インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon Elastic Kubernetes Service にアクセス - Amazon EKS
考慮事項インターフェイスエンドポイントの作成

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon Elastic Kubernetes Service にアクセス

AWS PrivateLink を使用して、VPC と Amazon Elastic Kubernetes Service 間にプライベート接続ができます。インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれかを使用せずに、VPC 内にあるかのように Amazon EKS にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon EKS にアクセスできます。

AWS PrivateLink が電源を供給するインターフェイスエンドポイントを作成することにより、このプライベート接続を確立します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Amazon EKS 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、『AWS PrivateLink ガイド』の「AWS のサービス でアクセスする」を参照してください。

Amazon EKS の考慮事項

  • Amazon EKS のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink ガイド」の「考慮事項」を確認してください。

  • Amazon EKS は、インターフェイスエンドポイントを介してすべての API アクションの呼び出しをサポートしていますが、Kubernetes API の呼び出しはサポートしていません。Kubernetes API サーバーはすでにプライベートエンドポイントをサポートしています。Kubernetes API サーバーのプライベートエンドポイントは、クラスターとの通信に使用する Kubernetes API サーバー用のプライベートエンドポイントを作成します (kubectl などの Kubernetes 管理ツールを使用)。Kubernetes API サーバーへのプライベートアクセスを有効にすると、ノードと API サーバー間のすべての通信が VPC 内で行われるようにできます。Amazon EKS API 用 AWS PrivateLink を使用すると、トラフィックをパブリックインターネットに公開せずに VPC から Amazon EKS API を呼び出すことができます。

  • Amazon EKS をインターフェイスエンドポイントを介してのみアクセスできるように設定することはできません。

  • Amazon EKS のインターフェイスエンドポイントには AWS PrivateLink の標準料金が適用されます。各アベイラビリティーゾーンでインターフェイスエンドポイントがプロビジョニングされる 1 時間ごと、ならびにインターフェイスエンドポイントを介して処理されたデータに対して請求されます。詳細については、「AWS PrivateLink 料金表」を参照してください。

  • VPC エンドポイントポリシーは Amazon EKS をサポートしていません。デフォルトで、インターフェイスエンドポイント経由で Amazon EKS への完全なアクセスが許可されます。または、セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイントを介して Amazon EKS へのトラフィックを制御することもできます。

  • VPC フローログを使用して、インターフェイスエンドポイントを含めたネットワークインターフェイス間で送受信される IP トラフィックに関する情報を取得できます。フローログデータは Amazon CloudWatch または Amazon S3 に発行できます。詳細については、「Amazon VPC ユーザーガイド」の「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。

  • Amazon EKS API は、インターフェイスエンドポイントがある VPC に接続することで、オンプレミスのデータセンターからアクセスできます。AWS Direct Connect または AWS Site-to-Site VPN を使用してオンプレミスサイトを VPC に接続できます。

  • 他の VPC は、AWS Transit Gateway または VPC ピアリング接続を使用してインターフェイスエンドポイントを備えた VPC に接続できます。VPC ピアリングは、2 つの VPC 間のネットワーク接続です。VPC 間または他のアカウントで VPC を使用して VPC ピアリング接続を確立できます。VPC は異なる AWS リージョン の間で使用できます。ピア接続された VPC 間のトラフィックは AWS ネットワーク上に留まります。トラフィックは公共インターネットを経由しません。Transit Gateway は、VPC 間で相互接続するために使用できるネットワークの中継ハブです。VPC と Transit Gateway 間のトラフィックは AWS グローバルプライベートネットワークに残ります。トラフィックは公共インターネットに公開されません。

  • Amazon EKS の VPC インターフェイスエンドポイントは IPv4 のみでアクセスできます。IPv6 はサポートされていません。

  • AWS PrivateLink サポートは、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、アジアパシフィック (大阪)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ)、中東 (アラブ首長国連邦) の AWS リージョン ではご利用いただけません。

Amazon EKS 用のインターフェイスエンドポイントを作成します

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Amazon EKS のインターフェイスエンドポイントを作成できます。詳細については、『AWS PrivateLink ガイド』の「Create a VPC endpoint (VPC エンドポイントを作成)を参照してください。

以下のサービス名を使用して Amazon EKS のインターフェイスエンドポイントを作成します。

com.amazonaws.region-code.eks

プライベート DNS 機能は、Amazon EKS や他の AWS のサービス のインターフェイスエンドポイントを作成するときにデフォルトで有効になります。ただし、次の VPC 属性が true に設定されていることを確認する必要があります。enableDnsHostnames および enableDnsSupport。詳細については、「Amazon VPC ユーザーガイド」の「VPC の DNS 属性の表示と更新」を参照してください。インターフェイスエンドポイントでプライベート DNS 機能を有効にすると、次のことができます。

  • デフォルトのリージョン DNS 名を使用して Amazon EKS にあらゆる API リクエストを行うことができます。例えば、eks.region.amazonaws.com と指定します。API のリストについては、「Amazon EKS API リファレンス」の「アクション」を参照してください。

  • EKS API を呼び出すアプリケーションに変更を加える必要はありません。

  • Amazon EKS のデフォルトサービスエンドポイントへの呼び出しは、プライベート AWS ネットワーク経由でインターフェイスエンドポイントを介して自動的にルーティングされます。