**Contribuisci a migliorare questa pagina**
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Endpoint del server API del cluster
Questo argomento consente di abilitare l’accesso privato per l’endpoint del server API Kubernetes del cluster Amazon EKS e limitare, o disabilitare completamente, l’accesso pubblico in modo che non sia accessibile da Internet.
Quando si crea un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito utilizzato per comunicare con il cluster (usando strumenti di gestione Kubernetes, ad esempio `kubectl`). [Per impostazione predefinita, questo endpoint del server API è pubblico su Internet e l'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e RBAC (Role Based Access Control) nativo di Kubernetes.](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Questo endpoint è noto come *l’endpoint pubblico del cluster*. Esiste anche un *endpoint privato del cluster*. Per maggiori informazioni sull’endpoint privato del cluster, consulta la sezione [Endpoint privato del cluster](#cluster-endpoint-private) seguente.
## formato dell’endpoint del cluster `IPv6`
EKS crea un endpoint dual-stack unico nel seguente formato per i nuovi cluster `IPv6` creati dopo ottobre 2024. Un *IPv6 cluster* è un cluster selezionato `IPv6` nell'impostazione della famiglia IP () del cluster. `ipFamily`
**Example**
public/private Endpoint del cluster EKS: `eks-cluster.region.api.aws`
public/private Endpoint del cluster EKS: `eks-cluster.region.api.aws`
public/private Endpoint del cluster EKS: `eks-cluster---region---api.amazonwebservices.com.rproxy.goskope.com.cn`
**Nota**
L’endpoint del cluster dual-stack è stato introdotto nell’ottobre 2024. Per ulteriori informazioni sui cluster `IPv6`, consulta [Scopri IPv6 gli indirizzi di cluster, pod e servizi](cni-ipv6.md). I cluster creati prima di ottobre 2024 usano invece il seguente formato di endpoint.
## formato dell’endpoint del cluster `IPv4`
EKS crea un endpoint unico nel seguente formato per ogni cluster che seleziona `IPv4` nell’impostazione della famiglia IP (ipFamily) del cluster:
**Example**
Endpoint del cluster public/private EKS `eks-cluster.region.eks.amazonaws.com`
Endpoint del cluster public/private EKS `eks-cluster.region.eks.amazonaws.com`
Endpoint del cluster public/private EKS `eks-cluster---region.amazonwebservices.com.rproxy.goskope.com.cn`
**Nota**
Prima di ottobre 2024, anche i cluster `IPv6` usavano questo formato di endpoint. Per questi cluster, sia l’endpoint pubblico che l’endpoint privato dispongono solo di indirizzi `IPv4` risolti da questo endpoint.
## Endpoint privato del cluster
Puoi abilitare l’accesso privato al server API Kubernetes in modo che tutte le comunicazioni tra i nodi di lavoro e il server API rimangano all’interno del VPC. È possibile limitare gli indirizzi IP che possono accedere al server API da Internet o disabilitare completamente l’accesso a Internet al server API.
**Nota**
Poiché questo endpoint è destinato al server API Kubernetes e non a un AWS PrivateLink endpoint tradizionale per la comunicazione con un' AWS API, non viene visualizzato come endpoint nella console Amazon VPC.
Quando si abilita l’accesso privato all’endpoint per il cluster, Amazon EKS crea una zona ospitata privata Route 53 per conto dell’utente e la associa al VPC del cluster. Questa zona ospitata privata è gestita da Amazon EKS e non viene visualizzata nelle risorse Route 53 dell’account. Affinché la zona ospitata privata instradi correttamente il traffico verso il tuo server API, il VPC deve avere `enableDnsHostnames` e `enableDnsSupport` impostati su `true` e le opzioni DHCP impostate per il VPC devono includere `AmazonProvidedDNS` nell'elenco dei server dei nomi di dominio. Per ulteriori informazioni, consultare [Visualizzazione e aggiornamento del supporto DNS per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) nella *Guida per l'utente di Amazon VPC*.
È possibile definire i requisiti di accesso all'endpoint del server API quando si crea un nuovo cluster e aggiornare l'accesso endpoint del server API per un cluster in qualsiasi momento.
