**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Titik akhir server API kluster
Topik ini membantu Anda mengaktifkan akses pribadi untuk titik akhir server API Kubernetes klaster Amazon EKS Anda dan membatasi, atau sepenuhnya menonaktifkan, akses publik dari internet.
Ketika Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda (alat pengelolaan Kubernetes seperti `kubectl`). Secara default, endpoint server API ini bersifat publik ke internet, dan akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) and Access Management (IAM) dan native [Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Role Based Access Control (RBAC). Endpoint ini dikenal sebagai *cluster public endpoint*. Juga ada *titik akhir pribadi cluster*. Untuk informasi selengkapnya tentang titik akhir pribadi cluster, lihat bagian [Titik akhir pribadi cluster](#cluster-endpoint-private) berikut.
## `IPv6`format titik akhir cluster
EKS membuat titik akhir dual-stack unik dalam format berikut untuk `IPv6` cluster baru yang dibuat setelah Oktober 2024. Cluster adalah *IPv6 cluster* yang Anda pilih `IPv6` dalam pengaturan IP family (`ipFamily`) cluster.
**Example**
public/private Titik akhir kluster EKS: `eks-cluster.region.api.aws`
public/private Titik akhir kluster EKS: `eks-cluster.region.api.aws`
public/private Titik akhir kluster EKS: `eks-cluster---region---api.amazonwebservices.com.rproxy.goskope.com.cn`
**catatan**
Titik akhir cluster dual-stack diperkenalkan pada Oktober 2024. Untuk informasi selengkapnya tentang `IPv6` cluster, lihat[Pelajari tentang IPv6 alamat ke klaster, Pod, dan layanan](cni-ipv6.md). Cluster yang dibuat sebelum Oktober 2024, gunakan format titik akhir berikut sebagai gantinya.
## `IPv4`format titik akhir cluster
EKS membuat titik akhir unik dalam format berikut untuk setiap cluster yang memilih `IPv4` dalam pengaturan keluarga IP (IPFamily) cluster:
**Example**
Titik public/private akhir kluster EKS `eks-cluster.region.eks.amazonaws.com`
Titik public/private akhir kluster EKS `eks-cluster.region.eks.amazonaws.com`
Titik public/private akhir kluster EKS `eks-cluster---region.amazonwebservices.com.rproxy.goskope.com.cn`
**catatan**
Sebelum Oktober 2024, `IPv6` cluster menggunakan format titik akhir ini juga. Untuk cluster tersebut, titik akhir publik dan titik akhir pribadi hanya memiliki `IPv4` alamat penyelesaian dari titik akhir ini.
## Titik akhir pribadi cluster
Anda dapat mengaktifkan akses privat ke server API Kubernetes sehingga semua komunikasi antara simpul Anda dan server API tetap berada di dalam VPC Anda. Anda dapat membatasi alamat IP yang dapat mengakses server API Anda dari internet, atau menonaktifkan sepenuhnya akses internet ke server API.
**catatan**
Karena titik akhir ini untuk server API Kubernetes dan bukan AWS PrivateLink titik akhir tradisional untuk berkomunikasi dengan AWS API, titik akhir ini tidak muncul sebagai titik akhir di konsol VPC Amazon.
Saat Anda mengaktifkan akses pribadi titik akhir untuk klaster Anda, Amazon EKS membuat zona host pribadi Route 53 atas nama Anda dan mengaitkannya dengan VPC klaster Anda. Zona host pribadi ini dikelola oleh Amazon EKS, dan tidak muncul di sumber daya Route 53 akun Anda. Agar zona privat yang di-hosting dapat merutekan lalu lintas ke server API Anda dengan benar, VPC Anda harus memiliki `enableDnsHostnames` dan `enableDnsSupport` yang diatur ke `true`, dan opsi DHCP yang diatur untuk VPC Anda harus menyertakan `AmazonProvidedDNS` dalam daftar server nama domainnya. Untuk informasi selengkapnya, lihat [Memperbarui DNS dukungan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dalam *Panduan Pengguna Amazon VPC*.
Anda dapat menentukan persyaratan akses titik akhir server API ketika membuat klaster baru, dan dapat memperbarui akses tersebut untuk klaster kapanpun.
## Memodifikasi akses titik akhir klaster
Gunakan prosedur di bagian ini untuk memodifikasi akses titik akhir untuk klaster yang sudah ada. Tabel berikut menunjukkan kombinasi akses titik akhir server API yang didukung dan perilaku terkaitnya.
| Akses publik titik akhir | Akses privat titik akhir | Perilaku |
| --- | --- | --- |
| Diaktifkan | Dinonaktifkan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/eks/latest/userguide/cluster-endpoint.html) |
| Diaktifkan | Diaktifkan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/eks/latest/userguide/cluster-endpoint.html) |
| Nonaktif | Diaktifkan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/eks/latest/userguide/cluster-endpoint.html) |
**Kontrol akses titik akhir**
Perhatikan bahwa setiap metode berikut untuk mengontrol akses titik akhir hanya memengaruhi titik akhir masing-masing.
