Erstellen eines Amazon-EKS-Clusters - Amazon EKS

Erstellen eines Amazon-EKS-Clusters

In diesem Thema wird das Erstellen eines Amazon-EKS-Clusters erläutert. Wenn Sie zum ersten Mal einen Amazon-EKS-Cluster erstellen, empfehlen wir Ihnen, stattdessen entsprechend unseren Erste Schritte mit Amazon EKS-Leitfäden vorzugehen. Sie bieten vollständige End-to-End-Anleitungen für das Erstellen eines Amazon-EKS-Clusters mit Knoten.

Wichtig

Wenn ein Amazon-EKS-Cluster erstellt wird, wird die IAM-Entität (Benutzer oder Rolle), die den Cluster erstellt, zur Kubernetes-RBAC-Autorisierungstabelle als Administrator (mit system:masters-Berechtigungen) hinzugefügt. Anfänglich kann nur dieser IAM-Benutzer Aufrufe an den Kubernetes-API-Server mit kubectl tätigen. Weitere Informationen finden Sie unter Verwalten von Benutzern oder IAM-Rollen für Ihren Cluster. Wenn Sie die Konsole verwenden, um den Cluster zu erstellen, müssen Sie sicherstellen, dass sich die gleichen IAM-Anmeldeinformationen in den AWS-SDK-Anmeldeinformationen befinden, wenn Sie kubectl-Befehle auf Ihrem Cluster ausführen.

Sie können einen Cluster mit eksctl, AWS Management Console oder AWS CLI erstellen.

eksctl

Prerequisite

Version 0.67.0 oder höher von eksctl installiert. Informationen zur Installation oder Aktualisierung finden Sie unter Das eksctl-Befehlszeilen-Dienstprogramm.

Erstellen Sie einen Amazon-EKS-Cluster mit der neuesten Amazon´-EKS-Kubernetes-Version in Ihrer Standardregion. Ersetzen Sie die <example-values> (einschließlich <>) durch Ihre eigenen Werte. Sie können <1.20> durch jede unterstützte Version ersetzen.

eksctl create cluster \ --name <my-cluster> \ --version <1.21> \ --with-oidc \ --without-nodegroup
Tipp

Sie können die meisten Optionen, die beim Erstellen eines Clusters mit eksctl angegeben werden können, über den Befehl eksctl create cluster --help anzeigen. Um alle Optionen anzuzeigen, können Sie eine Config-Datei verwenden. Weitere Informationen finden Sie unter Verwenden von Config-Dateien und im Config-Datei-Schema in der eksctl-Dokumentation. Auf GitHub finden Sie Beispiele für Config-Dateien.

Wichtig

Wenn Sie nach der Bereitstellung Ihres Clusters selbstverwaltete Knoten in den lokalen Zonen AWS Outposts, AWS Wavelength oder AWS bereitstellen möchten, müssen Sie über eine vorhandene VPC verfügen, die die Amazon EKS-Anforderungen erfüllt, und die Option --vpc-private-subnets mit dem vorherigen Befehl verwenden. Die von Ihnen angegebenen Subnetz-IDs dürfen nicht die Subnetze der lokalen Zonen AWS Outposts, AWS Wavelength oder AWS sein. Weitere Informationen zur Verwendung einer vorhandenen VPC finden Sie unter Verwenden einer vorhandenen VPC: andere benutzerdefinierte Konfiguration in der eksctl-Dokumentation.

Warnung

Es gibt eine secretsEncryption-Option, die ein vorhandenes AWS KMS key in AWS Key Management Service (AWS KMS) erfordert. Wenn Sie einen Cluster mithilfe einer Konfigurationsdatei mit der Option secretsEncryption erstellen und der von Ihnen verwendete KMS-Schlüssel jemals gelöscht wird, gibt es keinen Wiederherstellungspfad für den Cluster. Wenn Sie die Secrets-Verschlüsselung aktivieren, werden die Kubernetes-Secrets mit dem von Ihnen ausgewählten KMS-Schlüssel verschlüsselt. Der KMS-Schlüssel muss symmetrisch sein und in der gleichen Region wie der Cluster erstellt werden. Wenn der KMS-Schlüssel in einem anderen Konto erstellt wurde, muss der Benutzer über einen Zugriff auf den KMS-Schlüssel verfügen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service-Developerhandbuch.

