Erstellen einer verwalteten Knotengruppe - Amazon EKS

Erstellen einer verwalteten Knotengruppe

Dieses Thema beschreibt, wie Sie von Amazon EKS verwaltete Knotengruppen von Knoten starten können, die sich bei Ihrem Amazon-EKS-Cluster registrieren. Nachdem die Knoten dem Cluster beigetreten sind, können Sie Kubernetes-Anwendungen darin bereitstellen.

Wenn Sie zum ersten Mal eine von Amazon EKS verwaltete Knotengruppe starten, empfehlen wir Ihnen, stattdessen eine unserer Erste Schritte mit Amazon EKS Anleitungen zu befolgen. Die Anleitungen bieten exemplarische Vorgehensweisen zum Erstellen eines Amazon-EKS-Clusters mit Knoten.

Wichtig

Voraussetzungen

Sie können eine verwaltete Knotengruppe mit eksctl oder AWS Management Console erstellen.

eksctl

Erstellen einer verwalteten Knotengruppe mit eksctl

Für diesen Vorgang ist eksctl Version 0.105.0 oder höher erforderlich. Sie können Ihre -Version mit dem folgenden Befehl überprüfen:

eksctl version

Anweisungen zum Installieren oder Aktualisieren von eksctl finden Sie unter .

  1. (Optional) Wenn die von verwaltete AmazonEKS_CNI_Policy IAM-Richtlinie an Ihre Amazon-EKS-Knoten-IAM-Rolle angefügt ist, sollten Sie sie stattdessen einer IAM-Rolle zuzuweisen, die Sie dem aws-node-Servicekonto für Kubernetes zuordnen. Weitere Informationen finden Sie unter Konfigurieren des Amazon VPC CNI plugin for Kubernetes zur Verwendung von IAM-Rollen für Servicekonten.

  2. Erstellen Sie eine verwaltete Knotengruppe mit oder ohne Verwendung einer benutzerdefinierten Startvorlage. Das manuelle Angeben einer Startvorlage ermöglicht eine bessere Anpassung einer Knotengruppe. Zum Beispiel kann es die Bereitstellung eines benutzerdefinierten AMI oder die Bereitstellung von Argumenten für das boostrap.sh Skript in einem für Amazon EKS optimierten AMI ermöglichen. Geben Sie den folgenden Befehl ein, um eine vollständige Liste aller verfügbaren Optionen und Standardwerte anzuzeigen.

    eksctl create nodegroup --help

    Ersetzen Sie jede example-value durch Ihre eigenen Werte.

    Wichtig

    Wenn Sie beim ersten Erstellen einer verwalteten Knotengruppe keine benutzerdefinierte Startvorlage verwenden, verwenden Sie zu keinem späteren Zeitpunkt eine Vorlage für die Knotengruppe. Wenn Sie keine benutzerdefinierte Startvorlage angegeben haben, generiert das System automatisch eine Startvorlage, die Sie nicht manuell ändern können. Das manuelle Ändern dieser automatisch generierten Startvorlage kann zu Fehlern führen.

    • Ohne Startvorlageeksctlerstellt eine standardmäßige Amazon-EC2-Startvorlage in Ihrem Konto und stellt die Knotengruppe mithilfe einer Startvorlage bereit, die basierend auf den von Ihnen angegebenen Optionen erstellt wird. Bevor Sie einen Wert für --node-type festlegen, siehe Auswählen eines Amazon-EC2-Instance-Typs.

      Ersetzen Sie my-key mit dem Namen Ihres Amazon-EC2-Schlüsselpaars oder öffentlichen Schlüssels. Dieser Schlüssel wird verwendet, um SSH in Ihre Knoten nach dem Start. Wenn Sie noch kein Amazon-EC2-Schlüsselpaar haben, können Sie eines in der AWS Management Console erstellen. Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare im Amazon-EC2-Benutzerhandbuch für Linux-Instances.

