使用接口端点访问 Amazon Elastic Kubernetes Service（AWS PrivateLink）

在为 Amazon EKS 设置接口端点之前，请首先检查《AWS PrivateLink 指南》中的 注意事项。

Amazon EKS 支持通过接口端点调用其所有 API 操作，但不支持调用 Kubernetes API。Kubernetes API 服务器已经支持私有端点。Kubernetes API 服务器私有端点为您用于与集群进行通信的 Kubernetes API 服务器创建私有端点（使用 Kubernetes 管理工具，如 kubectl）。您可以启用对 Kubernetes API 服务器的私有访问，以便您的节点与 API 服务器之间的所有通信都在 VPC 内。Amazon EKS API 的 AWS PrivateLink 可帮助您从 VPC 调用 Amazon EKS API，而无需向公共互联网公开流量。

您无法将 Amazon EKS 配置为只能通过接口端点进行访问。

AWS PrivateLink 的标准定价适用于 Amazon EKS 的接口端点。计费方式：按在每个可用区中预置的接口端点每小时以及通过接口端点处理的数据。有关更多信息，请参阅AWS PrivateLink 定价。

Amazon EKS 不支持 VPC 端点策略。默认情况下，允许通过接口端点对 Amazon EKS 进行完全访问。或者，您可以将安全组与端点网络接口关联，以控制通过接口端点流向 Amazon EKS 的流量。

您可以使用 VPC 流日志捕获有关传入和传出网络接口（包括接口端点）的 IP 流量的信息。您可以将流日志数据发布到 Amazon CloudWatch 或 Amazon S3。有关更多信息，请参阅《Amazon VPC 用户指南》中的使用 VPC 流日志记录 IP 流量。

您可以从本地数据中心访问 Amazon EKS API，方法是将本地数据中心连接到具有接口端点的 VPC。您可以使用 AWS Direct Connect 或 AWS Site-to-Site VPN 将您的本地站点连接到 VPC。

您可以使用 AWS Transit Gateway 或 VPC 对等连接通过接口端点将其他 VPC 连接到 VPC。VPC 对等连接是两个 VPC 之间的网络连接。您可以在您的 VPC 之间建立 VPC 对等连接，或者在您的 VPC 与其他账户中的 VPC 之间建立此连接。VPC 可以位于不同的 AWS 区域。对等 VPC 之间的流量保留在 AWS 网络上。流量不会穿越公共互联网。中转网关是网络中转中心，您可用它来互连 VPC。VPC 和中转网关之间的流量仍保留在 AWS 全球私有网络上。流量不会在公共互联网上公开。

Amazon EKS 的 VPC 接口端点只能通过 IPv4 访问。不支持 IPv6。

亚太地区（海得拉巴）、亚太地区（墨尔本）、亚太地区（大阪）、加拿大西部（卡尔加里）、欧洲（西班牙）、欧洲（苏黎世）或中东（阿联酋）AWS 区域 不支持 AWS PrivateLink。

您可以使用 Amazon EKS 的默认区域 DNS 名称向其发出任何 API 请求。例如，eks.region.amazonaws.com。有关 API 列表，请参阅 Amazon EKS API Reference（《Amazon EKS API 参考》）中的操作。

您无需对调用 EKS API 的应用程序进行任何更改。

对 Amazon EKS 默认服务端点的任何调用都会通过接口端点自动路由到私有 AWS 网络上。