Standardmäßig erstellt der create-key-Befehl einen symmetrischen Schlüssel mit einer Schlüsselrichtlinie, die dem Root-Administrator des Kontos Zugriff auf AWS KMS-Aktionen und -Ressourcen gewährt. Weitere Informationen finden Sie unter Erstellen von Schlüsseln. Wenn Sie die Berechtigungen begrenzen möchten, müssen Sie sicherstellen, dass die Aktionen kms:DescribeKey und kms:CreateGrant für die Richtlinie für den Prinzipal zulässig sind, der die API create-cluster aufrufen wird. Amazon EKS unterstützt die Richtlinienbedingung kms:GrantIsForAWSResource nicht. Das Erstellen eines Clusters funktioniert nicht, wenn sich diese Aktion in der KMS-Schlüsselrichtlinienanweisung befindet.

Die Clusterbereitstellung dauert mehrere Minuten. Während der Clustererstellung werden mehrere Ausgabezeilen angezeigt. Die letzte Ausgabezeile ähnelt der folgenden Beispielzeile.

[✓] EKS cluster "<my-cluster>" in "<region-code>" region is ready

Nachdem Ihr 1.18-Cluster oder höher erstellt wurde, können Sie die Amazon VPC CNI-, CoreDNS- und kube-proxy-Add-ons, die mit Ihrem Cluster bereitgestellt wurden, zu Amazon EKS-Add-Ons migrieren. Weitere Informationen finden Sie unter Amazon EKS-Erweiterungen.

AWS Management Console

Prerequisites

So erstellen Sie Ihren Cluster mit der Konsole

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie Create cluster aus.

  3. Füllen Sie auf der Seite Configure cluster (Cluster konfigurieren) die folgenden Felder aus:

    • Name – Ein eindeutiger Name für Ihren Cluster.

    • Kubernetes-Version – Die Kubernetes-Version, die für den Cluster verwendet wird.

    • Cluster-Service-Rolle – Wählen Sie die Amazon-EKS-Cluster-Rolle aus, damit die Kubernetes-Steuerungsebene AWS-Ressourcen in Ihrem Namen verwalten kann. Weitere Informationen finden Sie unter Amazon-EKS-Cluster-IAM-Rolle.

    • Secrets-Verschlüsselung – (Optional) Aktivieren Sie die Secrets-Verschlüsselung von Kubernetes-Secrets mithilfe eines KMS-Schlüssels. Der KMS-Schlüssel muss symmetrisch sein und in der gleichen Region wie der Cluster erstellt werden. Wenn der KMS-Schlüssel in einem anderen Konto erstellt wurde, muss der Benutzer über einen Zugriff auf den KMS-Schlüssel verfügen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service-Developerhandbuch.

      Wenn keine Schlüssel aufgeführt sind, müssen Sie zuerst einen erstellen. Weitere Informationen finden Sie unter Erstellen von Schlüsseln.

      Anmerkung

      Standardmäßig erstellt der create-key-Befehl einen symmetrischen Schlüssel mit einer Schlüsselrichtlinie, die dem Root-Administrator des Kontos Zugriff auf AWS KMS-Aktionen und -Ressourcen gewährt. Weitere Informationen finden Sie unter Erstellen von Schlüsseln. Wenn Sie die Berechtigungen begrenzen möchten, müssen Sie sicherstellen, dass die Aktionen kms:DescribeKey und kms:CreateGrant für die Richtlinie für den Prinzipal zulässig sind, der die API create-cluster aufrufen wird.

      Amazon EKS unterstützt die Richtlinienbedingung kms:GrantIsForAWSResource nicht. Das Erstellen eines Clusters funktioniert nicht, wenn sich diese Aktion in der KMS-Schlüsselrichtlinienanweisung befindet.