      Wir empfehlen, den Pod-Zugriff auf das IMDS zu blockieren, wenn die folgenden Bedingungen erfüllt sind:

      • Sie planen, allen Ihren Kubernetes-Servicekonten IAM-Rollen zuzuweisen, damit Pods nur die Mindestberechtigungen haben, die sie benötigen.

      • Keine Pods im Cluster benötigen aus anderen Gründen Zugriff auf den Amazon-EC2-Instance-Metadaten-Service (IMDS), zum Beispiel zum Abrufen der aktuellen AWS-Region.

      Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

      Wenn Sie den pod-Zugriff auf IMDS blockieren möchten, fügen Sie dann --disable-pod-imds auf den folgenden Befehl.

      eksctl create nodegroup \ --cluster my-cluster \ --region region-code \ --name my-mng \ --node-type m5.large \ --nodes 3 \ --nodes-min 2 \ --nodes-max 4 \ --ssh-access \ --ssh-public-key my-key

      Ihre Instances können pods optional eine deutlich höhere Anzahl von IP-Adressen zuweisen, pods aus einem anderen CIDR-Block als der Instance IP-Adressen zuweisen und in einem Cluster ohne Internetzugang bereitgestellt werden. Weitere Informationen finden Sie unterErhöhen Sie die Anzahl der verfügbaren IP-Adressen für Ihre Amazon-EC2-Knoten,Tutorial: Benutzerdefinierte Netzwerke, undAnforderungen an private Cluster für weitere Optionen, die dem vorherigen Befehl hinzugefügt werden.

      Verwaltete Knotengruppen berechnen und wenden einen einzelnen Wert für die maximale Anzahl von pods an, die auf jedem Knoten Ihrer Knotengruppe ausgeführt werden können, basierend auf Instance-Typ. Wenn Sie eine Knotengruppe mit unterschiedlichen Instance-Typen erstellen, wird der kleinste Wert, der für alle Instance-Typen berechnet wird, als die maximale Anzahl von pods angewendet, die für jeden Instance-Typ in der Knotengruppe ausgeführt werden können. Verwaltete Knotengruppen berechnen den Wert anhand des Skripts, auf das in Von Amazon EKS empfohlene maximale pods für jeden Amazon-EC2-Instance-Typ verwiesen wird.

    • Mit einer Startvorlage – Die Startvorlage muss bereits vorhanden sein und muss die Anforderungen erfüllen, die inGrundlagen der Konfiguration der Vorlage starten festgelegt sind.

      Wir empfehlen, den Pod-Zugriff auf das IMDS zu blockieren, wenn die folgenden Bedingungen erfüllt sind:

      • Sie planen, allen Ihren Kubernetes-Servicekonten IAM-Rollen zuzuweisen, damit Pods nur die Mindestberechtigungen haben, die sie benötigen.

      • Keine Pods im Cluster benötigen aus anderen Gründen Zugriff auf den Amazon-EC2-Instance-Metadaten-Service (IMDS), zum Beispiel zum Abrufen der aktuellen AWS-Region.

      Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

      Wenn Sie den pod-Zugriff auf IMDS blockieren möchten, geben Sie die erforderlichen Einstellungen in der Startvorlage an.

      1. Erstellen Sie eine Datei mit dem Namen eks-nodegroup.yaml und dem folgenden Inhalt. Mehrere Einstellungen, die Sie bei der Bereitstellung ohne Startvorlage angeben, werden in die Startvorlage verschoben. Wenn Sie keine version angeben, wird die Standardversion verwendet.

        apiVersion: eksctl.io/v1alpha5 kind: ClusterConfig metadata: name: my-cluster region: region-code managedNodeGroups: - name: node-group-lt launchTemplate: id: lt-id version: "1"

