Erstellen eines Amazon-EKS-Clusters

Dieses Thema bietet einen Überblick über die verfügbaren Optionen und beschreibt, was zu beachten ist, wenn Sie einen Amazon-EKS-Cluster erstellen. Informationen zum Erstellen eines Clusters auf einem AWS Outpost finden Sie unterLokale Cluster für Amazon EKS auf AWS Outposts. Wenn Sie zum ersten Mal einen Amazon-EKS-Cluster erstellen, empfehlen wir, entsprechend unseren Erste Schritte mit Amazon EKS-Leitfäden vorzugehen. Diese Leitfäden helfen, einen einfachen Standard-Cluster zu erstellen, ohne auf alle verfügbaren Optionen einzugehen.

Voraussetzungen

• Eine vorhandene VPC und Subnetze, die die Amazon-EKS-Anforderungen erfüllen. Bevor Sie einen Cluster für den Produktionseinsatz bereitstellen, empfehlen wir, dass Sie sich ein umfassendes Verständnis der VPC- und Subnetzanforderungen aneignen. Wenn Sie keine VPC und keine Subnetze haben, können Sie diese mithilfe einer von Amazon EKS bereitgestellten AWS CloudFormation Vorlage erstellen.

• Das kubectl-Befehlszeilen-Tool ist auf Ihrem Gerät oder in der AWS CloudShell installiert. Die Version kann der Kubernetes-Version Ihres Clusters entsprechen oder eine Nebenversion älter oder neuer sein. Wenn Ihre Clusterversion beispielsweise 1.29 ist, können Sie kubectl-Version 1.28, 1.29, oder 1.30 damit verwenden. Informationen zum Installieren oder Aktualisieren von kubectl finden Sie unter Installieren oder Aktualisieren von kubectl.

• Version 2.12.3 oder höher oder Version 1.27.160 oder höher von AWS Command Line Interface (AWS CLI), die auf Ihrem Gerät installiert und konfiguriert ist, oder. AWS CloudShell Um Ihre aktuelle Version zu überprüfen, verwenden Sie aws --version | cut -d / -f2 | cut -d ' ' -f1. Paket-Manager wie yum, apt-get oder Homebrew für macOS sind oft mehrere Versionen hinter der neuesten Version von AWS CLI. Informationen zur Installation der neuesten Version von finden Sie unter Installation, Aktualisierung und Deinstallation der AWS CLI und Schnellkonfiguration mit aws configure im AWS Command Line Interface -Benutzerhandbuch. Die AWS CLI Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie unter Installation AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell Benutzerhandbuch.

• Ein IAM-Prinzipal mit Berechtigungen für das create und describe eines Amazon-EKS-Clusters. Weitere Informationen finden Sie unter Erstellen Sie einen lokalen Kubernetes-Cluster auf einem Outpost und Auflisten oder Beschreiben aller Cluster.

Einen Amazon-EKS-Cluster erstellen

1. Wenn Sie bereits eine Cluster-IAM-Rolle haben oder Ihren Cluster mit eksctl erstellen, können Sie diesen Schritt überspringen. Standardmäßig erstellt eksctl eine Rolle für Sie.

   Eine IAM-Rolle für einen Amazon-EKS-Cluster erstellen

   1. Führen Sie den folgenden Befehl aus, um eine JSON-Datei für eine IAM-Vertrauensrichtlinie zu erstellen.

      cat >eks-cluster-role-trust-policy.json <<EOF
      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "eks.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      EOF
      

   2. Erstellen Sie die Amazon-EKS-Cluster-IAM-Rolle. Falls erforderlich, stellen Sie dem Pfad auf Ihrem Computer, in den Sie im vorherigen Schritt die Datei geschrieben haben, eks-cluster-role-trust-policy.json voran. Der Befehl verknüpft die im vorherigen Schritt erstellte Vertrauensrichtlinie mit der Rolle. Um eine IAM-Rolle zu erstellen, muss dem IAM-Prinzipal, der die Rolle erstellt, die iam:CreateRole-Aktion (Berechtigung) zugewiesen werden.

      aws iam create-role --role-name myAmazonEKSClusterRole --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"
      

   3. Sie können entweder die von Amazon EKS verwaltete Richtlinie zuweisen oder Ihre eigene benutzerdefinierte Richtlinie erstellen. Informationen zu den Mindestberechtigungen, die Sie in Ihrer benutzerdefinierten Richtlinie verwenden müssen, finden Sie unter Amazon-EKS-Cluster-IAM-Rolle.