      Warnung

      Durch das Löschen des KMS-Schlüssels wird der Cluster dauerhaft auf einen degradierten Zustand festgelegt. Wenn KMS-Schlüssel, die für die Erstellung von Clustern verwendet werden, für die Löschung eingeplant sind, müssen Sie vor der Löschung sicherstellen, dass dies die beabsichtigte Aktion ist. Wenn der KMS-Schlüssel gelöscht wird, kann der Cluster nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Löschen von AWS-KMS-Schlüsseln.

    • Tags – (Optional) Fügen Sie Ihrem Cluster beliebige Tags hinzu. Weitere Informationen finden Sie unter Kennzeichnen Ihrer Amazon EKS-Ressourcen.

  4. Klicken Sie auf Next (Weiter).

  5. Wählen Sie auf der Seite Specify networking (Netzwerk angeben) die Werte für die folgenden Felder aus:

    • VPC – Wählen Sie eine vorhandene VPC aus, die für Ihren Cluster verwendet werden soll. Wenn keine aufgelistet sind, müssen Sie zuerst eine erstellen. Weitere Informationen finden Sie unter Erstellen einer VPC für Ihren Amazon-EKS-Cluster.

    • Subnetze – Standardmäßig sind die im vorherigen Feld angegebenen Subnetze in der VPC vorausgewählt. Heben Sie die Auswahl jeglichen Subnetzes aus, bei dem Sie keine Clusterressourcen hosten möchten, z. B. Worker-Knoten oder Lastenverteilungen. Die Subnetze müssen die Anforderungen für einen Amazon-EKS-Cluster erfüllen. Weitere Informationen finden Sie unter Überlegungen zur Cluster-VPC.

      Wichtig
      • Wenn Sie Subnetze auswählen, die vor dem 26. März 2020 mit einer der Amazon-EKS–AWS CloudFormationVPC-Vorlagen erstellt wurden, beachten Sie eine Änderung der Standardeinstellungen, die am 26. März 2020 eingeführt wurde. Weitere Informationen finden Sie unter Erstellen einer VPC für Ihren Amazon-EKS-Cluster.

      • Wählen Sie keine Subnetze in den Local Zones AWS Outposts, AWS Wavelength oder AWS aus. Wenn Sie planen, selbstverwaltete Knoten in den Subnetzen der Local Zones AWS Outposts, AWS Wavelength oder AWS bereitzustellen, nachdem Sie Ihren Cluster bereitgestellt haben, stellen Sie sicher, dass Sie Outposts-Subnetze in der von Ihnen ausgewählten VPC haben oder erstellen können.

      Sicherheitsgruppen – Der SecurityGroups-Wert aus der AWS CloudFormation-Ausgabe, die Sie beim Erstellen Ihrer VPC generiert haben. Diese Sicherheitsgruppe hat ControlPlaneSecurityGroup im Dropdown-Namen.

      Wichtig

      Die AWS CloudFormation-Vorlage des Knotens ändert die Sicherheitsgruppe, die Sie hier angeben, daher empfiehlt Amazon EKS, eine spezifische Sicherheitsgruppe für jede Cluster-Steuerebene (eine pro Cluster) zu verwenden. Wenn diese Sicherheitsgruppe mit anderen Ressourcen geteilt wird, können Sie Verbindungen zu diesen Ressourcen blockieren oder unterbrechen.

    • (Optional) Wählen Sie Kubernetes-Dienst-IP-Adressbereich konfigurieren und geben Sie einen Service-IPv4-Bereich an, wenn Sie angeben möchten, aus welchem CIDR-Block Kubernetes Dienst-IP-Adressen zuweist. Der CIDR-Block muss die folgenden Anforderungen erfüllen:

      • Innerhalb eines der folgenden Bereiche: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16.

      • Zwischen /24 und /12.

      • Überschneidet sich nicht mit einem in Ihrer VPC angegebenen CIDR-Block.

