Acceso a Amazon EKS mediante AWS PrivateLink - Amazon EKS
ConsideracionesCreación de un punto de conexión de interfaz

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Acceso a Amazon EKS mediante AWS PrivateLink

Puede usar un AWS PrivateLink para crear una conexión privada entre la VPC y Amazon Elastic Kubernetes Service. Puede acceder a Amazon EKS como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon EKS.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Amazon EKS.

Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.

Consideraciones para Amazon EKS

  • Antes de configurar un punto de conexión para Amazon EKS, consulte Considerations (Consideraciones) en la Guía de AWS PrivateLink.

  • Amazon EKS admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz, pero no a las API de Kubernetes. El servidor de la API de Kubernetes ahora admite un punto de conexión privado. El punto de conexión del servidor de la API de Kubernetes crea un punto de conexión para el servidor de la API de Kubernetes que se utiliza con el fin de comunicarse con un clúster (mediante herramientas de administración de Kubernetes como, por ejemplo, kubectl). Puede habilitar el acceso privado al servidor de la API de Kubernetes para que toda la comunicación entre los nodos y el servidor de la API permanezca dentro de su VPC. El AWS PrivateLink para la API de Amazon EKS lo ayuda a llamar a las API de Amazon EKS desde su VPC sin exponer el tráfico a la Internet pública.

  • No puede configurar Amazon EKS para que solo se pueda acceder a través de un punto de conexión de interfaz.

  • Los precios estándar de AWS PrivateLink se aplican a los punto de conexión de interfaz para Amazon EKS. Se le facturará por cada hora de aprovisionamiento de un punto de conexión de interfaz en cada zona de disponibilidad y los datos procesados a través del punto de conexión de interfaz. Para más información, consulte Precios de AWS PrivateLink.

  • Las políticas de punto de conexión de VPC no son compatibles con Amazon EKS. De forma predeterminada, el acceso completo a Amazon EKS se permite a través del punto de conexión de interfaz. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de los puntos de conexión para controlar el tráfico a Amazon EKS a través del punto de conexión de interfaz.

  • Puede utilizar los registros de flujo de la VPC para capturar información sobre el tráfico IP entrante y saliente de las interfaces, incluidos los puntos de conexión de interfaz Los datos de los registros de flujo se pueden publicar en Amazon CloudWatch o Amazon S3. Para obtener más información, consulte Registro del tráfico IP con registros de flujo de VPC en la Guía del usuario de Amazon VPC.

  • Puede acceder a las API de Amazon EKS desde un centro de datos en las instalaciones si lo conecta a una VPC que tenga un punto de conexión de interfaz. Puede usar AWS Direct Connect o AWS Site-to-Site VPN para conectar sus sitios en las instalaciones a una VPC.

  • Puede conectar una VPC a otra con puntos de conexión de interfaz mediante AWS Transit Gateway o interconexión de VPC. El emparejamiento de VPC es una conexión de red entre dos VPC. Puede establecer una conexión de emparejamiento de VPC entre dos VPC propias o con una VPC de otra cuenta. Las VPC pueden estar en diferentes Regiones de AWS. El tráfico entre las VPC interconectadas permanece en la red de AWS. El tráfico no atraviesa la Internet pública. Una puerta de enlace de tránsito es un centro de tránsito de la red que puede utilizar para interconectar sus VPC. El tráfico entre una VPC y una puerta de enlace de tránsito permanece en la red privada global de AWS. El tráfico no se expone a la Internet pública.

  • Antes de agosto de 2024, a los puntos de conexión de la interfaz de VPC para Amazon EKS solo se podía acceder mediante IPv4 con eks.region.amazonaws.com. Los nuevos puntos de conexión de la interfaz de VPC que se crean después de agosto de 2024 utilizan una pila doble de direcciones IP IPv4 y IPv6, así como ambos nombres de DNS: eks.region.amazonaws.com y eks.region.api.aws.

  • La compatibilidad de AWS PrivateLink con la API de EKS está disponible en la Región de AWS Asia-Pacífico (Malasia). La compatibilidad de AWS PrivateLink con eks-auth para Pod Identity de EKS está disponible en la Región de AWS Asia-Pacífico (Malasia).

Crear de un punto de conexión de interfaz para Amazon EKS

Puede crear un punto de conexión de interfaz para Amazon EKS mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Create a VPC endpoint (Creación de un punto de conexión de VPC) en la Guía de AWS PrivateLink.

Cree un punto de conexión de interfaz para Amazon EKS con los siguientes nombres de servicios:

  • com.amazonaws.region-code.eks
  • com.amazonaws.region-code.eks-auth

La característica de DNS privada se habilita de forma predeterminada al crear un punto de conexión de interfaz para Amazon EKS y otros Servicios de AWS. Para utilizar la característica de DNS privado, debe asegurarse de establecer en true los siguientes atributos de la VPC: enableDnsHostnames y enableDnsSupport. Para obtener más información, consulte Ver y actualizar los atributos de DNS para una VPC en la Guía del usuario de Amazon VPC. Con la característica de DNS privada habilitada para el punto de conexión de interfaz:

  • Puede realizar cualquier solicitud de API a Amazon EKS con su nombre de DNS regional predeterminado. A partir de agosto de 2024, cualquier nuevo punto de conexión de interfaz de la VPC para la API de Amazon EKS tendrá dos nombres de DNS regionales predeterminados y podrá elegir la dualstack para el tipo de dirección IP. El primer nombre de DNS es eks.region.api.aws, que es de doble pila. Se resuelve en direcciones IPv4 y IPv6. Antes de agosto de 2024, Amazon EKS solo usaba eks.region.amazonaws.com, que se resolvía solo en direcciones IPv4. Si desea utilizar direcciones IP IPv6 y de doble pila con un punto de conexión de interfaz de VPC existente, puede actualizar el punto de conexón para que utilice el tipo de dirección IP dualstack, pero solo tendrá el nombre de DNS eks.region.amazonaws.com. En esta configuración, el punto de conexión existente se actualiza para apuntar ese nombre a las direcciones IP IPv4 y IPv6. Para obtener una lista de API, consulte Acciones en la Referencia de la API de Amazon EKS.

  • No necesita realizar ningún cambio en las aplicaciones que llamen a las API de EKS.

    Sin embargo, para usar los puntos de conexión de doble pila con la AWS CLI, consulte la configuración de los puntos de conexión de doble pila y FIPS en la Guía de referencia de SDK y herramientas de AWS.

  • Cualquier llamada que se realice al punto de conexión del servicio predeterminado de Amazon EKS se enruta automáticamente a través del punto de conexión de interfaz a través de la red privada de AWS.