如何锁定对 Amazon EKS 集群中特定 IP 地址的 API 访问权限？

解决方法

您可以锁定对两种 Amazon EKS API 服务器访问端点的访问权限：

• 公共访问端点： 默认情况下，API 服务器的访问权限向公众开放。您可以锁定对特定 CIDR 块和 IP 地址的访问权限。
• 私有访问端点： 只能从 Amazon Virtual Private Cloud (Amazon VPC) 内访问 API 服务器。要进一步锁定对特定 Amazon VPC CIDR 块的访问权限，请使用集群安全组。

锁定 API 公共访问端点

完成以下步骤：

1. 打开 Amazon EKS 控制台。
2. 在导航窗格中，选择 Clusters（集群），然后选择您的集群。
3. 在 Networking（联网）部分中，选择 Manage Endpoint Access（管理端点访问权限）。
4. 展开 Advanced Settings（高级设置）。
   **注意：**Advanced Settings（高级设置）选项仅在激活公共访问权限时显示。
5. 输入要允许从中进行访问的 CIDR 块。
   **注意：**您可以将 IP 地址范围 54.240.193.129 到 54.240.193.190 汇总为 54.240.193.129/26。您可以通过 /32 表示法（例如，54.240.193.130/32）形成单个 IP 地址。这些 CIDR 块不能包含预留地址。
6. （可选）要输入其他块，请选择 Add Source（添加源）。
7. 选择 Save changes（保存更改）。

**注意：**如果未指定 CIDR 块，则公共 API 服务器端点会接收来自所有 (0.0.0.0/0) IP 地址的请求。

最佳做法是激活私有端点访问权限，以便 Worker 节点和 AWS Fargate Pod 可以通过私有端点与集群通信。

如果未激活私有端点，则公共访问端点 CIDR 源必须包括来自 Amazon VPC 的出口源。例如，您在私有子网中有一个 Worker 节点，该节点通过 NAT 网关与互联网通信。因此，您必须将 NAT 网关的出站 IP 地址添加为公共端点上允许的 CIDR 块的一部分。

锁定 API 私有访问端点

完成以下步骤：

1. 打开 Amazon EKS 控制台。
2. 在导航窗格中，选择 Clusters（集群），然后选择您的集群。
3. 在 Networking（联网）部分中，记下集群安全组和任何其他安全组的名称。
4. 向您在步骤 3 中记下的其中一个安全组添加入口规则。
   **注意：**对于入口规则，请将 TCP 设置为协议，将 443 设置为允许从中进行访问的端口和源 IP 地址。

相关信息

修改集群端点访问权限