## Modifica dell'accesso all'endpoint del cluster
Utilizza le procedure in questa sezione per modificare l'accesso all'endpoint per un cluster esistente. La tabella seguente mostra le combinazioni di accesso all'endpoint del server API supportate e il comportamento associato.
| Accesso pubblico all'endpoint | Accesso privato all'endpoint | Comportamento |
| --- | --- | --- |
| Abilitato | Disabilitato | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eks/latest/userguide/cluster-endpoint.html) |
| Abilitato | Abilitato | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eks/latest/userguide/cluster-endpoint.html) |
| Disabilitato | Abilitato | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eks/latest/userguide/cluster-endpoint.html) |
**Controlli di accesso agli endpoint**
Tieni presente che ciascuno dei seguenti metodi per controllare l'accesso agli endpoint influisce solo sul rispettivo endpoint.
*Gruppo di sicurezza del cluster*
Il gruppo di sicurezza del cluster controlla due tipi di connessioni: connessioni all'*API Kubelet* e all'endpoint privato. Le connessioni all'`kubelet`API vengono utilizzate nei comandi`kubectl attach`,, `kubectl cp` `kubectl exec``kubectl logs`, e. `kubectl port-forward` Il gruppo di sicurezza del cluster non influisce sull'endpoint pubblico.
*Accesso pubblico CIDRs*
L'*accesso pubblico CIDRs* controlla l'accesso all'endpoint pubblico tramite un elenco di blocchi CIDR. Tieni presente che l'accesso pubblico CIDRs non influisce sull'endpoint privato. L'accesso pubblico CIDRs si comporta in modo diverso nei `IPv6` cluster e nei `IPv4` cluster a seconda della data di creazione, descritta di seguito:
**Blocchi CIDR nell’endpoint pubblico (cluster `IPv6`)**
Puoi aggiungere blocchi `IPv6` e `IPv4` CIDR all’endpoint pubblico di un cluster `IPv6`, in quanto l’endpoint pubblico è dual-stack. Questo vale solo per i nuovi cluster con `ipFamily` impostato su `IPv6` creati a ottobre 2024 o successivamente. Puoi identificare questi cluster in base al nuovo nome di dominio dell’endpoint `api.aws`.
**Blocchi CIDR nell’endpoint pubblico (cluster `IPv4`)**
Puoi aggiungere blocchi CIDR `IPv4` all’endpoint pubblico di un cluster `IPv4`. Non puoi aggiungere blocchi CIDR `IPv6` all’endpoint pubblico di un cluster `IPv4`. Se provi a farlo, EKS restituirà il seguente messaggio di errore: `The following CIDRs are invalid in publicAccessCidrs`
**Blocchi CIDR nell’endpoint pubblico (cluster `IPv6` creato prima di ottobre 2024)**
Puoi aggiungere blocchi CIDR `IPv4` all’endpoint pubblico dei cluster `IPv6` precedenti creati prima di ottobre 2024. Puoi identificare questi cluster in base all’endpoint `eks.amazonaws.com`. Non puoi aggiungere blocchi CIDR `IPv6` all’endpoint pubblico dei cluster `IPv6` precedenti creati prima di ottobre 2024. Se provi a farlo, EKS restituirà il seguente messaggio di errore: `The following CIDRs are invalid in publicAccessCidrs`
## Accesso a un server API solo privato
Se è stato disabilitato l’accesso pubblico all’endpoint del server API Kubernetes del cluster, è possibile accedere al server di API solo dal VPC o da una [rete connessa](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html). Di seguito sono elencati alcuni possibili modi per accedere all'endpoint del server API Kubernetes:
**Rete connessa**
È possibile connettere la rete al VPC con un [gateway di transito AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) o un'altra opzione di [connettività](https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html) e quindi utilizzare un computer nella rete connessa. Il gruppo di sicurezza del piano di controllo di Amazon EKS deve contenere le regole per consentire il traffico in ingresso sulla porta 443 dalla rete connessa.
**Host Amazon EC2 Bastion**
Puoi avviare un' EC2 istanza Amazon in una sottorete pubblica nel VPC del cluster e quindi accedere tramite SSH a quell'istanza per eseguire i comandi. `kubectl` Per ulteriori informazioni, consultare [Bastion host Linux in AWS](https://aws.amazon.com/quickstart/architecture/linux-bastion/). Il gruppo di sicurezza del piano di controllo di Amazon EKS deve contenere le regole per consentire il traffico in ingresso sulla porta 443 dal bastion host. Per ulteriori informazioni, consulta [Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster](sec-group-reqs.md).