      Wir empfehlen, einen CIDR-Block anzugeben, der sich nicht mit anderen Netzwerken überschneidet, die per Peering oder mit Ihrer VPC verbunden sind. Wenn Sie dies nicht aktivieren, weist Kubernetes Service-IP-Adressen aus den CIDR-Blöcken 10.100.0.0/16 oder 172.20.0.0/16 zu.

      Wichtig

      Sie können einen benutzerdefinierten CIDR-Block nur angeben, wenn Sie einen Cluster erstellen und diesen Wert nicht ändern, nachdem der Cluster erstellt wurde.

    • Für Cluster-Endpunktzugriff – Wählen Sie eine der folgenden Optionen aus:

      • Öffentlich – Aktiviert nur öffentlichen Zugriff auf den Kubernetes-API-Server-Endpunkt Ihres Clusters. Kubernetes API-Anforderungen, die von außerhalb der VPC Ihres Clusters stammen, verwenden den öffentlichen Endpunkt. Standardmäßig ist der Zugriff von jeder Quell-IP-Adresse zulässig. Optional können Sie den Zugriff auf einen oder mehrere CIDR-Bereiche wie z. B. 192.168.0.0/16 einschränken, indem Sie Advanced settings (Erweiterte Einstellungen) und dann Add source (Quelle hinzufügen) auswählen.

      • Privat – Aktiviert nur privaten Zugriff auf den Kubernetes-API-Server-Endpunkt Ihres Clusters. Kubernetes-API-Anfragen aus der VPC Ihres Clusters verwenden den privaten VPC-Endpunkt.

        Wichtig

        Wenn Sie eine VPC ohne ausgehenden Internetzugriff erstellt haben, müssen Sie den privaten Zugriff aktivieren.

      • Öffentlich und privat – Ermöglicht öffentlichen und privaten Zugang.

      Weitere Informationen zu den vorherigen Optionen finden Sie unter Ändern des Cluster-Endpunktzugriffs.

  6. Wenn Sie auf der vorherigen Seite Kubernetes-Version 1.17 oder älter ausgewählt haben, fahren Sie mit dem nächsten Schritt fort. Wenn Sie Version 1.18 oder höher ausgewählt haben, können Sie die Standardeinstellungen im Abschnitt Netzwerk-Add-ons akzeptieren, um die Standardversion der AWS-VPC-CNI-, CoreDNS- und kube-proxy-Amazon EKS-Add-ons zu installieren, oder Sie können eine andere Version auswählen. Wenn Sie die Funktionalität eines der Add-ons nicht benötigen, können Sie sie entfernen, sobald Ihr Cluster erstellt wurde.

    Sie können Amazon-EKS-Add-ons nur mit Clustern der Version 1.18 oder höher verwenden, da Amazon-EKS-Add-ons die serverseitige Funktion Kubernetes anwenden erfordern, die bis Kubernetes 1.18 nicht verfügbar war. Wenn Sie für Ihren Cluster eine andere Kubernetes-Version ausgewählt haben, wird diese Option nicht angezeigt.

    Wichtig

    Das AWS-VPC-CNI-Add-on ist so konfiguriert, dass es die IAM-Berechtigungen verwendet, die dem Amazon-EKS-Knoten-IAM-Rolle. Nachdem der Cluster erstellt wurde, aber bevor Sie Amazon EC2-Knoten in Ihrem Cluster bereitstellen, müssen Sie sicherstellen, dass die AmazonEKS_CNI_Policy-IAM-Richtlinie entweder der Knoten-IAM-Rolle oder einer anderen Rolle zugeordnet ist, die dem Kubernetes-Dienstkonto zugeordnet ist, das das Add- auf Läufen als. Wir empfehlen, dass Sie die Richtlinie einer anderen IAM-Rolle als der Knoten-IAM-Rolle zuweisen, indem Sie die Anweisungen in Konfigurieren des Amazon-VPC-CNI-Plug-Ins zur Verwendung von IAM-Rollen für Servicekonten ausführen. Sobald Ihr Cluster und Ihre IAM-Rolle erstellt wurden, können Sie das Add-On aktualisieren, um die von Ihnen erstellte IAM-Rolle zu verwenden.

