当我创建 EKS 集群时,我可以从任何地方访问主节点。尽管如此,控制平面安全组仅允许工作节点控制平面连接(默认配置)。
如何将控制平面的访问限制在安全组内?
答案1
你不能
EKS 主节点由 AWS 管理,并在不同的账户中运行。您需要访问互联网才能到达端点,而安全组不会阻止其他人访问公共端点。
对 API 服务器端点运行 Dig,你会看到以下内容:
{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN A xxx.xxx.xxx.xxx
{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN A xxx.xxx.xxx.xxx
不过,这只是 API 端点,我怀疑主节点实际上并不是公开可访问的,只有 API 端点,而且我确信该 API 具有与任何其他服务的公共 API 端点相同的 AWS 身份验证措施。
https://docs.aws.amazon.com/general/latest/gr/rande.html#eks_region
我建议通过EKS VPC 教程 并阅读EKS 网络文档。