Acesse o Amazon Elastic Kubernetes Service usando um endpoint de interface (AWS PrivateLink) - Amazon EKS
ConsideraçõesComo criar um endpoint de interface

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Acesse o Amazon Elastic Kubernetes Service usando um endpoint de interface (AWS PrivateLink)

Você pode usar o AWS PrivateLink para criar uma conexão privada entre a sua VPC e o Amazon Elastic Kubernetes Service. Você pode acessar o Amazon EKS como se estivesse em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para acessar o Amazon EKS.

Você estabelece essa conexão privada criando um endpoint de interface com a tecnologia AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon EKS.

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações sobre o Amazon EKS

  • Antes de configurar um endpoint de interface para o Amazon EKS, analise as considerações no Guia do AWS PrivateLink.

  • O Amazon EKS oferece suporte a chamadas para todas as ações de através do endpoint da interface, mas não para as APIs Kubernetes. O servidor de API Kubernetes já é compatível com um endpoint privado. O endpoint privado do servidor de API Kubernetes cria um endpoint privado para o servidor de API do Kubernetes usado para se comunicar com o cluster (usando as ferramentas de gerenciamento do Kubernetes, como o kubectl). Você pode habilitar o acesso privado ao servidor de API do Kubernetes de forma que todas as comunicações entre os nós e o servidor de API permaneçam na VPC. O AWS PrivateLink para a API do Amazon EKS ajuda a chamar as APIs do Amazon EKS a partir da VPC sem expor o tráfego à Internet pública.

  • Você não pode configurar o Amazon EKS para ser acessado somente por meio de um endpoint de interface.

  • O preço padrão para o AWS PrivateLink aplica-se aos endpoints de interface para o Amazon EKS. Você é cobrado por cada hora que um endpoint de interface é provisionado em cada zona de disponibilidade e pelos dados processados por meio do endpoint de interface. Para obter mais informações, consulte Preços do AWS PrivateLink.

  • As políticas de endpoint da VPC não são compatíveis com o Amazon EKS. Por padrão, acesso total ao Amazon EKS é permitido por meio do endpoint de interface. Ou então, você pode associar um grupo de segurança às interfaces de rede de endpoint para controlar o tráfego para o Amazon EKS por meio do endpoint de interface.

  • Você pode usar os logs de fluxo da VPC para capturar informações sobre tráfego IP de entrada e de saída nas interfaces da rede, inclusive endpoints. Você pode publicar os dados do log de fluxo no Amazon CloudWatch Logs ou no Amazon S3. Para obter mais informações, consulte Como registrar tráfego IP em log com logs de fluxo da VPC no Manual do usuário da Amazon VPC.

  • Você pode acessar as APIs do Amazon EKS de um datacenter on-premises conectando-o a uma VPC que tenha um endpoint de interface. Você pode usar o AWS Direct Connect ou AWS Site-to-Site VPN para conectar seus sites on-premises a uma VPC.

  • Você pode conectar outras VPCs à VCP com um endpoint de interface usando um AWS Transit Gateway ou o emparelhamento da VPC. O emparelhamento de VPC é uma conexão de rede entre duas VPCs. Você pode estabelecer uma conexão de emparelhamento da VPC entre as suas VPCs ou com uma VPC de outra conta. As VPCs podem se encontrar em diferentes Regiões da AWS. O tráfego entre as VPCs emparelhadas permanece na rede da AWS. O tráfego não passa pela internet pública. Um gateway de trânsito é um hub de trânsito de rede que pode ser usado para interconectar as VPCs. O tráfego entre uma VPC e um gateway de trânsito permanece na rede privada global da AWS. O tráfego não é exposto à internet pública.

  • Os endpoints de interface da VPC para o Amazon EKS só podem ser acessados por IPv4. O IPv6 não é compatível.

  • Não há suporte para o AWS PrivateLink nas Regiões da AWS Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Melbourne), Ásia-Pacífico (Osaka), Oeste do Canadá (Calgary), Europa (Espanha), Europa (Zurique) e Oriente Médio (EAU).

Criar um endpoint de interface de VPC para o Amazon EKS

Você pode criar um endpoint de interface para o Amazon EKS usando o console ou a AWS Command Line Interface (AWS CLI) da Amazon VPC. Para obter mais informações, consulte Create a VPC endpoint (Criar um endpoint da VPC) no Guia do AWS PrivateLink.

Crie um endpoint de interface para o Amazon EKS usando o seguinte nome de serviço:

com.amazonaws.region-code.eks

O recurso de DNS privado é habilitado por padrão na criação de um endpoint de interface para o Amazon EKS e outros Serviços da AWS. Porém, você deve garantir que os seguintes atributos da VPC estejam definidos como true: enableDnsHostnames e enableDnsSupport. Para mais informações, consulte Visualizar e atualizar atributos DNS para sua VPC no Manual do usuário da Amazon VPC. Com o recurso de DNS privado ativado para o endpoint da interface:

  • você pode fazer qualquer solicitação de API para o Amazon EKS usando seu nome DNS regional padrão. Por exemplo, eks.region.amazonaws.com. Para obter uma lista de APIs, consulte a Ações na Referência da API do Amazon EKS.

  • Você não precisa fazer nenhuma alteração em suas aplicações que chamam as APIs do EKS.

  • Qualquer chamada feita para o endpoint de serviço padrão do Amazon EKS é automaticamente roteada pelo endpoint de interface pela rede privada da AWS .