Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie greife ich von einer VPC oder Peering-VPC aus sicher auf den Amazon EKS-Cluster-API-Serverendpunkt zu?

Lesedauer: 4 Minute
0

Ich möchte von einer Amazon Virtual Private Cloud (Amazon VPC) oder einer Peering-VPC aus sicher auf den Cluster-API-Serverendpunkt von Amazon Elastic Kubernetes Service (Amazon EKS) zugreifen.

Kurzbeschreibung

Wenn du einen neuen Amazon EKS-Cluster erstellst, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server. Standardmäßig ist der API-Serverendpunkt öffentlich im Internet. Das System verwendet eine Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetes Role Based Access Control (RBAC), um den Zugriff auf den API-Server zu sichern. Weitere Informationen findest du unter Verwendung der RBAC-Autorisierung auf der Kubernetes-Website.

Um von einer VPC oder Peering-VPC aus sicher auf deinen Amazon EKS-Cluster zuzugreifen, musst du einen privaten Endpunkt konfigurieren. Weitere Informationen zu bewährten Sicherheitsmethoden findest du unter Bewährte Sicherheitsmethoden.

Lösung

Aktiviere den privaten Zugriff auf den Kubernetes-API-Server, damit die gesamte Kommunikation zwischen deinen Knoten und dem API-Server in deiner VPC bleibt. Du kannst die IP-Adressen einschränken, die über das Internet auf deinen API-Server zugreifen können, oder den Internetzugriff auf den API-Server vollständig deaktivieren.

Wenn du den privaten Endpunktzugriff aktivierst, verhält sich der Amazon EKS-Cluster wie folgt:

  • Der gesamte Datenverkehr zu deinem Cluster-API-Server kommt aus der VPC deines Clusters oder einem verbundenen Netzwerk.
  • Dein API-Server hat keinen öffentlichen Zugriff über das Internet. kubectl-Befehle werden von der VPC oder einem verbundenen Netzwerk aus ausgeführt. Informationen zu Verbindungsoptionen findest du unter Zugriff auf einen ausschließlich privaten API-Server.
  • Öffentliche DNS-Server lösen den API-Serverendpunkt des Clusters in eine private IP-Adresse von der VPC auf.

Wenn dein Endpunkt nicht in eine private IP-Adresse innerhalb der VPC für einen vorhandenen Cluster aufgelöst wird, führe eine der folgenden Aktionen aus:

  • Schalte den öffentlichen Zugriff ein und dann wieder aus. Du musst dies nur einmal tun, damit ein Cluster für den Endpunkt in eine private IP-Adresse aufgelöst wird.
  • Aktualisiere deinen Cluster.

Wenn du den öffentlichen Zugriff für den Kubernetes-API-Serverendpunkt deines Clusters deaktivierst, kannst du nur von deiner VPC oder einem verbundenen Netzwerk aus auf den API-Server zugreifen. Du kannst auf eine der folgenden Arten auf den Kubernetes-API-Serverendpunkt zugreifen:

  • Verbinde dein Netzwerk über ein Transit-Gateway oder eine andere Verbindungsoption mit der VPC und verwende dann einen Computer im verbundenen Netzwerk. Stelle sicher, dass deine Amazon EKS-Sicherheitsgruppe für die Steuerebene Regeln enthält, die eingehenden Datenverkehr über Port 443 von deinem verbundenen Netzwerk zulassen.
  • Starte eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance in einem öffentlichen Subnetz in der VPC deines Clusters. Verwende dann SSH, um dich bei dieser Instance anzumelden und kubectl-Befehle auszuführen. Weitere Informationen findest du unter Zugriff auf einen Bastion-Host mithilfe von Session Manager und Amazon EC2 Instance Connect.

AWS-Managementkonsole verwenden, um den Zugriff auf deine Cluster-API-Serverendpunkte zu ändern

  1. Öffne die Amazon EKS-Konsole.
  2. Wähle den Namen des Clusters aus, um deine Cluster-Informationen anzuzeigen.
  3. Öffne die Registerkarte Netzwerk und wähle dann Aktualisieren aus.
  4. Wähle, ob du den privaten Zugriff für den Kubernetes-API-Serverendpunkt Ihres Clusters ein- oder ausschalten möchtest. Wenn du den privaten Zugriff aktivierst, verwenden Kubernetes-API-Anfragen, die aus der VPC deines Clusters stammen, den privaten VPC-Endpunkt. Um den öffentlichen Zugriff zu deaktivieren, musst du zuerst den privaten Zugriff aktivieren.
  5. Wähle aus, ob du den öffentlichen Zugriff für den Kubernetes-API-Serverendpunkt deines Clusters ein- oder ausschalten möchtest. Wenn du den öffentlichen Zugriff deaktivierst, kann der Kubernetes-API-Server deines Clusters nur Anfragen aus der Cluster-VPC empfangen.
  6. Wähle Aktualisieren aus.

AWS-CLI verwenden, um den Zugriff auf deinen Cluster-API-Serverendpunkt zu ändern

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Führe den folgenden Befehl aus, um den öffentlichen Endpunktzugriff zu deaktivieren und den privaten Endpunktzugriff für einen Cluster zu aktivieren:

aws eks update-cluster-config --name example \
--resources-vpc-config endpointPublicAccess=false,endpointPrivateAccess=true

Hinweis: Ersetze example durch den Namen deines Clusters.

Beispielausgabe:

{
    "update": {
        "id": "ec883c93-2e9e-407c-a22f-8f6fa6e67d4f",
        "status": "InProgress",
        "type": "EndpointAccessUpdate",
        "params": [
            {
                "type": "EndpointPublicAccess",
                "value": "false"
            },
            {
                "type": "EndpointPrivateAccess",
                "value": "true"
            }
        ],
        "createdAt": 1565806986.506,
        "errors": []
    }
}

Wenn du den privaten Zugriff aktivierst, verwenden Kubernetes-API-Anfragen aus der VPC deines Clusters den privaten VPC-Endpunkt. Der Standardwert für den Parameter ist false, wodurch der private Zugriff für deinen Kubernetes-API-Server deaktiviert wird. Weitere Informationen findest du unter update-cluster-config.

Themen
Containers
Tags
Amazon Elastic Kubernetes Service
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 3 Monaten

Relevanter Inhalt