      Hängen Sie die von Amazon EKS verwaltete Richtlinie AmazonEKSClusterPolicy an die Rolle an. Um eine IAM-Richtlinie an einen IAM-Prinzipal anzuhängen, muss der Prinzipal, der die Richtlinie anhängt, eine der folgenden IAM-Aktionen (Berechtigungen) zugewiesen werden: iam:AttachUserPolicy oder iam:AttachRolePolicy.

      aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy --role-name myAmazonEKSClusterRole
      

2. Erstellen Sie einen Amazon-EKS-Cluster.

   Sie können einen Cluster erstelleneksctl, indem Sie AWS Management Console, die oder die verwenden AWS CLI.

   eksctl

   Voraussetzung

   Version 0.183.0 oder höher des eksctl-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von eksctl finden Sie in der Dokumentation zu eksctl unter Installation.

   Um Ihren Cluster zu erstellen

   Erstellen Sie einen Amazon-EKS-IPv4-Cluster mit der standardmäßigen Amazon-EKS-Kubernetes-Version in Ihrer Standard- AWS-Region. Nehmen Sie vor der Ausführung des Befehls die folgenden Ersetzungen vor:

   • region-codeErsetzen Sie es durch AWS-Region das, in dem Sie Ihren Cluster erstellen möchten.

   • Ersetzen Sie my-cluster durch Ihren Cluster-Namen. Der Name darf nur alphanumerische Zeichen (wobei die Groß- und Kleinschreibung beachtet werden muss) und Bindestriche enthalten. Es muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb des AWS-Region und AWS-Konto , in dem Sie den Cluster erstellen, eindeutig sein.

   • Ersetzen Sie 1.29 durch eine von Amazon EKS unterstützte Version.

     Anmerkung

     Um zu diesem Zeitpunkt einen 1.30-Cluster bereitzustellen, müssen Sie den AWS Management Console oder den AWS CLI verwenden.

   • Ändern Sie die Werte für vpc-private-subnets, um Ihre Anforderungen zu erfüllen. Sie können auch zusätzliche IDs hinzufügen. Sie müssen mindestens zwei Subnetz-IDs angeben. Wenn Sie lieber öffentliche Subnetze angeben möchten, können Sie --vpc-private-subnets auf --vpc-public-subnets ändern. Öffentliche Subnetze verfügen über eine zugeordnete Routing-Tabelle mit einer Route zu einem Internet-Gateway, private Subnetze verfügen nicht über eine zugeordnete Routing-Tabelle. Wir empfehlen, nach Möglichkeit private Subnetze zu verwenden.

     Die von Ihnen gewählten Subnetze müssen die Anforderungen für Amazon-EKS-Subnetze erfüllen. Bevor Sie Subnetze auswählen, empfehlen wir, dass Sie sich mit allen Anforderungen und Überlegungen für Amazon EKS VPC und Subnetze vertraut machen.

   eksctl create cluster --name my-cluster --region region-code --version 1.29 --vpc-private-subnets subnet-ExampleID1,subnet-ExampleID2 --without-nodegroup
   

   Die Clusterbereitstellung dauert mehrere Minuten. Während der Cluster erstellt wird, werden mehrere Ausgabezeilen angezeigt. Die letzte Ausgabezeile ähnelt der folgenden Beispielzeile.

   [✓]  EKS cluster "my-cluster" in "region-code" region is ready

   Tipp

   Sie können die meisten Optionen, die beim Erstellen eines Clusters mit eksctl angegeben werden können, über den Befehl eksctl create cluster --help anzeigen. Verwenden Sie eine config-Datei, um alle verfügbaren Optionen anzuzeigen. Weitere Informationen finden Sie unter Verwenden von Config-Dateien und im Config-Datei-Schema in der eksctl-Dokumentation. Auf GitHub finden Sie Beispiele für Config-Dateien.

   Optionale Einstellungen

   Im Folgenden finden Sie optionale Einstellungen, die bei Bedarf dem vorherigen Befehl hinzugefügt werden müssen. Sie können diese Optionen nur aktivieren, wenn Sie den Cluster erstellen, nicht danach. Wenn Sie diese Optionen angeben müssen, müssen Sie den Cluster mit einer eksctl-Konfigurationsdatei erstellen und die Einstellungen angeben, anstatt den vorherigen Befehl zu verwenden.

