Amazon EKS Cluster Endpoint 네트워크 유형별 차이점
EKS를 생성할 때 클러스터 엔드포인트 액세스 유형을 지정해야한다. 클러스터 엔드포인트는 Control Plane의 Kubernetes API 서버용 엔드포인트를 의미한다. 클러스터 엔드포인트는 시스템 요구사항에 맞춰 유형을 지정하여 생성하면 되는데 이 때 유형별로 어떤 차이점이 있는지와 어떤 네트워크 흐름을 가지는지 궁금했다. 우선 클러스터 엔드포인트 액세스 유형은 3가지로 Public, Public & Private, Private 중 선택하여 생성할 수 있다. Public Access 사용자는 인터넷에서 클러스터 API 서버에 접근할 수 있다. 워커 노드가 존재하는 VPC에서 DNS 질의를 해도 클러스터 엔드포인트의 퍼블릭 아이피가 조회된다. 외부 환경에서도 동일하게 클러스터 엔드포인트의 퍼블릭 아이피가 조회된다. 위의 구성도에서 PUBLIC ACCESS SOURCE CIDR를 보면 0.0.0.0/0으로 되어있는데 해당 CIDR는 직접 조정이 가능하며 최대 40개까지 CIDR를 추가할 수 있다. Netowrk ACL로 제어하는 것으로 보인다. 그러나 위의 경우 워커 노드에서 API Server와 통신할 때 Amazon 네트워크 내에서 이동되며 외부 인터넷으로는 이동되지 않는다. Private Access Private Access로 설정하게 되면 EKS OWNED ENI를 통한 접근만 허용하게 된다. Public Access로 생성해도 EKS OWNED ENI가 생성되지만 직접 통신은 하지 않는다. 클러스터 API에 접근하기 위해서는 EKS OWNED ENI와 통신이 가능한 상태여야 한다.