EKS İçin Private Cluster Mimarisi

Finans, sağlık veya savunma sanayi gibi regüle sektörlerde, Kubernetes API sunucusunun internete açık olması (Public Endpoint) kabul edilemez. Saldırı yüzeyini sıfıra indirmek için Private-Only EKS Cluster kurmalısınız.

Private Cluster Nedir?

• API Server: Sadece VPC içinden erişilebilir. İnternetten erişilemez.
• Worker Nodes: Sadece Private Subnet'lerde çalışır. Public IP'leri yoktur.

Nasıl Bağlanacaksınız?

API sunucusu internete kapalıysa, kubectl komutunu nasıl çalıştıracaksınız?

1. VPN (AWS Client VPN): Geliştiriciler önce şirket VPN'ine bağlanır, böylece VPC içine dahil olurlar.
2. Bastion Host (Jump Server): Public subnet'te küçük bir EC2 sunucusu açarsınız. Önce buraya SSH ile bağlanır, buradan kümeye erişirsiniz.
3. SSM Session Manager: Bastion host'a SSH portu (22) açmadan, AWS Console üzerinden güvenli erişim sağlar.

İnternet Erişimi (Outbound)

Podlarınızın dış dünyadan paket indirmesi gerekiyorsa (örn: Docker Hub), Private Subnet'lere NAT Gateway bağlamalısınız. Eğer tam izolasyon (Air-gapped) isteniyorsa, gerekli tüm imajları yerel ECR'a (VPC Endpoint üzerinden) kopyalamalısınız.

Private Cluster, AWS Danışmanlığı güvenlik denetimlerinde en çok önerdiğimiz mimaridir.