  7. Klicken Sie auf Next (Weiter).

  8. Auf der Seite Configure logging (Protokollierung konfigurieren) können Sie optional auswählen, welche Protokolltypen Sie aktivieren möchten. Standardmäßig ist jeder Protokolltyp Deactivated (Deaktiviert). Weitere Informationen finden Sie unter Amazon-EKS-Steuerebenen-Protokollierung.

  9. Klicken Sie auf Next (Weiter).

  10. Überprüfen Sie auf der Seite Review and create (Überprüfen und erstellen) die Informationen, die Sie auf den vorherigen Seiten eingegeben oder ausgewählt haben. Wählen Sie Edit (Bearbeiten) aus, wenn Sie Änderungen an Ihrer Auswahl vornehmen müssen. Wenn Sie mit Ihren Einstellungen zufrieden sind, wählen Sie Create (Erstellen) aus. Im Feld Status wird CREATING (WIRD ERSTELLT) angezeigt, bis die Cluster-Bereitstellung abgeschlossen ist.

    Anmerkung

    Sie erhalten möglicherweise eine Fehlermeldung, dass eine der Availability Zones in Ihrer Anfrage nicht über genügend Kapazität zum Erstellen eines Amazon-EKS-Clusters verfügt. Wenn dies der Fall ist, enthält die Fehlerausgabe die Availability Zones, die einen neuen Cluster unterstützen können. Versuchen Sie, Ihren Cluster mit mindestens zwei Subnetzen erneut zu erstellen, die sich in den unterstützten Availability Zones für Ihr Konto befinden. Weitere Informationen finden Sie unter Unzureichende Kapazität.

    Die Clusterbereitstellung dauert mehrere Minuten.

  11. Befolgen Sie die Anleitungen unter Erstellen Sie ein kubeconfig für Amazon EKS, um die Kommunikation mit Ihrem neuen Cluster zu ermöglichen.

  12. (Optional) Um einige Amazon-EKS-Add-ons zu verwenden oder einzelne Kubernetes-Workloads mit bestimmten IAM-Berechtigungen zu versehen, müssen Sie einen OpenID Connect-(OIDC)-Anbieter für Ihren Cluster aktivieren. Informationen zum Konfigurieren eines OIDC-Anbieters für Ihren Cluster finden Sie unter Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster. Sie müssen einen OIDC-Anbieter für Ihren Cluster nur einmal aktivieren. Weitere Informationen zu Amazon EKS-Add-Ons finden Sie unter Amazon EKS-Erweiterungen. Weitere Informationen zum Zuweisen bestimmter IAM-Berechtigungen zu Ihren Workloads finden Sie unter Technische Übersicht.

  13. Wenn Sie Amazon EC2-Knoten in Ihrem Cluster bereitstellen möchten, müssen Sie die verwaltete AmazonEKS_CNI_Policy-IAM-Richtlinie entweder an Ihre Cluster-IAM-Rolle oder an eine IAM-Rolle anhängen, die Sie speziell für das Amazon VPC CNI-Add-On erstellen. Weitere Informationen zum Erstellen der Rolle und zum Konfigurieren des Add-Ons für dessen Verwendung finden Sie unter Konfigurieren des Amazon-VPC-CNI-Plug-Ins zur Verwendung von IAM-Rollen für Servicekonten.

AWS CLI

Prerequisites

So erstellen Sie einen Cluster mit der AWS CLI

  1. Erstellen Sie den Cluster mit dem folgenden Befehl. Ersetzen Sie den Amazon-Ressourcennamen (ARN) Ihrer Amazon EKS-Cluster-IAM-Rolle, die Sie in Amazon-EKS-Cluster-IAM-Rolle erstellt haben, und die Subnetz- und Sicherheitsgruppen-IDs für die VPC, die Sie in Erstellen einer VPC für Ihren Amazon-EKS-Cluster erstellt haben. Ersetzen Sie <my-cluster> (einschließlich <>) durch Ihren Clusternamen und <region-code> durch eine unterstützte Region. Sie können <1.21> durch jede unterstützte Version ersetzen.

