs mit dem folgenden Befehl unter Verwendung des Cluster-Namens und der Update-ID, die vom vorherigen Befehl zurückgegeben wurden. Ihre Aktualisierung ist abgeschlossen, wenn als Status `Successful` angezeigt wird.

   ```
   aws eks describe-update \
       --region region-code \
       --name my-cluster \
       --update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000
   ```

   Eine Beispielausgabe sieht wie folgt aus.

   ```
   {
       "update": {
           "id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
           "status": "Successful",
           "type": "EndpointAccessUpdate",
           "params": [
               {
                   "type": "EndpointPublicAccess",
                   "value": "true"
               },
               {
                   "type": "EndpointPrivateAccess",
                   "value": "true"
               },
               {
                   "type": "publicAccessCidrs",
                   "value": "[\"203.0.113.5/32\"]"
               }
           ],
           "createdAt": 1576874258.137,
           "errors": []
       }
   }
   ```

📝 [Bearbeiten Sie diese Seite auf GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23config-cluster-endpoint%5D&type=code)