**Ayude a mejorar esta página**
Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.
# Punto de conexión del servidor de API del clúster
Esto lo ayudará a habilitar el acceso privado al punto de conexión del servidor de API de Kubernetes de su clúster de Amazon EKS y a limitar, o a desactivar por completo, el acceso público desde Internet.
Cuando se crea un clúster nuevo, Amazon EKS crea un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster (mediante herramientas de administración de Kubernetes como, por ejemplo, `kubectl`). De forma predeterminada, este punto de conexión del servidor de API es público en Internet y el acceso al servidor de API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el [Control de acceso basado en rol](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) nativo de Kubernetes. Este punto de conexión se conoce como *punto de conexión público del clúster*. También hay un *punto de conexión privado del clúster*. Para obtener más información sobre el punto de conexión privado del clúster, consulte la siguiente sección [Punto de conexión privado del clúster](#cluster-endpoint-private).
## formato de punto de conexión del clúster `IPv6`
EKS crea un punto de conexión único de doble pila con el siguiente formato para los nuevos clústeres `IPv6` que se creen después de octubre de 2024. Un *clúster IPv6* es un clúster en el que selecciona `IPv6` en la configuración de la familia IP (`ipFamily`) del clúster.
**Example**
Punto de conexión público o privado del clúster de EKS: `eks-cluster.region.api.aws`
Punto de conexión público o privado del clúster de EKS: `eks-cluster.region.api.aws`
Punto de conexión público o privado del clúster de EKS: `eks-cluster---region---api.amazonwebservices.com.rproxy.goskope.com.cn`
**nota**
El punto de conexión de clúster de doble pila se introdujo en octubre de 2024. Para obtener más información acerca de los clústeres `IPv6`, consulte [Información sobre la asignación de direcciones IPv6 a clústeres, pods y servicios](cni-ipv6.md). En su lugar, los clústeres creados antes de octubre de 2024 utilizan el siguiente formato de punto de conexión.
## Formato de punto de conexión del clúster `IPv4`
EKS crea un punto de conexión único en el siguiente formato para cada clúster en el que se selecciona `IPv4` en la configuración de familia IP (ipFamily) del clúster:
**Example**
Punto de conexión público o privado del clúster de EKS `eks-cluster.region.eks.amazonaws.com`
Punto de conexión público o privado del clúster de EKS `eks-cluster.region.eks.amazonaws.com`
Punto de conexión público o privado del clúster de EKS `eks-cluster---region.amazonwebservices.com.rproxy.goskope.com.cn`
**nota**
Antes de octubre de 2024, los clústeres `IPv6` también utilizaban este formato de punto de conexión. En el caso de estos clústeres, tanto en el punto de conexión público como en el privado, solo se resuelven direcciones `IPv4` a través de este punto de conexión.
## Punto de conexión privado del clúster
Puede habilitar el acceso privado al servidor de la API de Kubernetes para que toda la comunicación entre los nodos y el servidor de la API permanezcan dentro de su VPC. Puede limitar las direcciones IP que pueden acceder a su servidor de API desde Internet o desactivar por completo el acceso a Internet al servidor de API.
**nota**
Dado que este punto de conexión es para el servidor de la API de Kubernetes y no un punto de conexión de AWS PrivateLink tradicional que sirve para comunicarse con una API de AWS, no aparece como un punto de conexión en la consola de Amazon VPC.
Al habilitar el acceso privado al punto de conexión para el clúster, Amazon EKS crea una zona alojada privada de Route 53 en su nombre y la asocia a la VPC de su clúster. Esta zona alojada privada se administra mediante Amazon EKS y no aparece en los recursos de Route 53 de su cuenta. Para que la zona privada alojada dirija el tráfico adecuadamente a su servidor de API, su VPC debe tener `enableDnsHostnames` y `enableDnsSupport` establecidos en `true` y las opciones de DHCP establecidas para su VPC deben incluir `AmazonProvidedDNS` en su lista de servidores de nombres de dominios. A fin de obtener más información, consulte [Actualización de soporte de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *guía del usuario de Amazon VPC*.
Puede definir los requisitos de acceso al punto de conexión del servidor de la API al crear un nuevo clúster; puede actualizar el acceso al punto de conexión del servidor de la API para un clúster en cualquier momento.
## Modificar el acceso al punto de conexión del clúster
Utilice los procedimientos de esta sección para modificar el acceso al punto de conexión para un clúster existente. En la siguiente tabla se muestran las combinaciones de acceso al punto de conexión del servidor de la API y sus comportamientos asociados.
| Acceso público al punto de conexión | Acceso privado al punto de conexión | Comportamiento |
| --- | --- | --- |
| Habilitado | Deshabilitado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/eks/latest/userguide/cluster-endpoint.html) |
| Habilitado | Habilitado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/eks/latest/userguide/cluster-endpoint.html) |
| Deshabilitado | Habilitado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/eks/latest/userguide/cluster-endpoint.html) |
**Controles de acceso de puntos de conexión**
Tenga en cuenta que cada uno de los siguientes métodos para controlar el acceso de puntos de conexión solo afecta al punto de conexión correspondiente.