   • Wenn Sie eine oder mehrere Sicherheitsgruppen angeben möchten, die Amazon EKS den erstellten Netzwerkschnittstellen zuweist, geben Sie die Option securityGroup an.

     Unabhängig davon, ob Sie Sicherheitsgruppen wählen oder nicht, erstellt Amazon EKS eine Sicherheitsgruppe, die die Kommunikation zwischen Ihrem Cluster und Ihrer VPC ermöglicht. Amazon EKS verknüpft diese Sicherheitsgruppe und alle, die Sie wählen, mit den erstellten Netzwerkschnittstellen. Weitere Informationen zu der Cluster-Sicherheitsgruppe, die Amazon EKS erstellt, finden Sie unter Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe. Sie können die Regeln in der von Amazon EKS erstellten Cluster-Sicherheitsgruppe ändern.

   • Wenn Sie angeben möchten welchem IPv4 CIDR-Block (Classless Inter-Domain Routing) Kubernetes Service-IP-Adressen zuweist, geben Sie die Option serviceIPv4CIDR an.

     Die Angabe eines eigenen Bereichs kann helfen, Konflikte zwischen Kubernetes-Services und anderen Netzwerken zu vermeiden, die mit Ihrer VPC verbunden sind. Geben Sie einen Bereich in CIDR-Notation ein. Beispiel: 10.2.0.0/16.

     Der CIDR-Block muss die folgenden Anforderungen erfüllen:

     • Verwendet einen der folgenden Bereiche: 10.0.0.0/8, 172.16.0.0/12, oder 192.168.0.0/16.

     • Hat eine Mindestgröße von /24 und eine maximale Größe von /12.

     • Überschneidet sich nicht mit dem Bereich der VPC für Ihre Amazon-EKS-Ressourcen.

     Sie können diese Option nur angeben, wenn Sie die IPv4-Adressfamilie verwenden, und nur bei Erstellen des Clusters. Wenn Sie dies nicht angeben, weist Kubernetes Service-IP-Adressen aus dem CIDR-Block 10.100.0.0/16 oder 172.20.0.0/16 zu.

   • Wenn Sie einen Cluster erstellen und der Cluster Pods und Services IPv6-Adressen statt IPv4-Adressen zuweisen soll, geben Sie die Option ipFamily an.

     Standardmäßig weist Kubernetes Ihren Pods und Services IPv4-Adressen zu. Bevor Sie sich entscheiden, die IPv6-Familie zu verwenden, stellen Sie sicher, dass Sie mit allen Überlegungen und Anforderungen in den Themen VPC-Anforderungen und -Überlegungen, Subnetz-Anforderungen und -Überlegungen, Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe, und IPv6Adressen für ClusterPods, und services vertraut sind. Wenn Sie die IPv6-Familie verwenden, können Sie keinen Adressbereich für Kubernetes angeben, um IPv6-Serviceadressen zuzuweisen, wie Sie dies für die IPv4-Familie können. Kubernetes weist Serviceadressen aus dem eindeutigen lokalen Adressbereich zu (fc00::/7).

   AWS Management Console

   Um Ihren Cluster zu erstellen

   1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

   2. Wählen Sie Cluster hinzufügen und dann Erstellen aus.

   3. Füllen Sie auf der Seite Configure cluster (Cluster konfigurieren) die folgenden Felder aus:

      • Name – Ein Name für Ihren Cluster. Der Name darf nur alphanumerische Zeichen (Groß- und Kleinschreibung beachten), Bindestriche und Unterstriche enthalten. Er muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb des AWS-Region und AWS-Konto , in dem Sie den Cluster erstellen, eindeutig sein.

      • Kubernetes-Version – Die Kubernetes-Version, die für den Cluster verwendet wird. Wir empfehlen, die frühere Version auszuwählen, es sei denn, Sie benötigen eine ältere Version.

      • Cluster-Servicerolle — Wählen Sie die Amazon EKS-Cluster-IAM-Rolle aus, die Sie erstellt haben, damit die Kubernetes Kontrollebene AWS Ressourcen in Ihrem Namen verwalten kann.