        Eine vollständige Liste der eksctl Konfigurationsdateieinstellungen finden Sie unter Konfigurationsdateischema in der eksctl Dokumentation. Ihre Instances können optional eine deutlich höhere Anzahl von IP-Adressen an pods zuweisen, IP-Adressen an pods aus einem anderen CIDR-Block als dem der Instance zuweisen, die containerd-Laufzeit verwenden und in einem Cluster ohne ausgehenden Internetzugang bereitgestellt werden. Weitere Informationen finden Sie unterErhöhen Sie die Anzahl der verfügbaren IP-Adressen für Ihre Amazon-EC2-Knoten,Tutorial: Benutzerdefinierte Netzwerke,Aktivieren der containerd-Laufzeit-Bootstrap-Flag, undAnforderungen an private ClusterFür zusätzliche Optionen, die der Konfigurationsdatei hinzugefügt werden.

        Wenn Sie in Ihrer Startvorlage keine AMI-ID angegeben haben, berechnet verwaltete Knotengruppen einen einzelnen Wert für die maximale Anzahl von pods, die auf jedem Knoten Ihrer Knotengruppe ausgeführt werden können, basierend auf Instance-Typ. Wenn Sie eine Knotengruppe mit unterschiedlichen Instance-Typen erstellen, wird der kleinste Wert, der für alle Instance-Typen berechnet wird, als die maximale Anzahl von pods angewendet, die für jeden Instance-Typ in der Knotengruppe ausgeführt werden können. Verwaltete Knotengruppen berechnen den Wert anhand des Skripts, auf das in Von Amazon EKS empfohlene maximale pods für jeden Amazon-EC2-Instance-Typ verwiesen wird.

        Wenn Sie eine AMI-ID in Ihrer Startvorlage angegeben haben, geben Sie die maximale Anzahl von pods an, die auf jedem Knoten Ihrer Knotengruppe ausgeführt werden können, wenn Sie Benutzerdefinierte Netzwerke verwenden oder die Anzahl der Ihrer Instance zugewiesenen IP-Adressen erhöhen möchten. Weitere Informationen finden Sie unter Von Amazon EKS empfohlene maximale pods für jeden Amazon-EC2-Instance-Typ.

      2. Stellen Sie die Knotengruppe mit dem folgenden Befehl bereit.

        eksctl create nodegroup --config-file eks-nodegroup.yaml
AWS Management Console

So erstellen Sie eine verwaltete Knotengruppe mithilfe der Option AWS Management Console

  1. Warten Sie, bis der Status des Clusters als ACTIVE angezeigt wird. Sie können keine verwaltete Knotengruppe für einen Cluster erstellen, der noch nicht ACTIVE ist.

  2. Öffnen Sie die Amazon-EKS-Konsole unterhttps://console.aws.amazon.com/eks/home#/clusters.

  3. Wählen Sie den Namen des Clusters aus, in dem Sie eine verwaltete Knotengruppe erstellen möchten.

  4. Wählen Sie die Registerkarte Compute (Datenverarbeitung) aus.

  5. Wählen Sie Add Node Group (Knotengruppe hinzufügen) aus.

  6. Geben Sie auf der Seite Configure node group (Knotengruppe konfigurieren) die Parameter entsprechend aus, und wählen Sie dann Next (Weiter).

    • Name – Geben Sie einen eindeutigen Namen für die verwaltete Knotengruppe ein.

    • Node IAM role (Knoten-IAM-Rolle) – Wählen Sie die Knoten-Instance-Rolle aus, die mit Ihrer Knotengruppe verwendet werden soll. Weitere Informationen finden Sie unter Amazon-EKS-Knoten-IAM-Rolle.

      Wichtig

      Es wird empfohlen, eine Rolle zu verwenden, die derzeit nicht von einer selbstverwalteten Knotengruppe genutzt wird. Andernfalls planen Sie, mit einer neuen selbstverwalteten Knotengruppe zu verwenden. Weitere Informationen finden Sie unter Löschen einer verwalteten Knotengruppe.