*Grupo de seguridad de clúster*
El grupo de seguridad del clúster controla dos tipos de conexiones: las conexiones a la *API de kubelet* y al punto de conexión privado. Las conexiones a la API `kubelet` se utilizan en los comandos `kubectl attach`, `kubectl cp`, `kubectl exec`, `kubectl logs` y `kubectl port-forward`. El grupo de seguridad del clúster no afecta al punto de conexión público.
*Acceso público: CIDR*
Los *CIDR de acceso público* controlan el acceso al punto de conexión público mediante una lista de bloques de CIDR. Tenga en cuenta que los CIDR de acceso público no afectan al punto de conexión privado. Los CIDR de acceso público se comportan de forma diferente en los clústeres `IPv6` e `IPv4` en función de la fecha en que se crearon, como se describe a continuación:
**Bloques de CIDR en el punto de conexión público (clúster `IPv6`)**
Puede agregar bloques de CIDR `IPv6` y `IPv4` al punto de conexión público de un clúster `IPv6`, ya que el punto de conexión público es de doble pila. Esto solo se aplica a los clústeres nuevos con `ipFamily` configurado como `IPv6` que creó en octubre de 2024 o después. Puede identificar estos clústeres por el nuevo nombre de dominio del punto de conexión `api.aws`.
**Bloques de CIDR en el punto de conexión público (clúster `IPv4`)**
Puede agregar bloques de CIDR `IPv4` al punto de conexión público de un clúster `IPv4`. No puede agregar bloques de CIDR `IPv6` al punto de conexión público de un clúster `IPv4`. Si lo intenta, EKS devuelve el siguiente mensaje de error: `The following CIDRs are invalid in publicAccessCidrs`
**Bloques de CIDR en el punto de conexión público (clúster `IPv6` creado antes de octubre de 2024)**
Puede agregar bloques de CIDR `IPv4` al punto de conexión público de los clústeres `IPv6` antiguos que creó antes de octubre de 2024. Puede identificar estos clústeres por el punto de conexión `eks.amazonaws.com`. No puede agregar bloques de CIDR `IPv6` al punto de conexión público de los clústeres `IPv6` antiguos que creó antes de octubre de 2024. Si lo intenta, EKS devuelve el siguiente mensaje de error: `The following CIDRs are invalid in publicAccessCidrs`
## Acceso a un servidor de API solo privado
Si ha deshabilitado el acceso público al punto de conexión del servidor de API de Kubernetes del clúster, solo puede obtener acceso al servidor de API desde dentro de la VPC o desde una [red conectada](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html). Hay varias formas de obtener acceso al punto de conexión del servidor de API de Kubernetes:
**Red conectada**
Conecte su red a la VPC con una [puerta de enlace de tránsito de AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) u otra opción de [conectividad](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html) y, a continuación, utilice un equipo en la red conectada. Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde la red conectada.
**Host bastión de Amazon EC2**
Puede lanzar una instancia de Amazon EC2 en una subred pública de la VPC del clúster y, a continuación, iniciar sesión mediante SSH en esa instancia para ejecutar comandos de `kubectl`. Para obtener más información, consulte [Hosts bastión de Linux en AWS](https://aws.amazon.com/quickstart/architecture/linux-bastion/). Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde su host bastión. Para obtener más información, consulte [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md).
Cuando configure `kubectl` para el host bastión, asegúrese de utilizar las credenciales de AWS que ya están asignadas a su configuración de RBAC del clúster o agregue la [entidad principal de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que utilizará el bastión a la configuración de RBAC antes de eliminar el acceso público al punto de conexión. Para obtener más información, consulte [Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes](grant-k8s-access.md) y [Acceso denegado o no autorizado (`kubectl`)](troubleshooting.md#unauthorized).
**IDE de AWS Cloud9**
AWS Cloud9 es un entorno de desarrollo integrado (IDE) basado en la nube que permite escribir, ejecutar y depurar su código con solo un navegador. Puede crear un IDE de AWS Cloud9 en la VPC de su clúster y utilizar el IDE para comunicarse con el clúster. Para obtener más información, consulte [Creación de un entorno en AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html). Debe asegurarse de que el grupo de seguridad del plano de control de Amazon EKS tiene reglas para permitir el tráfico de entrada en el puerto 443 desde el grupo de seguridad de IDE. Para obtener más información, consulte [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md).
Cuando configure `kubectl` para el IDE de AWS Cloud9, asegúrese de utilizar las credenciales de AWS que ya están asignadas a su configuración de RBAC del clúster o agregue la entidad principal de IAM que utilizará el IDE a la configuración de RBAC antes de eliminar el acceso público al punto de conexión. Para obtener más información, consulte [Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes](grant-k8s-access.md) y [Acceso denegado o no autorizado (`kubectl`)](troubleshooting.md#unauthorized).
📝 [Edite esta página en GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code)