*Grup keamanan cluster*
Grup keamanan klaster mengontrol dua jenis koneksi: koneksi ke *kubelet API dan titik* akhir pribadi. Koneksi ke `kubelet` API digunakan dalam`kubectl attach`,,`kubectl cp`, `kubectl exec``kubectl logs`, dan `kubectl port-forward` perintah. Grup keamanan klaster tidak memengaruhi titik akhir publik.
*Akses publik CIDRs*
*Akses CIDRs kontrol akses publik* ke titik akhir publik dengan daftar blok CIDR. Perhatikan bahwa akses publik CIDRs tidak memengaruhi titik akhir pribadi. Akses publik CIDRs berperilaku berbeda pada `IPv6` cluster dan `IPv4` cluster tergantung pada tanggal pembuatannya, yang dijelaskan sebagai berikut:
**Blok CIDR di titik akhir publik (cluster) `IPv6`**
Anda dapat menambahkan `IPv6` dan `IPv4` CIDR memblokir ke titik akhir publik sebuah `IPv6` cluster, karena titik akhir publik adalah dual-stack. Ini hanya berlaku untuk cluster baru dengan `ipFamily` set `IPv6` yang Anda buat pada Oktober 2024 atau lebih baru. Anda dapat mengidentifikasi klaster ini dengan nama domain endpoint baru. `api.aws`
**Blok CIDR di titik akhir publik (cluster) `IPv4`**
Anda dapat menambahkan blok `IPv4` CIDR ke titik akhir publik sebuah `IPv4` cluster. Anda tidak dapat menambahkan blok `IPv6` CIDR ke titik akhir publik klaster. `IPv4` Jika Anda mencoba, EKS mengembalikan pesan galat berikut: `The following CIDRs are invalid in publicAccessCidrs`
**Blok CIDR di titik akhir publik (`IPv6`cluster dibuat sebelum Oktober 2024)**
Anda dapat menambahkan blok `IPv4` CIDR ke titik akhir publik dari `IPv6` cluster lama yang Anda buat sebelum Oktober 2024. Anda dapat mengidentifikasi cluster ini dengan titik `eks.amazonaws.com` akhir. Anda tidak dapat menambahkan blok `IPv6` CIDR ke titik akhir publik dari `IPv6` cluster lama yang Anda buat sebelum Oktober 2024. Jika Anda mencoba, EKS mengembalikan pesan galat berikut: `The following CIDRs are invalid in publicAccessCidrs`
## Mengakses server API privat saja
[Jika Anda telah menonaktifkan akses publik untuk titik akhir server Kubernetes API klaster Anda, Anda hanya dapat mengakses server API dari dalam VPC atau jaringan yang terhubung.](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) Berikut adalah beberapa alternatif cara untuk mengakses titik akhir server Kubernetes API:
**Jaringan yang terhubung**
Hubungkan jaringan Anda ke VPC dengan [gateway AWS transit](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) atau opsi [konektivitas](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html) lainnya dan kemudian gunakan komputer di jaringan yang terhubung. Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari jaringan terhubung milik Anda.
**Tuan rumah EC2 benteng Amazon**
Anda dapat meluncurkan EC2 instans Amazon ke subnet publik di VPC klaster Anda dan kemudian masuk melalui SSH ke instance tersebut untuk menjalankan perintah. `kubectl` Untuk informasi selengkapnya, lihat [Linux bastion host di AWS](https://aws.amazon.com/quickstart/architecture/linux-bastion/). Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari host bastion milik Anda. Untuk informasi selengkapnya, lihat [Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md).
Saat Anda mengonfigurasi `kubectl` untuk host bastion Anda, pastikan untuk menggunakan AWS kredenal yang sudah dipetakan ke konfigurasi RBAC cluster Anda, atau tambahkan [prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang akan digunakan bastion Anda ke konfigurasi RBAC sebelum Anda menghapus akses publik titik akhir. Untuk informasi selengkapnya, lihat [Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](grant-k8s-access.md) dan [Tidak sah atau akses ditolak (`kubectl`)](troubleshooting.md#unauthorized).
** AWS Cloud9 IDE**
AWS Cloud9 adalah lingkungan pengembangan terintegrasi berbasis cloud (IDE) yang memungkinkan Anda menulis, menjalankan, dan men-debug kode Anda hanya dengan browser. Anda dapat membuat AWS Cloud9 IDE di VPC klaster Anda dan menggunakan IDE untuk berkomunikasi dengan cluster Anda. Untuk informasi selengkapnya, lihat [Membuat lingkungan di AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html). Anda harus memastikan bahwa grup keamanan pesawat kendali Amazon EKS Anda berisi aturan yang mengizinkan lalu lintas masuk di port 443 dari grup keamanan IDE milik Anda. Untuk informasi selengkapnya, lihat [Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md).
Saat Anda mengonfigurasi `kubectl` untuk AWS Cloud9 IDE, pastikan untuk AWS menggunakan kredensional yang sudah dipetakan ke konfigurasi RBAC klaster Anda, atau tambahkan prinsip IAM yang akan digunakan IDE Anda ke konfigurasi RBAC sebelum Anda menghapus akses publik titik akhir. Untuk informasi selengkapnya, lihat [Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](grant-k8s-access.md) dan [Tidak sah atau akses ditolak (`kubectl`)](troubleshooting.md#unauthorized).
📝 [Edit halaman ini di GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code)