Quando esegui la configurazione `kubectl` per il tuo host bastion, assicurati di utilizzare AWS le credenziali già mappate alla configurazione RBAC del cluster oppure aggiungi il [principale IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) che verrà utilizzato dal tuo bastion alla configurazione RBAC prima di rimuovere l'accesso pubblico agli endpoint. Per ulteriori informazioni, consultare [Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs](grant-k8s-access.md) e [Accesso negato o non autorizzato (`kubectl`)](troubleshooting.md#unauthorized).
** AWS Cloud9 IDE**
AWS Cloud9 è un ambiente di sviluppo integrato (IDE) basato su cloud che consente di scrivere, eseguire ed eseguire il debug del codice con un semplice browser. Puoi creare un IDE AWS Cloud9 nel VPC del cluster e utilizzare l'IDE per comunicare con il cluster. Per ulteriori informazioni, consulta [Creazione di un ambiente in AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment.html). È necessario assicurarsi che il gruppo di sicurezza del piano di controllo Amazon EKS contenga regole per consentire il traffico in ingresso sulla porta 443 dal gruppo di sicurezza IDE. Per ulteriori informazioni, consulta [Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster](sec-group-reqs.md).
Quando esegui la configurazione `kubectl` per il tuo AWS IDE Cloud9, assicurati di AWS utilizzare credenziali già mappate alla configurazione RBAC del cluster o aggiungi il principale IAM che l'IDE utilizzerà alla configurazione RBAC prima di rimuovere l'accesso pubblico agli endpoint. Per ulteriori informazioni, consultare [Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs](grant-k8s-access.md) e [Accesso negato o non autorizzato (`kubectl`)](troubleshooting.md#unauthorized).
[📝 Modifica questa pagina su GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23cluster-endpoint%5D&type=code)
# Configurare l’accesso di rete all’endpoint del server API del cluster
È possibile modificare l'accesso agli endpoint del server API del cluster utilizzando Console di gestione AWS o la AWS CLI nelle sezioni seguenti.
## Configura l'accesso agli endpoint - console AWS
1. Aprire la [Console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Scegliere il nome del cluster per visualizzare le informazioni sul cluster.
1. Scegli la scheda **Networking** e scegli **Gestisci accesso all’endpoint**.
1. Per **Accesso privato**, scegli se attivare o disattivare l’acceso privato per l’endpoint del server API Kubernetes del cluster. Se abiliti l’accesso privato, le richieste API Kubernetes che provengono dal VPC del cluster utilizzano l’endpoint VPC privato. Per disabilitare l’accesso pubblico è necessario abilitare l’accesso privato.
1. Per **Accesso pubblico**, scegli se attivare o disattivare l’acceso pubblico per l’endpoint del server API Kubernetes del cluster. Se disabiliti l’accesso pubblico, il server API Kubernetes del cluster può ricevere solo richieste dal VPC del cluster.
1. (Facoltativo) Se abilitati l’**Accesso pubblico**, puoi specificare quali indirizzi Internet possono comunicare con l’endpoint pubblico. Seleziona **Impostazioni avanzate**. Immettere un blocco CIDR, ad esempio *203.0.113.5/32*. L’intervallo non può includere [indirizzi riservati](https://en.wikipedia.org/wiki/Reserved_IP_addresses). Puoi immettere intervalli aggiuntivi selezionando **Aggiungi origine**. Puoi specificare un numero massimo di intervalli CIDR. Per ulteriori informazioni, consulta [Visualizzazione e gestione di quote di servizio di Amazon EKS e Fargate](service-quotas.md). Se non si specificano gli intervalli, l’endpoint del server API pubblico riceve richieste da tutti gli indirizzi IP sia per `IPv4` (`0.0.0.0/0`) che in aggiunta `IPv6` (`::/0`) per il cluster `IPv6` a doppio stack. Se limitati l’accesso all’endpoint pubblico utilizzando gli intervalli CIDR, ti consigliamo di abilitare anche l’accesso agli endpoint privati in modo che i nodi e Fargate Pods (se utilizzati) possano comunicare con il cluster. Senza l’endpoint privato abilitato, le origini CIDR dell’endpoint di accesso pubblico devono includere le origini di uscita dal VPC. Ad esempio, se si dispone di un nodo in una sottorete privata che comunica su Internet tramite un gateway NAT, sarà necessario aggiungere l’indirizzo IP in uscita del gateway NAT come parte di un blocco CIDR nella whitelist nell’endpoint pubblico.