    • Startvorlage verwenden – (Optional) Wählen Sie aus, ob Sie eine bestehende Startvorlage verwenden möchten. Wählen Sie einen Namen für die Startvorlage aus. Wählen Sie dann eine Launch template version (Startvorlagenversion) aus. Wenn Sie keine Version auswählen, verwendet Amazon EKS die Standardversion der Vorlage. Startvorlagen ermöglichen eine stärkere Anpassung Ihrer Knotengruppe, z. B. die Bereitstellung eines benutzerdefinierten AMI, die Zuweisung einer deutlich höheren Anzahl von IP-Adressen an pods, die Zuweisung von IP-Adressen an pods aus einem anderen CIDR-Block als dem der Instance, die Aktivierung der containerd Laufzeit für Ihre Instances und die Bereitstellung von Knoten in einem Cluster ohne ausgehenden Internetzugang. Weitere Informationen finden Sie unter Erhöhen Sie die Anzahl der verfügbaren IP-Adressen für Ihre Amazon-EC2-Knoten, Tutorial: Benutzerdefinierte Netzwerke, Aktivieren der containerd-Laufzeit-Bootstrap-Flag und Anforderungen an private Cluster.

      Die Startvorlage muss die Anforderungen unterSupport für Startvorlagenaus. Wenn Sie keine eigene Startvorlage verwenden, erstellt die Amazon EKS API eine standardmäßige Amazon-EC2-Startvorlage in Ihrem Konto und stellt die Knotengruppe mithilfe der Standardstartvorlage bereit.

      Wenn Sie IAM-Rollen für Servicekonten implementieren, weisen Sie die erforderlichen Berechtigungen direkt jedem pod zu, der Zugriff auf AWS-Services benötigt. Wenn keine pods im Cluster aus anderen Gründen Zugriff auf IMDS benötigen, z. B. für das Abrufen der aktuellen AWS-Region, können Sie den Zugriff auf IMDS auch für pods deaktivieren, bei denen kein Hostnetzwerk in einer Startvorlage verwendet wird. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

    • Kubernetes-Labels – (Optional) Sie können Kubernetes-Labels auf die Knoten in Ihrer verwalteten Knotengruppe anwenden.

    • Kubernetes-Taints – (Optional) Sie können Kubernetes-Taints auf die Knoten in Ihrer verwalteten Knotengruppe anwenden. Die verfügbaren Optionen im Menü Effect (Effekt) sind NoSchedule, NoExecute und PreferNoSchedule.

    • Tags – (Optional) Sie können wählen, ob Sie Ihre mit Amazon EKS verwaltete Knotengruppe taggen möchten. Diese Tags werden nicht an andere Ressourcen in der Knotengruppe, z. B. Auto-Scaling-Gruppen oder Instances, weitergegeben. Weitere Informationen finden Sie unter Kennzeichnen Ihrer Amazon EKS-Ressourcen .

    • Konfiguration der Knotengruppe aktualisieren – (Optional) Sie können die Anzahl oder den Prozentsatz der Knoten auswählen, die parallel aktualisiert werden sollen. Wählen Sie entwederZahloderPercentage, um einen Wert einzugeben. Diese Knoten sind während der Aktualisierung nicht verfügbar.

  7. Geben Sie auf der Seite Set compute configuration (Datenverarbeitung-Konfiguration einrichten) die Parameter entsprechend ein, und wählen Sie dann Next (Weiter).

    • AMI-Typ – Wählen Sie Amazon Linux 2 (AL2_x86_64) für Linux Nicht-GPU-instances, Amazon Linux 2 GPU Enabled (AL2_x86_64_GPU) für Linux GPU-Instances, Amazon Linux 2 Arm (AL2_ARM_64) für Linux Arm-Instances, Bottlerocket (BOTTLEROCKET_x86_64) für Bottlerocket x86_64 instances, oder Bottlerocket Arm (BOTTLEROCKET_ARM_64) für Bottlerocket Arm-Instances.

