Когда я создаю кластер EKS, я могу получить доступ к главному узлу из любого места. Несмотря на это, группа безопасности уровня управления позволяет рабочему только управлять подключением плоскости (конфигурация по умолчанию).
Как можно ограничить доступ к плоскости управления для группы безопасности?
Главные узлы EKS управляются AWS и работают в другой учетной записи. Для доступа к конечной точке вам необходим доступ к Интернету, а группы безопасности не будут препятствовать кому-либо другому подключиться к общедоступной конечной точке.
Запустите Dig против конечной точки сервера API, и вы увидите это:
{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN A xxx.xxx.xxx.xxx
{hash}.sk1.us-east-1.eks.amazonaws.com. 59 IN A xxx.xxx.xxx.xxx
Это всего лишь конечная точка API, и я подозреваю, что главные узлы на самом деле не общедоступны, а только конечная точка API, и я уверен, что API имеет те же меры аутентификации AWS, что и конечная точка общедоступного API любой другой службы.
https://docs.aws.amazon.com/general/latest/gr/rande.html#eks_region
Я бы посоветовал пройти EKS VPC руководство и прочтите раздел в документы по сети EKS.