    Geben Sie für subnetIds keine Subnetze in den Local Zones AWS Outposts, AWS Wavelength oder AWS an. Wenn Sie planen, selbstverwaltete Knoten in den Subnetzen der Local Zones AWS Outposts, AWS Wavelength oder AWS bereitzustellen, nachdem Sie Ihren Cluster bereitgestellt haben, stellen Sie sicher, dass Sie Outposts-Subnetze in der von Ihnen anegebenen VPC haben oder erstellen können.

    aws eks create-cluster \ --region <region-code> \ --name <my-cluster> \ --kubernetes-version <1.21> \ --role-arn <arn:aws:iam::111122223333:role/eks-service-role-AWSServiceRoleForAmazonEKS-EXAMPLEBKZRQR> \ --resources-vpc-config subnetIds=<subnet-a9189fe2>,<subnet-50432629>,securityGroupIds=<sg-f5c54184>
    Anmerkung

    Wenn Ihr IAM-Benutzer nicht über Administratorberechtigungen verfügt, müssen Sie die Berechtigungen für diesen Benutzer zum Aufrufen der Amazon-EKS-API-Operationen explizit hinzufügen. Weitere Informationen finden Sie unter Beispiele für identitätsbasierte Amazon-EKS-Richtlinien.

    Ausgabe:

    { "cluster": { "name": "<my-cluster>", "arn": "arn:aws:eks:<region-code>:<111122223333>:cluster/<my-cluster>", "createdAt": <1527785885.159>, "version": "<1.21>", "roleArn": "arn:aws:iam::<111122223333>:role/eks-service-role-AWSServiceRoleForAmazonEKS-<AFNL4H8HB71F>", "resourcesVpcConfig": { "subnetIds": [ "<subnet-a9189fe2>", "<subnet-50432629>" ], "securityGroupIds": [ "<sg-f5c54184>" ], "vpcId": "<vpc-a54041dc>", "endpointPublicAccess": true, "endpointPrivateAccess": false }, "status": "CREATING", "certificateAuthority": {} } }
    Anmerkung

    Sie erhalten möglicherweise eine Fehlermeldung, dass eine der Availability Zones in Ihrer Anfrage nicht über genügend Kapazität zum Erstellen eines Amazon-EKS-Clusters verfügt. Wenn dies der Fall ist, enthält die Fehlerausgabe die Availability Zones, die einen neuen Cluster unterstützen können. Versuchen Sie, Ihren Cluster mit mindestens zwei Subnetzen erneut zu erstellen, die sich in den unterstützten Availability Zones für Ihr Konto befinden. Weitere Informationen finden Sie unter Unzureichende Kapazität.

    Um die Kubernetes-Secrets zu verschlüsseln, erstellen Sie zunächst einen KMS-Schlüssel mit dem create-key-Vorgang.

    MY_KEY_ARN=$(aws kms create-key --query KeyMetadata.Arn —-output text)
    Anmerkung

    Standardmäßig erstellt der Befehl create-key einen symmetrischen Schlüssel mit einer Schlüsselrichtlinie, die dem Stammbenutzeradministrator des Kontos Zugriff auf AWS KMS-Aktionen und -Ressourcen gewährt. Weitere Informationen finden Sie unter Erstellen von Schlüsseln. Wenn Sie die Berechtigungen begrenzen möchten, müssen Sie sicherstellen, dass die Aktionen kms:DescribeKey und kms:CreateGrant für die Richtlinie für den Prinzipal zulässig sind, der die API create-cluster aufrufen wird.

    Amazon EKS unterstützt die Richtlinienbedingung kms:GrantIsForAWSResource nicht. Das Erstellen eines Clusters funktioniert nicht, wenn sich diese Aktion in der KMS-Schlüsselrichtlinienanweisung befindet.

    Fügen Sie dem --encryption-config-Befehl den aws eks create-cluster-Parameter hinzu. Die Verschlüsselung von Kubernetes-Secretes kann nur bei der Erstellung des Clusters aktiviert werden.