1. Scegliere **Update (Aggiorna)** per terminare.
## Configurazione dell'accesso agli endpoint - AWS CLI
Completa i seguenti passaggi utilizzando la versione AWS CLI `1.27.160` o successiva. È possibile verificare la versione corrente con `aws --version`. Per installare o aggiornare la AWS CLI, vedi [Installazione della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html).
1. Aggiorna l'accesso agli endpoint del server API del cluster con il seguente comando AWS CLI. Sostituire il nome del cluster e i valori di accesso dell’endpoint desiderati. Se si imposta `endpointPublicAccess=true`, è possibile (facoltativamente) immettere un singolo blocco CIDR o un elenco separato da virgole di blocchi CIDR per `publicAccessCidrs`. I blocchi non possono includere [indirizzi riservati](https://en.wikipedia.org/wiki/Reserved_IP_addresses). Se si specificano blocchi CIDR, l’endpoint del server API pubblico riceverà solo le richieste dai blocchi elencati. Puoi specificare un numero massimo di intervalli CIDR. Per ulteriori informazioni, consulta [Visualizzazione e gestione di quote di servizio di Amazon EKS e Fargate](service-quotas.md). Se limiti l’accesso all’endpoint pubblico utilizzando i blocchi CIDR, è consigliabile abilitare anche l’accesso agli endpoint privati in modo che i nodi e i Pods Fargate (se utilizzati) possano comunicare con il cluster. Senza l’endpoint privato abilitato, le origini CIDR dell’endpoint di accesso pubblico devono includere le origini di uscita dal VPC. Ad esempio, se si dispone di un nodo in una sottorete privata che comunica su Internet tramite un gateway NAT, sarà necessario aggiungere l’indirizzo IP in uscita del gateway NAT come parte di un blocco CIDR nella whitelist nell’endpoint pubblico. Se non specifichi intervalli CIDR, l’endpoint del server API pubblico riceve richieste da tutti (0.0.0.0/0) gli indirizzi IP e in aggiunta `IPv6` (`::/0`) per il cluster `IPv6` a doppio stack.
**Nota**
Il comando seguente consente l’accesso privato e l’accesso pubblico da un singolo indirizzo IP per l’endpoint del server API. Sostituire *203.0.113.5/32* con un singolo blocco CIDR o un elenco separato da virgole di blocchi CIDR a cui si desidera limitare l'accesso alla rete.
```
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true
```
Di seguito viene riportato un output di esempio:
```
{
"update": {
"id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
"status": "InProgress",
"type": "EndpointAccessUpdate",
"params": [
{
"type": "EndpointPublicAccess",
"value": "true"
},
{
"type": "EndpointPrivateAccess",
"value": "true"
},
{
"type": "publicAccessCidrs",
"value": "[\"203.0.113.5/32\"]"
}
],
"createdAt": 1576874258.137,
"errors": []
}
}
```
1. Monitorare lo stato di aggiornamento dell’accesso all’endpoint con il comando seguente, utilizzando il nome del cluster, e aggiornare l’ID restituito dal comando precedente. L’aggiornamento è completo quando lo stato è illustrato come `Successful`.
```
aws eks describe-update \
--region region-code \
--name my-cluster \
--update-id e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000
```
Di seguito viene riportato un output di esempio.
```
{
"update": {
"id": "e6f0905f-a5d4-4a2a-8c49-EXAMPLE00000",
"status": "Successful",
"type": "EndpointAccessUpdate",
"params": [
{
"type": "EndpointPublicAccess",
"value": "true"
},
{
"type": "EndpointPrivateAccess",
"value": "true"
},
{
"type": "publicAccessCidrs",
"value": "[\"203.0.113.5/32\"]"
}
],
"createdAt": 1576874258.137,
"errors": []
}
}
```
📝 [Modifica questa pagina su GitHub](https://github.com/search?q=repo%3Aawsdocs%2Famazon-eks-user-guide+%5B%23config-cluster-endpoint%5D&type=code)