      Wenn Sie Arm-Instances bereitstellen, sollten Sie die Überlegungen unterAmazon-EKS-optimierte Arm-Amazon-Linux-AMIsvor der Bereitstellung.

      Wenn Sie auf der vorherigen Seite eine Startvorlage angegeben und in der Startvorlage ein AMI angegeben haben, können Sie keinen Wert auswählen. Der Wert aus der Vorlage wird angezeigt. Die in der Vorlage angegebene AMI muss die Anforderungen unter Angeben eines AMI erfüllen.

    • Capacity type (Kapazitätstyp)— Wählen Sie einen Kapazitätstyp aus. Weitere Informationen zur Auswahl eines Kapazitätstyps finden Sie unterKapazitätstypen für verwaltete Knotengruppenaus. Es ist nicht möglich, verschiedene Kapazitätstypen innerhalb derselben Knotengruppe zu mischen. Wenn Sie beide Kapazitätstypen verwenden möchten, erstellen Sie separate Knotengruppen mit jeweils eigenen Kapazitäts- und Instance-Typen.

    • Instance-Typen- Standardmäßig wird ein oder mehrere Instance-Typen angegeben. Um einen Standard-Instance-Typ zu entfernen, wählen Sie X auf der rechten Seite des Instance-Typs. Wählen Sie den Instance-Typ aus, der in der verwalteten Knotengruppe verwendet werden soll. Weitere Informationen finden Sie unter Auswählen eines Amazon-EC2-Instance-Typs.

      Die Konsole zeigt eine Reihe von häufig verwendeten Instance-Typen an. Wenn Sie eine verwaltete Knotengruppe mit einem Instance-Typ erstellen müssen, der nicht angezeigt wird, verwenden Sie eksctl, AWS CLI, AWS CloudFormation oder ein SDK, um die Knotengruppe zu erstellen. Wenn Sie auf der vorherigen Seite eine Startvorlage angegeben haben, können Sie keinen Wert auswählen, da der Instance-Typ in der Startvorlage angegeben werden muss. Der Wert aus der Startvorlage wird angezeigt. Wenn Sie die Option Spot für Capacity type (Kapazitätstyp) ausgewählt haben, empfehlen wir Ihnen, mehrere Instance-Typen anzugeben, um die Verfügbarkeit zu verbessern.

    • Disk size (Datenträgergröße) – Geben Sie die Datenträgergröße (in GiB) ein, die für das Stammvolume des Worker-Knotens verwendet werden soll.

      Wenn Sie auf der vorherigen Seite eine Startvorlage angegeben haben, können Sie keinen Wert auswählen, da dieser in der Startvorlage angegeben werden muss.

    • Minimum size (Mindestgröße) – Geben Sie die Mindestanzahl von Worker-Knoten an, auf die die verwaltete Knotengruppe skaliert werden kann.

    • Maximum size (Maximale Größe) – Geben Sie die maximale Anzahl von Worker-Knoten an, auf die die verwaltete Knotengruppe skaliert werden kann.

    • Desired size (Gewünschte Größe) – Geben Sie die aktuelle Anzahl von Worker-Knoten an, die die verwaltete Knotengruppe beim Start beibehalten soll.

      Anmerkung

      Amazon EKS skaliert Ihre Knotengruppe nicht automatisch. Sie können jedoch die Kubernetes-Cluster Autoscaler so konfigurieren, dass dies für Sie geschieht.

    • FürMaximal nicht verfügbarWählen Sie eine der folgenden Optionen und geben Sie einenValue:

      • Zahl – Wählen und geben Sie die Anzahl der Knoten in Ihrer Knotengruppe an, die parallel aktualisiert werden können. Diese Knoten sind während der Aktualisierung nicht verfügbar.

      • Prozentsatz – Wählen und geben Sie den Prozentsatz der Knoten in der Knotengruppe an, die parallel aktualisiert werden können. Diese Knoten sind während der Aktualisierung nicht verfügbar. Dies ist nützlich, wenn Sie eine große Anzahl von Knoten in Ihrer Knotengruppe haben.