      • Secrets-Verschlüsselung – (Optional) Aktivieren Sie die Secrets-Verschlüsselung von Kubernetes-Secrets mithilfe eines KMS-Schlüssels. Sie können diese auch aktivieren, nachdem Sie Ihren Cluster erstellt haben. Stellen Sie vor Aktivierung dieser Funktion sicher, dass Sie mit den Informationen in Aktivieren der Secret-Verschlüsselung in einem vorhandenen Cluster vertraut sind.

      • Tags – (Optional) Fügen Sie Ihrem Cluster beliebige Tags hinzu. Weitere Informationen finden Sie unter Kennzeichnen Ihrer Amazon EKS-Ressourcen .

        Wenn Sie mit dieser Seite fertig sind, wählen Sie Weiter aus.

   4. Wählen Sie auf der Seite Specify networking (Netzwerk angeben) die Werte für die folgenden Felder aus:

      • VPC – Wählen Sie eine vorhandene VPC aus, die die Anforderungen für Amazon EKS VPC erfüllt, um Ihren Cluster zu erstellen. Bevor Sie sich für eine VPC entscheiden, empfehlen wir, sich mit allen Anforderungen und Überlegungen in Amazon EKS: VPC- und Subnetz-Anforderungen und -Überlegungen vertraut zu machen. Sie können nach der Cluster-Erstellung nicht mehr ändern, welche VPC Sie verwenden möchten. Wenn keine VPCs aufgelistet sind, müssen Sie zuerst eine erstellen. Weitere Informationen finden Sie unter Erstellen einer VPC für Ihren Amazon-EKS-Cluster.

      • Subnetze – Standardmäßig sind alle im vorherigen Feld angegebenen Subnetze in der VPC vorausgewählt. Sie müssen mindestens zwei auswählen.

        Die von Ihnen gewählten Subnetze müssen die Anforderungen für Amazon-EKS-Subnetze erfüllen. Bevor Sie Subnetze auswählen, empfehlen wir, dass Sie sich mit allen Anforderungen und Überlegungen für Amazon EKS VPC und Subnetze vertraut machen.

        Security groups (Sicherheitsgruppen) – (Optional) Geben Sie eine oder mehrere Sicherheitsgruppen an, die Amazon EKS den erstellten Netzwerkschnittstellen zuordnen soll.

        Unabhängig davon, ob Sie Sicherheitsgruppen wählen oder nicht, erstellt Amazon EKS eine Sicherheitsgruppe, die die Kommunikation zwischen Ihrem Cluster und Ihrer VPC ermöglicht. Amazon EKS verknüpft diese Sicherheitsgruppe und alle, die Sie wählen, mit den erstellten Netzwerkschnittstellen. Weitere Informationen zu der Cluster-Sicherheitsgruppe, die Amazon EKS erstellt, finden Sie unter Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe. Sie können die Regeln in der von Amazon EKS erstellten Cluster-Sicherheitsgruppe ändern.

      • Cluster-IP-Adressfamilie auswählen – Sie können zwischen IPv4 und IPv6 wählen.

        Standardmäßig weist Kubernetes Ihren Pods und Services IPv4-Adressen zu. Bevor Sie sich entscheiden, die IPv6-Familie zu verwenden, stellen Sie sicher, dass Sie mit allen Überlegungen und Anforderungen in den Themen VPC-Anforderungen und -Überlegungen, Subnetz-Anforderungen und -Überlegungen, Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe, und IPv6Adressen für ClusterPods, und services vertraut sind. Wenn Sie die IPv6-Familie verwenden, können Sie keinen Adressbereich für Kubernetes angeben, um IPv6-Serviceadressen zuzuweisen, wie Sie dies für die IPv4-Familie können. Kubernetes weist Serviceadressen aus dem eindeutigen lokalen Adressbereich zu (fc00::/7).

      • (Optional) Wählen Sie Configure Kubernetes Service IP address range (Konfigurieren des IP-Adressbereichs des -Service) und geben Sie einen Service IPv4 range (-Bereich für den Service) an.

        Die Angabe eines eigenen Bereichs kann helfen, Konflikte zwischen Kubernetes-Services und anderen Netzwerken zu vermeiden, die mit Ihrer VPC verbunden sind. Geben Sie einen Bereich in CIDR-Notation ein. Beispiel: 10.2.0.0/16.

        Der CIDR-Block muss die folgenden Anforderungen erfüllen:

        • Verwendet einen der folgenden Bereiche: 10.0.0.0/8, 172.16.0.0/12, oder 192.168.0.0/16.

        • Hat eine Mindestgröße von /24 und eine maximale Größe von /12.