    --encryption-config '[{"resources":["secrets"],"provider":{"keyArn":"<$MY_KEY_ARN>"}}]'

    Das keyArn-Mitglied kann entweder den Alias oder den ARN Ihres KMS-Schlüssels enthalten. Der KMS-Schlüssel muss symmetrisch sein und in der gleichen Region wie der Cluster erstellt werden. Wenn der KMS-Schlüssel in einem anderen Konto erstellt wurde, muss der Benutzer über einen Zugriff auf den KMS-Schlüssel verfügen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service-Developerhandbuch.

    Warnung

    Durch das Löschen des KMS-Schlüssels wird der Cluster dauerhaft auf einen degradierten Zustand festgelegt. Wenn KMS-Schlüssel, die für die Erstellung von Clustern verwendet werden, für die Löschung eingeplant sind, müssen Sie vor der Löschung sicherstellen, dass dies die beabsichtigte Aktion ist. Wenn der KMS-Schlüssel gelöscht wird, kann der Cluster nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Löschen von AWS-KMS-Schlüsseln.

  2. Die Clusterbereitstellung dauert mehrere Minuten. Sie können den Status Ihres Clusters mit dem folgenden Befehl überprüfen. Wenn Ihr Cluster-Status ACTIVE ist, können Sie fortfahren.

    aws eks describe-cluster \ --region <region-code> \ --name <my-cluster> \ --query "cluster.status"
  3. Wenn Ihre Cluster-Bereitstellung abgeschlossen ist, rufen Sie die Werte endpoint und certificateAuthority.data mit den folgenden Befehlen ab. Sie müssen diese Werte zu Ihrer kubectl-Konfiguration hinzufügen, sodass Sie mit Ihrem Cluster kommunizieren können.

    1. Rufen Sie den endpoint ab.

      aws eks describe-cluster \ --region <region-code> \ --name <my-cluster> \ --query "cluster.endpoint" \ --output text
    2. Rufen Sie den certificateAuthority.data ab.

      aws eks describe-cluster \ --region <region-code> \ --name <my-cluster> \ --query "cluster.certificateAuthority.data" \ --output text
  4. Befolgen Sie die Anleitungen unter Erstellen Sie ein kubeconfig für Amazon EKS, um die Kommunikation mit Ihrem neuen Cluster zu ermöglichen.

  5. (Optional) Um Amazon-EKS-Add-ons zu verwenden oder einzelne Kubernetes-Workloads mit bestimmten IAM-Berechtigungen zu versehen, müssen Sie einen Open-Connect-(OIDC)-Anbieter für Ihren Cluster aktivieren. Informationen zum Konfigurieren eines OIDC-Anbieters für Ihren Cluster finden Sie unter Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster. Sie müssen einen OIDC-Anbieter für Ihren Cluster nur einmal aktivieren. Weitere Informationen zu Amazon EKS-Add-Ons finden Sie unter Amazon EKS-Erweiterungen. Weitere Informationen zum Zuweisen bestimmter IAM-Berechtigungen zu Ihren Workloads finden Sie unter Technische Übersicht.

  6. Wenn Sie Amazon EC2-Knoten in Ihrem Cluster bereitstellen möchten, müssen Sie die verwaltete AmazonEKS_CNI_Policy-IAM-Richtlinie entweder an Ihre Cluster-IAM-Rolle oder an eine IAM-Rolle anhängen, die Sie speziell für das Amazon VPC CNI-Add-On erstellen. Weitere Informationen zum Erstellen der Rolle und zum Konfigurieren des Add-Ons für dessen Verwendung finden Sie unter Konfigurieren des Amazon-VPC-CNI-Plug-Ins zur Verwendung von IAM-Rollen für Servicekonten.

  7. (Optional) Wenn Sie einen 1.18-Cluster oder höher erstellt haben, können Sie die Amazon-VPC-CNI-, CoreDNS- und kube-proxy-Add-Ons, die mit Ihrem Cluster bereitgestellt wurden, zu Amazon-EKS-Add-Ons migrieren. Weitere Informationen finden Sie unter Amazon EKS-Erweiterungen.