  8. Füllen Sie auf der Seite Specify Details (Details angeben) die Parameter entsprechend aus, und klicken Sie dann auf Next (Weiter).

    • Subnets (Subnetze) – Wählen Sie die Subnetze aus, in die die verwalteten Knoten gestartet werden sollen.

      Wichtig

      Wenn Sie eine zustandsbehaftete Anwendung über mehrere Availability Zones hinweg ausführen, die von Amazon-EBS-Volumes gesichert wird und den Kubernetes Cluster Autoscaler verwendet, sollten Sie mehrere Knotengruppen konfigurieren, die jeweils für eine einzelne Availability Zone gelten. Außerdem sollten Sie die --balance-similar-node-groups-Funktion aktivieren.

      Wichtig
      • Wenn Sie ein öffentliches Subnetz wählen und in Ihrem Cluster nur der öffentliche API-Server-Endpunkt aktiviert ist, muss das Subnetz MapPublicIPOnLaunch auf true eingestellt sein, damit die Instances erfolgreich einem Cluster zugeordnet werden können. Wenn das Subnetz mit eksctl oder den von Amazon EKS vertriebenen AWS CloudFormationVorlagen am oder nach dem 26. März 2020 erstellt wurde, ist diese Einstellung bereits auf true gesetzt. Wenn die Subnetze vor dem 26. März 2020 mit eksctl oder den AWS CloudFormation-Vorlagen erstellt wurden, müssen Sie die Einstellung manuell ändern. Weitere Informationen finden Sie unter Ändern des öffentlichen IPv4-Adressierungsattributs für Ihr Subnetz.

      • Wenn Sie eine Startvorlage verwenden und mehrere Netzwerkschnittstellen angeben, weist Amazon EC2 keine öffentliche IPv4-Adresse automatisch zu, selbst wenn MapPublicIpOnLaunch auf true gesetzt wird. Damit Knoten dem Cluster in diesem Szenario beitreten können, müssen Sie entweder den privaten API-Serverendpunkt des Clusters aktivieren oder Knoten in einem privaten Subnetz mit ausgehendem Internetzugriff starten, der über eine alternative Methode wie ein NAT-Gateway bereitgestellt wird. Weitere Informationen finden Sie unter Amazon-EC2-Instance-IP-Adressen im Amazon-EC2-Benutzerhandbuch für Linux-Instances.

    • Konfigurieren des SSH-Zugriffs auf Knoten (Optional). Mit der Aktivierung von SSH können Sie eine Verbindung zu Ihren Instances herstellen und Diagnoseinformationen erfassen, wenn Probleme auftreten. Führen Sie die folgenden Schritte aus, um den Fernzugriff zu aktivieren. Wir empfehlen dringend, den Fernzugriff zu aktivieren, wenn Sie eine Knotengruppe erstellen. Sie können den Fernzugriff nicht mehr aktivieren, nachdem die Knotengruppe erstellt wurde.

      Wenn Sie eine Startvorlage verwenden möchten, wird diese Option nicht angezeigt. Um den Remotezugriff auf Ihre Knoten zu aktivieren, geben Sie in der Startvorlage ein key pair an und stellen Sie sicher, dass der richtige Port für die Knoten in den Sicherheitsgruppen geöffnet ist, die Sie in der Startvorlage angeben. Weitere Informationen finden Sie unter Benutzerdefinierte Sicherheitsgruppen.

    • FürSSH key pairWählen Sie (Optional) einen Amazon-EC2-SSH-Schlüssel aus, der verwendet werden soll. Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare im Amazon-EC2-Benutzerhandbuch für Linux-Instances. Wenn Sie eine Startvorlage verwenden möchten, können Sie keine auswählen. Wenn ein Amazon-EC2-SSH-Schlüssel für Knotengruppen bereitgestellt wird, die Bottlerocket-AMIs verwenden, wird auch der administrative Container aktiviert. Weitere Informationen finden Sie unter Administrator-Container auf GitHub.