        • Überschneidet sich nicht mit dem Bereich der VPC für Ihre Amazon-EKS-Ressourcen.

        Sie können diese Option nur angeben, wenn Sie die IPv4-Adressfamilie verwenden, und nur bei Erstellen des Clusters. Wenn Sie dies nicht angeben, weist Kubernetes Service-IP-Adressen aus dem CIDR-Block 10.100.0.0/16 oder 172.20.0.0/16 zu.

      • Wählen Sie eine Option für den Cluster-Endpunktzugriff aus. Nachdem Ihr Cluster erstellt wurde, können Sie diese Option ändern. Bevor Sie eine nicht standardmäßige Option auswählen, sollten Sie sich mit den Optionen und deren Auswirkungen vertraut machen. Weitere Informationen finden Sie unter Zugriffskontrolle für den Amazon-EKS-Cluster-Endpunkt.

        Wenn Sie mit dieser Seite fertig sind, wählen Sie Weiter aus.

   5. (Optional) Auf der Seite Beobachtbarkeit konfigurieren können Sie Metriken und Optionen zur Steuerebenen-Protokollierung aktivieren. Standardmäßig sind alle Protokollierungstypen deaktiviert.

      • Weiteren Informationen zur Prometheus-Metrik-Option finden Sie unter Aktivieren von Prometheus-Metriken beim Erstellen eines Clusters.

      • Weitere Informationen zu den Optionen für die Steuerebenen-Protokollierung finden Sie unter Amazon-EKS-Steuerebenen-Protokollierung.

      Wenn Sie mit dieser Seite fertig sind, wählen Sie Weiter aus.

   6. Wählen Sie auf der Seite Select add-ons (Add-Ons auswählen) die Add-Ons aus, die Sie Ihrem Cluster hinzufügen möchten. Sie können beliebig viele Add-ons vom Typ Amazon EKS und AWS Marketplace Add-ons auswählen. Wenn die AWS Marketplace -Add-ons, die Sie installieren möchten, nicht aufgeführt sind, können Sie nach verfügbaren AWS Marketplace -Add-ons suchen, indem Sie Text in das Suchfeld eingeben. Sie können auch nach category (Kategorie), vendor (Anbieter) oder pricing model (Preismodell) suchen und dann die Add-Ons aus den Suchergebnissen auswählen. Wenn Sie mit dieser Seite fertig sind, wählen Sie Weiter aus.

   7. Wählen Sie auf der Seite Einstellungen für ausgewählte Add-ons konfigurieren die Version aus, die Sie installieren möchten. Sie können nach der Clustererstellung jederzeit auf eine neuere Version aktualisieren. Sie können die Konfiguration jedes Add-Ons nach der Cluster-Erstellung aktualisieren. Weitere Informationen zum Konfigurieren eines Add-Ons finden Sie unter Aktualisieren eines Add-Ons. Wenn Sie mit dieser Seite fertig sind, wählen Sie Weiter aus.

   8. Überprüfen Sie auf der Seite Review and create (Überprüfen und erstellen) die Informationen, die Sie auf den vorherigen Seiten eingegeben oder ausgewählt haben. Wenn Sie Änderungen vornehmen müssen, wählen Sie Edit (Bearbeiten). Wenn Sie zufrieden sind, klicken Sie auf Create app (Anwendung erstellen). Das Feld Status zeigt CREATING (WIRD ERSTELLT) an, während der Cluster bereitgestellt wird.

      Anmerkung

      Sie erhalten möglicherweise eine Fehlermeldung, dass eine der Availability Zones in Ihrer Anfrage nicht über genügend Kapazität zum Erstellen eines Amazon-EKS-Clusters verfügt. Wenn dies der Fall ist, enthält die Fehlerausgabe die Availability Zones, die einen neuen Cluster unterstützen können. Versuchen Sie, Ihren Cluster mit mindestens zwei Subnetzen erneut zu erstellen, die sich in den unterstützten Availability Zones für Ihr Konto befinden. Weitere Informationen finden Sie unter Unzureichende Kapazität.

      Die Clusterbereitstellung dauert mehrere Minuten.

   AWS CLI

   Um Ihren Cluster zu erstellen

   1. Erstellen Sie den Cluster mit dem folgenden Befehl. Nehmen Sie vor der Ausführung des Befehls die folgenden Ersetzungen vor:

      • region-codeErsetzen Sie es durch AWS-Region das, in dem Sie Ihren Cluster erstellen möchten.

