Acessar o Amazon EKS usando o AWS PrivateLink - Amazon EKS

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Acessar o Amazon EKS usando o AWS PrivateLink

Você pode usar o AWS PrivateLink para criar uma conexão privada entre seu VPC e o Amazon Elastic Kubernetes Service. Você pode acessar o Amazon EKS como se ele estivesse em sua VPC, sem o uso de um gateway de Internet, dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para acessar o Amazon EKS.

Você estabelece essa conexão privada criando um endpoint de interface alimentado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon EKS.

Para obter mais informações, consulte Acessar serviços da AWS por meio do AWS PrivateLink no Guia do AWS PrivateLink.

Considerações sobre o Amazon EKS

  • Antes de configurar um endpoint de interface para o Amazon EKS, analise as Considerações no AWS PrivateLink Guide.

  • O Amazon EKS é compatível com chamadas para todas as suas ações de API por meio do endpoint da interface, mas não para as APIs do Kubernetes. O servidor de API do Kubernetes já é compatível com um endpoint privado. O endpoint privado do servidor de API do Kubernetes cria um endpoint privado para o servidor de API do Kubernetes usado para se comunicar com o cluster (usando as ferramentas de gerenciamento do Kubernetes, como o kubectl). Você pode habilitar o acesso privado ao servidor de API do Kubernetes para que todas as comunicações entre os nós e o servidor de API fiquem na VPC. O AWS PrivateLink para a API do Amazon EKS ajuda você a chamar as APIs do Amazon EKS da sua VPC sem expor o tráfego à internet pública.

  • Você não pode configurar o Amazon EKS para ser acessado somente por meio de um endpoint de interface.

  • O preço padrão do AWS PrivateLink se aplica aos endpoints de interface do Amazon EKS. Você é cobrado por cada hora que um endpoint de interface é provisionado em cada zona de disponibilidade e pelos dados processados por meio do endpoint de interface. Para obter mais informações, consulte Preços do AWS PrivateLink.

  • As políticas de endpoint da VPC não são compatíveis com o Amazon EKS. Você pode usar essas políticas para controlar o acesso ao Amazon EKS por meio do endpoint de interface. Ou então, você pode associar um grupo de segurança às interfaces de rede de endpoint para controlar o tráfego para o Amazon EKS por meio do endpoint de interface. Para obter mais informações, consulte Control access to VPC endpoints using endpoint policies na documentação da Amazon VPC.

  • Você pode usar os logs de fluxo da VPC para capturar informações sobre tráfego IP de entrada e de saída nas interfaces da rede, inclusive endpoints. Você pode publicar os dados do log de fluxo no Amazon CloudWatch Logs ou no Amazon S3. Para obter mais informações, consulte Como registrar tráfego IP em log com logs de fluxo da VPC no Manual do usuário da Amazon VPC.

  • Você pode acessar as APIs do Amazon EKS de um data center on-premises conectando-o a uma VPC que tenha um endpoint de interface. Você pode usar o AWS Direct Connect ou o AWS Site-to-Site VPN para conectar seus sites on-premises a uma VPC.

  • Você pode conectar outras VPCs à VPC com um endpoint de interface usando um AWS Transit Gateway ou peering de VPC. O emparelhamento de VPC é uma conexão de rede entre duas VPCs. Você pode estabelecer uma conexão de emparelhamento da VPC entre as suas VPCs ou com uma VPC de outra conta. As VPCs podem estar em diferentes regiões AWS. O tráfego entre as VPCs emparelhadas permanece na rede da AWS. O tráfego não passa pela internet pública. Um gateway de trânsito é um hub de trânsito de rede que pode ser usado para interconectar as VPCs. O tráfego entre uma VPC e um gateway de trânsito permanece na rede privada global da AWS. O tráfego não é exposto à internet pública.

  • Antes de agosto de 2024, os endpoints da interface da VPC para o Amazon EKS só eram acessíveis via IPv4 com o uso de eks.region.amazonaws.com. Os novos endpoints de interface da VPC criados após agosto de 2024 usam pilha dupla de endereços IP IPv4 e IPv6 e ambos os nomes DNS: eks.region.amazonaws.com e eks.region.api.aws.

  • O suporte ao AWS PrivateLink para a API do EKS não está disponível nas regiões da AWS Ásia-Pacífico (Malásia) (ap-southeast-5), Ásia-Pacífico (Tailândia) (ap-southeast-7) e México (Centro) (mx-central-1). No entanto, o suporte ao AWS para eks-auth na Identidade de Pods do EKS está disponível na região Ásia-Pacífico (Malásia) (ap-southeast-5).

Criar um endpoint de interface de VPC para o Amazon EKS

Você pode criar um endpoint de interface para o Amazon EKS usando o console do Amazon VPC ou a interface de linha de comando AWS (AWS CLI). Para obter mais informações, consulte Criar um endpoint VPC no AWS PrivateLink Guide.

Crie um endpoint de interface para o Amazon EKS usando os seguintes nomes de serviço:

  • API do EKS

com.amazonaws.region-code.eks
  • API de autenticação do EKS (Identidade de Pods do EKS)

com.amazonaws.region-code.eks-auth

O recurso de DNS privado é ativado por padrão ao criar um endpoint de interface para o Amazon EKS e outros serviços AWS. Para usar o recurso de DNS privado, é necessário garantir que os seguintes atributos da VPC esteja definidos como true: enableDnsHostnames e enableDnsSupport. Para mais informações, consulte Visualizar e atualizar atributos DNS para sua VPC no Manual do usuário da Amazon VPC. Com o recurso de DNS privado ativado para o endpoint da interface:

  • você pode fazer qualquer solicitação de API para o Amazon EKS usando seu nome DNS regional padrão. Depois de agosto de 2024, qualquer novo endpoint de interface VPC para a API do Amazon EKS terá dois nomes DNS regionais padrão e você poderá escolher dualstack para o tipo de endereço IP. O primeiro nome DNS é eks.region.api.aws, o qual é dual-stack. Ele resolve tanto endereços IPv4 quanto endereços IPv6. Antes de agosto de 2024, o Amazon EKS usava apenas eks.region.amazonaws.com o que era resolvido somente em endereços IPv4. Se você quiser usar IPv6 e empilhar dois endereços IP com um endpoint de interface da VPC existente, é possível atualizar o endpoint para usar o tipo de endereço IP dualstack, mas ele só terá o nome DNS eks.region.amazonaws.com. Nessa configuração, o endpoint existente é atualizado para apontar esse nome para ambos os endereços IP IPv4 e IPv6. Para obter uma lista de APIs, consulte a Ações na Referência da API do Amazon EKS.

  • Você não precisa fazer nenhuma alteração em suas aplicações que chamam as APIs do EKS.

    No entanto, para usar os endpoints de pilha dupla com a AWS CLI, consulte a configuração de endpoints de pilha dupla e FIPS no Guia de referência de SDKs e ferramentas do AWS.

  • Qualquer chamada feita para o endpoint de serviço padrão do Amazon EKS é automaticamente roteada pelo endpoint de interface pela rede privada da AWS .