    • Für Zulassen des SSH-Remote-Zugriffs von, wenn Sie den Zugriff auf bestimmte Instances beschränken möchten, wählen Sie die Sicherheitsgruppen aus, die diesen Instances zugeordnet sind. Wenn Sie keine bestimmten Sicherheitsgruppen auswählen, ist SSH-Zugriff von überall im Internet erlaubt (0.0.0.0/0).

  9. Überprüfen Sie auf der Seite Review and create (Überprüfen und Erstellen) die Konfiguration der verwalteten Knoten, und wählen Sie Create (Erstellen).

    Wenn Arbeitsknoten dem Cluster nicht beitreten können, finden Sie weitere Informationen unter Worker-Knoten können nicht mit dem Cluster verknüpft werden im Handbuch zur Fehlerbehebung.

  10. Sehen Sie sich den Status Ihrer Knoten an und warten Sie, bis diese in den Ready-Status eintreten.

    kubectl get nodes --watch
  11. (Nur GPU-Knoten) Wenn Sie einen GPU-Instance-Typ und das mit Amazon EKS optimierte beschleunigte AMI gewählt haben, müssen Sie das NVIDIA-Geräte-Plugin für Kubernetes mit dem folgenden Befehl als DaemonSet auf Ihren Cluster anwenden.

    kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/v0.9.0/nvidia-device-plugin.yml
  12. (Optional) Nachdem Sie Linux-Worker-Knoten zu Ihrem Cluster hinzugefügt haben, führen Sie die Schritte unter Die Windows-Unterstützung für Ihre Amazon-EKS-Cluster aktivieren aus, um dem Cluster Windows-Unterstützung hinzuzufügen und um Windows-Worker-Knoten hinzuzufügen. Jedes Amazon-EKS-Cluster muss mindestens einen Linux-Worker-Knoten enthalten, selbst wenn Sie nur Windows-Workloads in Ihrem Cluster ausführen möchten.

Nachdem Sie nun über einen funktionierenden Amazon-EKS-Cluster mit Worker-Knoten verfügen, können Sie mit der Installation von Kubernetes-Add-ons und -Anwendungen auf Ihrem Cluster beginnen. Die folgenden Dokumentationsthemen helfen Ihnen bei der Erweiterung der Funktionalität Ihres Clusters.

  • Die IAM-Entität (Benutzer oder Rolle), die den Cluster erstellt hat, ist die einzige IAM-Entität, die Aufrufe an den Kubernetes-API-Server mit kubectl oder der AWS Management Console tätigen kann. Wenn Sie möchten, dass andere IAM-Benutzer oder -Rollen Zugriff auf Ihren Cluster haben, müssen Sie sie hinzufügen. Weitere Informationen finden Sie unter Aktivieren des IAM-Benutzer- und Rollenzugriffs auf Ihren Cluster und Erforderliche Berechtigungen.

  • Wir empfehlen, den Pod-Zugriff auf das IMDS zu blockieren, wenn die folgenden Bedingungen erfüllt sind:

    • Sie planen, allen Ihren Kubernetes-Servicekonten IAM-Rollen zuzuweisen, damit Pods nur die Mindestberechtigungen haben, die sie benötigen.

    • Keine Pods im Cluster benötigen aus anderen Gründen Zugriff auf den Amazon-EC2-Instance-Metadaten-Service (IMDS), zum Beispiel zum Abrufen der aktuellen AWS-Region.

    Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

  • Cluster Autoscaler – Konfigurieren Sie den Kubernetes Cluster Autoscaler, um die Anzahl der Knoten in Ihren Knotengruppen automatisch anzupassen.

  • Stellen Sie eine Beispielanwendung für Ihr Cluster bereit.

  • Clusterverwaltung – Erfahren Sie, wie Sie wichtige Werkzeuge für die Verwaltung Ihres Clusters verwenden.