      • Ersetzen Sie my-cluster durch Ihren Cluster-Namen. Der Name darf nur alphanumerische Zeichen (Groß- und Kleinschreibung beachten), Bindestriche und Unterstriche enthalten. Er muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb des AWS-Region und AWS-Konto , in dem Sie den Cluster erstellen, eindeutig sein.

      • Ersetzen Sie 1.30 durch eine von Amazon EKS unterstützte Version.

      • Ersetzen Sie 111122223333 durch Ihre Konto-ID und myAmazonEKSClusterRole durch den Namen Ihres IAM-Rollen-Clusters.

      • Ersetzen Sie subnetIds durch Ihre eigenen Werte. Sie können auch zusätzliche IDs hinzufügen. Sie müssen mindestens zwei Subnetz-IDs angeben.

        Die von Ihnen gewählten Subnetze müssen die Anforderungen für Amazon-EKS-Subnetze erfüllen. Bevor Sie Subnetze auswählen, empfehlen wir, dass Sie sich mit allen Anforderungen und Überlegungen für Amazon EKS VPC und Subnetze vertraut machen.

      • Wenn Sie keine Sicherheitsgruppen-ID angeben möchten, entfernen Sie ,securityGroupIds=sg-ExampleID1 aus dem Befehl. Wenn Sie eine oder mehrere Sicherheitsgruppen-IDs angeben möchten, ersetzen Sie die Werte für securityGroupIds durch Ihre eigenen Werte. Sie können auch zusätzliche IDs hinzufügen.

        Unabhängig davon, ob Sie Sicherheitsgruppen wählen oder nicht, erstellt Amazon EKS eine Sicherheitsgruppe, die die Kommunikation zwischen Ihrem Cluster und Ihrer VPC ermöglicht. Amazon EKS verknüpft diese Sicherheitsgruppe und alle, die Sie wählen, mit den erstellten Netzwerkschnittstellen. Weitere Informationen zu der Cluster-Sicherheitsgruppe, die Amazon EKS erstellt, finden Sie unter Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe. Sie können die Regeln in der von Amazon EKS erstellten Cluster-Sicherheitsgruppe ändern.

      aws eks create-cluster --region region-code --name my-cluster --kubernetes-version 1.30 \
         --role-arn arn:aws:iam::111122223333:role/myAmazonEKSClusterRole \
         --resources-vpc-config subnetIds=subnet-ExampleID1,subnet-ExampleID2,securityGroupIds=sg-ExampleID1
      

      Anmerkung

      Sie erhalten möglicherweise eine Fehlermeldung, dass eine der Availability Zones in Ihrer Anfrage nicht über genügend Kapazität zum Erstellen eines Amazon-EKS-Clusters verfügt. Wenn dies der Fall ist, enthält die Fehlerausgabe die Availability Zones, die einen neuen Cluster unterstützen können. Versuchen Sie, Ihren Cluster mit mindestens zwei Subnetzen erneut zu erstellen, die sich in den unterstützten Availability Zones für Ihr Konto befinden. Weitere Informationen finden Sie unter Unzureichende Kapazität.

      Optionale Einstellungen

      Im Folgenden finden Sie optionale Einstellungen, die bei Bedarf dem vorherigen Befehl hinzugefügt werden müssen. Sie können diese Optionen nur aktivieren, wenn Sie den Cluster erstellen, nicht danach.

      • Wenn Sie angeben möchten welchem IPv4 CIDR-Block (Classless Inter-Domain Routing) Kubernetes Service-IP-Adressen zuweist, geben Sie die Option --kubernetes-network-config serviceIpv4Cidr=CIDR block für den folgenden Befehl an.

        Die Angabe eines eigenen Bereichs kann helfen, Konflikte zwischen Kubernetes-Services und anderen Netzwerken zu vermeiden, die mit Ihrer VPC verbunden sind. Geben Sie einen Bereich in CIDR-Notation ein. Beispiel: 10.2.0.0/16.

        Der CIDR-Block muss die folgenden Anforderungen erfüllen:

        • Verwendet einen der folgenden Bereiche: 10.0.0.0/8, 172.16.0.0/12, oder 192.168.0.0/16.

        • Hat eine Mindestgröße von /24 und eine maximale Größe von /12.

        • Überschneidet sich nicht mit dem Bereich der VPC für Ihre Amazon-EKS-Ressourcen.

