このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
AWS プライベートリンク を使用して、VPC と アマゾン エラスティックKubernetesサービス 間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS 直接コネクト 接続のいずれかを使用せずに、VPC 内にあるかのように アマゾン EKS にアクセスできます。VPC のインスタンスはパブリック IP アドレスがなくても アマゾン EKS にアクセスできます。
AWS プライベートリンク が電源を供給するインターフェイスエンドポイントを作成することにより、このプライベート接続を確立します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらはアマゾン EKS 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。
詳細については「AWS プライベートリンク ガイド」の「AWS プライベートリンク を介した AWS サービスへのアクセス」を参照してください。
アマゾン EKS の考慮事項
-
アマゾン EKS のインターフェイスエンドポイントを設定する前に、「AWS プライベートリンク ガイド」の「考慮事項」を確認してください。
-
アマゾン EKS はインターフェイスエンドポイントを介してすべての API アクションの呼び出しをサポートしていますが、Kubernetes API の呼び出しはサポートしていません。Kubernetes API サーバーはすでにプライベートエンドポイントをサポートしています。Kubernetes API サーバーのプライベートエンドポイントはクラスターとの通信に使用する Kubernetes API サーバー用のプライベートエンドポイントを作成します (
kubectl
などの Kubernetes 管理ツールを使用)。Kubernetes API サーバーへのプライベートアクセスを有効にすると、ノードと API サーバー間のすべての通信が VPC 内で行われるようにできます。AWSプライベートリンク for the アマゾン EKS API はパブリックインターネットにトラフィックを公開することなく、VPC から アマゾン EKS API を呼び出すのに役立ちます。 -
アマゾン EKS をインターフェイスエンドポイントを介してのみアクセスできるように設定することはできません。
-
アマゾン EKS のインターフェイスエンドポイントには AWS プライベートリンク の標準料金が適用されます。各アベイラビリティーゾーンでインターフェイスエンドポイントがプロビジョニングされる 1 時間ごと、ならびにインターフェイスエンドポイントを介して処理されたデータに対して請求されます。詳細については「AWS プライベートリンク の料金
」を参照してください。 -
VPC エンドポイントポリシーは アマゾン EKS をサポートしていません。デフォルトで、インターフェイスエンドポイント経由で アマゾン EKS への完全なアクセスが許可されます。またはセキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイントを介して アマゾン EKS へのトラフィックを制御することもできます。
-
VPC フローログを使用して、インターフェイスエンドポイントを含めたネットワークインターフェイス間で送受信される IP トラフィックに関する情報を取得できます。フローログデータは アマゾン CloudWatch または アマゾン S3 に発行できます。詳細については「アマゾン VPC ユーザーガイド」の「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。
-
アマゾン EKS API はインターフェイスエンドポイントがある VPC に接続することで、オンプレミスのデータセンターからアクセスできます。AWS 直接コネクト または AWS Site-to-Site VPN を使用して、オンプレミスサイトを VPC に接続できます。
-
他の VPC はAWS トランジットゲートウェイまたは VPC ピア接続を使用してインターフェイスエンドポイントを備えた VPC に接続できます。VPC ピアリングは2 つの VPC 間のネットワーク接続です。VPC 間または他のアカウントで VPC を使用して VPC ピアリング接続を確立できます。VPC は 異なる AWS リージョンの間でも使用できます。ピア接続された VPC 間のトラフィックは AWS ネットワーク上に留まります。トラフィックは公共インターネットを経由しません。トランジット・ゲートウェイ はVPC 間で相互接続するために使用できるネットワークの中継ハブです。VPC と トランジット・ゲートウェイ 間のトラフィックは AWS グローバルプライベートネットワークに残ります。トラフィックは公共インターネットに公開されません
-
2024 年 8 月より前にはアマゾン EKS の VPC インターフェイスエンドポイントには
eks.
を使用してregion
.amazonaws.com.rproxy.goskope.comIPv4
経由でのみアクセスできました。2024 年 8 月以降に作成された新しい VPC インターフェイスエンドポイントはIPv4
とIPv6
IP アドレスのデュアルスタックと、eks.
とregion
.amazonaws.com.rproxy.goskope.comeks.
の両方の DNS 名を使用します。region
.api.aws -
AWS EKS API の プライベートリンク サポートはアジアパシフィック (マレーシア) ()、
ap-southeast-5
アジアパシフィック (タイ) ()、ap-southeast-7
メキシコ (中部) (mx-central-1
) の各AWSリージョンでは利用できません。 AWSEKS Pod Identity のeks-auth
に対する PrivateLink サポートは、アジア太平洋 (マレーシア) (ap-southeast-5
) リージョンで利用できます。
アマゾン EKS 用のインターフェイスエンドポイントを作成します
アマゾン VPC コンソールまたは AWS コマンドラインインターフェイス (AWS CLI) を使用して、アマゾン EKS のインターフェイスエンドポイントを作成できます。詳細については『AWS プライベートリンク ガイド』の「VPC エンドポイントを作成」を参照してください。
次のサービス名を使用して アマゾン EKS のインターフェイスエンドポイントを作成します:
-
EKS API
com.amazonaws.region-code.eks
-
EKS Auth API (EKS Pod Identity)
com.amazonaws.region-code.eks-auth
プライベート DNS 機能はアマゾン EKS や他の AWS サービスのインターフェイスエンドポイントを作成するときにデフォルトで有効になります。プライベート DNS 機能を使用するには次の VPC 属性が true
: enableDnsHostnames
および enableDnsSupport
に設定されているようにする必要があります。詳細については「アマゾン VPC ユーザーガイド」の「VPC の DNS 属性の表示と更新」を参照してください。インターフェイスエンドポイントでプライベート DNS 機能を有効にすると、次のことができます。
-
デフォルトのリージョン DNS 名を使用して アマゾン EKS にあらゆる API リクエストを行うことができます。2024 年 8 月以降、アマゾン EKS API の新しい VPC インターフェイスエンドポイントには 2 つのデフォルトのリージョンレベルの DNS 名があり、IP アドレスタイプに
dualstack
を選択できます。最初の DNS 名はeks.
であり、これはデュアルスタックです。region
.api.awsIPv4
アドレスとIPv6
アドレスの両方に解決されます。2024 年 8 月より前にはアマゾン EKS はIPv4
アドレスのみに解決されるeks.
のみを使用していました。既存の VPC インターフェイスエンドポイントでregion
.amazonaws.com.rproxy.goskope.comIPv6
とデュアルスタック IP アドレスを使用する場合はIP アドレスのdualstack
タイプを使用するようにエンドポイントを更新できますが、eks.
DNS 名のみが含まれます。この設定では既存のエンドポイントはその名前がregion
.amazonaws.com.rproxy.goskope.comIPv4
とIPv6
の両方の IP アドレスをポイントするように更新されます。API のリストについては「アマゾン EKS API リファレンス」の「アクション」を参照してください。 -
EKS API を呼び出すアプリケーションに変更を加える必要はありません。
ただし、AWS CLI でデュアルスタックエンドポイントを使用するには「AWS SDK およびツールリファレンスガイド」の「Dual-stack and FIPS endpoints」の設定を参照してください。
-
アマゾン EKS のデフォルトサービスエンドポイントへの呼び出しはプライベート AWS ネットワーク経由でインターフェイスエンドポイントを介して自動的にルーティングされます。