인터페이스 엔드포인트를 사용하여 Amazon Elastic Kubernetes Service 액세스(AWS PrivateLink) - Amazon EKS
고려 사항인터페이스 엔드포인트 생성

이 페이지 개선에 도움 주기

이 사용자 설명서에 기여하고 싶으신가요? 이 페이지 하단으로 스크롤하여 GitHub에서 이 페이지 편집을 선택하세요. 여러분의 기여는 모두를 위한 더 나은 사용자 설명서를 만드는 데 도움이 됩니다.

인터페이스 엔드포인트를 사용하여 Amazon Elastic Kubernetes Service 액세스(AWS PrivateLink)

AWS PrivateLink를 사용하여 VPC와 Amazon Elastic Kubernetes Service 사이에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Amazon EKS에 액세스할 수 있습니다. VPC의 인스턴스에서 Amazon EKS에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Amazon EKS로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은 AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스에 액세스를 참조하세요.

Amazon EKS 고려 사항

  • Amazon EKS에 대한 인터페이스 엔드포인트를 설정하려면 먼저 AWS PrivateLink 가이드Considerations(고려 사항)를 검토합니다.

  • Amazon EKS에서는 인터페이스 엔드포인트를 통해 모든 API 작업에 대한 호출 수행을 지원하지만, Kubernetes API는 해당하지 않습니다. Kubernetes API 서버에서는 이미 프라이빗 엔드포인트를 지원합니다. Kubernetes API 서버 프라이빗 엔드포인트에서는 클러스터와 통신하는 데 사용하는 Kubernetes API 서버에 대한 프라이빗 엔드포인트를 생성합니다(kubectl과 같은 Kubernetes 관리 도구 사용). 노드와 API 서버 사이의 모든 통신이 VPC 내에 유지되도록 Kubernetes API 서버에 대한 프라이빗 액세스를 활성화할 수 있습니다. Amazon EKS API용 AWS PrivateLink는 트래픽을 퍼블릭 인터넷에 노출하지 않고 VPC의 Amazon EKS API를 호출하는 데 도움이 됩니다.

  • 인터페이스 엔드포인트를 통해서만 액세스하도록 Amazon EKS를 구성할 수 없습니다.

  • AWS PrivateLink의 표준 요금이 Amazon EKS의 인터페이스 엔드포인트에 적용됩니다. 각 가용 영역에서 인터페이스 엔드포인트가 프로비저닝된 각 시간과 인터페이스 엔드포인트를 통해 처리된 데이터에 대해 요금이 청구됩니다. 자세한 내용은 AWS PrivateLink 요금을 참조하십시오.

  • Amazon EKS에는 VPC 엔드포인트 정책이 지원되지 않습니다. 기본적으로 인터페이스 엔드포인트를 통해 Amazon EKS에 대한 전체 액세스가 허용됩니다. 또는 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 인터페이스 엔드포인트를 통해 Amazon EKS로 향하는 트래픽을 제어할 수 있습니다.

  • VPC 흐름 로그를 사용하여 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다(인터페이스 엔드포인트 포함). 흐름 로그 데이터는 Amazon CloudWatch 또는 Amazon S3에 게시할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC 흐름 로그를 사용하여 IP 트래픽 로깅을 참조하세요.

  • Amazon EKS API를 인터페이스 엔드포인트가 있는 VPC에 연결하여 온프레미스 데이터 센터에서 Amazon EKS API에 액세스할 수 있습니다. AWS Direct Connect 또는 AWS Site-to-Site VPN을 사용하여 온프레미스 사이트를 VPC에 연결할 수 있습니다.

  • AWS Transit Gateway 또는 VPC 피어링을 사용하여 인터페이스 엔드포인트가 있는 VPC에 다른 VPC를 연결할 수 있습니다. VPC 피어링은 두 VPC 간의 네트워킹 연결입니다. 사용자의 VPC 사이 또는 다른 계정의 VPC와 VPC 피어링 연결을 설정할 수 있습니다. VPC는 서로 다른 AWS 리전에 있을 수 있습니다. 피어링된 VPC 간 트래픽은 AWS 네트워크에 유지됩니다. 트래픽은 퍼블릭 인터넷을 통과하지 않습니다. 전송 게이트웨이는 VPC를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. VPC와 Transit Gateway 간 트래픽은 AWS 글로벌 프라이빗 네트워크에 남아 있습니다. 트래픽은 퍼블릭 인터넷에 노출되지 않습니다.

  • Amazon EKS의 VPC 인터페이스 엔드포인트에는 IPv4를 통해서만 액세스할 수 있습니다. IPv6는 지원되지 않습니다.

  • AWS PrivateLink 지원은 아시아 태평양(하이데라바드), 아시아 태평양(멜버른), 아시아 태평양(오사카), 캐나다 서부(캘거리), 유럽(스페인), 유럽(취리히) 또는 중동(UAE) AWS 리전에서 제공되지 않습니다.

Amazon EKS용 인터페이스 엔드포인트 생성

Amazon VPC 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 Amazon EKS의 인터페이스 엔드포인트를 생성할 수 있습니다. 자세한 정보는 AWS PrivateLink 가이드VPC 엔드포인트 생성을 참조하세요.

다음과 같은 서비스 이름을 사용하여 Amazon EKS의 인터페이스 엔드포인트를 생성합니다.

com.amazonaws.region-code.eks

프라이빗 DNS 기능은 Amazon EKS 및 기타 AWS 서비스의 인터페이스 엔드포인트를 생성할 때 기본적으로 활성화됩니다. 그러나 다음과 같은 VPC 속성이true: enableDnsHostnamesenableDnsSupport로 설정되었는지 확인해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC에 대한 DNS 속성 보기 및 업데이트를 참조하세요. 인터페이스 엔드포인트에 프라이빗 DNS 기능이 활성화된 경우:

  • 기본 리전 DNS 이름을 사용하여 Amazon EKS에 API를 요청할 수 있습니다. 예를 들면 eks.region.amazonaws.com입니다. API 목록은 Amazon EKS API 참조의 Actions(작업)를 참조하세요.

  • EKS API를 호출하는 애플리케이션은 변경할 필요가 없습니다.

  • Amazon EKS 기본 서비스 엔드포인트에 적용된 호출은 프라이빗 AWS 네트워크에서 인터페이스 엔드포인트를 통해 자동으로 라우팅됩니다.