        Sie können diese Option nur angeben, wenn Sie die IPv4-Adressfamilie verwenden, und nur bei Erstellen des Clusters. Wenn Sie dies nicht angeben, weist Kubernetes Service-IP-Adressen aus dem CIDR-Block 10.100.0.0/16 oder 172.20.0.0/16 zu.

      • Wenn Sie einen Cluster und der Cluster Pods und Services IPv6-Adressen statt IPv4-Adressen zuweisen soll, fügen Sie dem folgenden Befehl --kubernetes-network-config ipFamily=ipv6 hinzu.

        Standardmäßig weist Kubernetes Ihren Pods und Services IPv4-Adressen zu. Bevor Sie sich entscheiden, die IPv6-Familie zu verwenden, stellen Sie sicher, dass Sie mit allen Überlegungen und Anforderungen in den Themen VPC-Anforderungen und -Überlegungen, Subnetz-Anforderungen und -Überlegungen, Anforderungen und Überlegungen zur Amazon-EKS-Sicherheitsgruppe, und IPv6Adressen für ClusterPods, und services vertraut sind. Wenn Sie die IPv6-Familie verwenden, können Sie keinen Adressbereich für Kubernetes angeben, um IPv6-Serviceadressen zuzuweisen, wie Sie dies für die IPv4-Familie können. Kubernetes weist Serviceadressen aus dem eindeutigen lokalen Adressbereich zu (fc00::/7).

   2. Die Bereitstellung des Clusters dauert mehrere Minuten. Sie können den Status Ihres Clusters mit dem folgenden Befehl überprüfen.

      aws eks describe-cluster --region region-code --name my-cluster --query "cluster.status"
      

      Fahren Sie nicht mit dem nächsten Schritt fort, bis die zurückgegebene Ausgabe ACTIVE ist.

3. Wenn Sie Ihren Cluster mit eksctl erstellt haben, können Sie diesen Schritt überspringen. Das liegt daran, dass eksctl diesen Schritt bereits für Sie durchgeführt hat. Aktivieren Sie kubectl, um mit Ihrem Cluster zu kommunizieren, indem Sie einen neuen Kontext zur Datei kubectl config hinzufügen. Weitere Informationen zum Erstellen und Aktualisieren der Datei finden Sie unter Erstellen oder Aktualisieren einer kubeconfig-Datei für einen Amazon-EKS-Cluster.

   aws eks update-kubeconfig --region region-code --name my-cluster
   

   Eine Beispielausgabe sieht wie folgt aus.

   Added new context arn:aws:eks:region-code:111122223333:cluster/my-cluster to /home/username/.kube/config

4. Bestätigen Sie die Kommunikation mit Ihrem Cluster, indem Sie den folgenden Befehl ausführen.

   kubectl get svc
   

   Eine Beispielausgabe sieht wie folgt aus.

   NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
   kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   28h

5. (Empfohlen) Um einige Amazon EKS-Add-Ons zu verwenden oder einzelnen Kubernetes Workloads bestimmte AWS Identity and Access Management (IAM-) Berechtigungen zuzuweisen, erstellen Sie einen IAM OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Sie müssen einen IAM-OIDC-Anbieter für Ihren Cluster nur einmal erstellen. Weitere Informationen zu Amazon EKS-Add-ons finden Sie unter Amazon-EKS-Add-ons. Weitere Informationen zum Zuweisen bestimmter IAM-Berechtigungen zu Ihren Workloads finden Sie unter IAM-Rollen für Servicekonten.

6. (Empfohlen) Konfigurieren Sie Ihren Cluster für das Amazon VPC CNI plugin for Kubernetes-Plugin, bevor Sie Amazon-EC2-Knoten in Ihrem Cluster bereitstellen. Standardmäßig wurde das Plugin mit Ihrem Cluster installiert. Wenn Sie Ihrem Cluster Amazon-EC2-Knoten hinzufügen, wird das Plugin automatisch für jeden Amazon-EC2-Knoten bereitgestellt, den Sie hinzufügen. Für das Plugin müssen Sie eine der folgenden IAM-Richtlinien an eine IAM-Rolle anhängen:

   AmazonEKS_CNI_Policy-verwaltete IAM-Richtlinie

   Wenn Ihr Cluster die IPv4-Familie verwendet

   Eine IAM-Richtlinie, die Sie erstellen

   Wenn Ihr Cluster die IPv6-Familie verwendet

   Die IAM-Rolle, an die Sie die Richtlinie anhängen, kann die IAM-Rolle des Knotens oder eine dedizierte Rolle sein, die nur für das Plugin verwendet wird. Wir empfehlen, die Richtlinie an diese Rolle anzuhängen. Weitere Informationen zum manuellen Erstellen einer Rolle finden Sie unter Konfigurieren der Amazon VPC CNI plugin for Kubernetes zur Verwendung von IAM-Rollen für Servicekonten (IRSA) oder Amazon-EKS-Knoten-IAM-Rolle.

7. Wenn Sie Ihren Cluster mit dem bereitgestellt haben AWS Management Console, können Sie diesen Schritt überspringen. Die AWS Management Console stellt standardmäßig die Amazon-EKS-Add-ons Amazon VPC CNI plugin for Kubernetes, CoreDNS und kube-proxy bereit.

   Wenn Sie Ihren Cluster entweder mit eksctl oder AWS CLI bereitstellen, werden die selbstverwalteten Add-Ons Amazon VPC CNI plugin for Kubernetes, CoreDNS und kube-proxy bereitgestellt. Sie können die selbstverwalteten Add-ons Amazon VPC CNI plugin for Kubernetes, CoreDNS und kube-proxy, die mit Ihrem Cluster bereitgestellt werden, zu Amazon-EKS-Add-ons migrieren. Weitere Informationen finden Sie unter Amazon-EKS-Add-ons.

8. (Optional) Falls noch nicht geschehen, können Sie Prometheus-Metriken für Ihren Cluster aktivieren. Weitere Informationen finden Sie unter Erstellen eine Scrapers im Benutzerhandbuch von Amazon Managed Service für Prometheus.

9. Wenn Sie Prometheus-Metriken aktiviert haben, müssen Sie Ihre aws-auth-ConfigMap so einrichten, dass der Scraper Cluster-interne Berechtigungen erhält. Weitere Informationen finden Sie unter Konfigurieren Ihres Amazon-EKS-Clusters im Benutzerhandbuch von Amazon Managed Service für Prometheus.

10. Wenn Sie planen, Workloads in Ihrem Cluster bereitzustellen, die Amazon-EBS-Volumes verwenden, und Sie einen Cluster der Version 1.23 oder höher erstellt haben, dann müssen Sie den Amazon-EBS-CSI-Treiber in Ihrem Cluster installieren, bevor Sie die Workloads bereitstellen.

Empfohlene nächste Schritte:

• Der IAM-Prinzipal, der den Cluster erstellt hat, ist der einzige Prinzipal, der Zugriff auf den Cluster hat. Erteilen Sie Berechtigungen für andere IAM-Prinzipalen, damit sie auf Ihren Cluster zugreifen können.

• Wenn der IAM-Prinzipal, der den Cluster erstellt hat, nur über die Mindest-IAM-Berechtigungen verfügt, auf die in den Voraussetzungen verwiesen wird, dann möchten Sie vielleicht weitere Amazon-EKS-Berechtigungen für diesen Prinzipal hinzufügen. Weitere Informationen über das Erteilen von Amazon-EKS-Berechtigungen für IAM-Prinzipals finden Sie unter Identitäts- und Zugriffsverwaltung für Amazon EKS.

• Wenn Sie möchten, dass der IAM-Prinzipal, der den Cluster erstellt hat, oder andere Prinzipalen Kubernetes-Ressourcen in der Amazon EKS-Konsole sehen können, gewähren Sie den Entitäten die Erforderliche Berechtigungen.

• Wenn Sie möchten, dass Knoten und IAM-Prinzipalen von Ihrer VPC aus auf Ihren Cluster zugreifen können, aktivieren Sie den privaten Endpunkt für Ihren Cluster. Standardmäßig ist der öffentliche Endpunkt aktiviert. Falls gewünscht, können Sie den öffentlichen Endpunkt deaktivieren, nachdem Sie den privaten Endpunkt aktiviert haben. Weitere Informationen finden Sie unter Zugriffskontrolle für den Amazon-EKS-Cluster-Endpunkt.

• Aktivieren Sie die Secrets-Verschlüsselung für Ihren Cluster.

• Konfigurieren Sie die Protokollierung für Ihren Cluster.

• Fügen Sie Ihrem Cluster Knoten hinzu.