Creazione di un cluster Amazon EKS - Amazon EKS

Creazione di un cluster Amazon EKS

Questo argomento ti introdurrà alla creazione di un cluster Amazon EKS. Se è la prima volta che si crea un cluster Amazon EKS, invece, consigliamo di seguire le nostre guide Guida introduttiva ad Amazon EKS. Esse forniscono scenari completi end-to-end per la creazione di un cluster Amazon EKS con nodi.

Per connettere un cluster Kubernetes esterno da visualizzare in Amazon EKS, consultare Connettore Amazon EKS.

Importante

Quando viene creato un cluster Amazon EKS, l'entità IAM (utente o ruolo) che crea il cluster viene aggiunta alla tabella di autorizzazioni RBAC Kubernetes come amministratore (con autorizzazioni system:masters). Inizialmente, solo tale utente IAM può effettuare chiamate al server API Kubernetes utilizzando kubectl. Per ulteriori informazioni, consulta . Abilitazione dell'accesso a utenti e ruoli IAM al cluster. Se si utilizza la console per creare il cluster, è necessario assicurarsi che le stesse credenziali utente IAM siano presenti nella catena di credenziali AWS SDK quando si eseguono kubectl i comandi sul cluster.

É possibile creare un cluster con eksctl, la AWS Management Console o AWS CLI.

eksctl

Prerequisito

La versione 0.84.0 o successive dello strumento a riga di comando eksctl deve essere installata sul computer o nella AWS CloudShell. Per installare o aggiornare eksctl, consulta Installazione di eksctl.

Creare un cluster IPv4 Amazon EKS con la versione più recente di Kubernetes di Amazon EKS supportata nella regione di default. Se si desidera creare un cluster IPv6, è necessario implementare il cluster utilizzando un file di configurazione. Per un esempio, consultare Implementazione di un cluster IPv6 e di nodi. Sostituisci i example-values con i valori in tuo possesso. È possibile sostituire 1.21 con qualsiasi versione supportata. Il nome del cluster può contenere solo caratteri alfanumerici (con distinzione tra lettere maiuscole e minuscole) e trattini. Deve iniziare con un carattere alfabetico e non può avere una lunghezza superiore a 128 caratteri.

eksctl create cluster \ --name my-cluster \ --version 1.21 \ --without-nodegroup

(Facoltativo) Aggiungere il flag --with-oidc al comando precedente per creare automaticamente un provider OIDC AWS Identity and Access Management (IAM) per il cluster. La creazione del provider OIDC consente ad alcuni componenti aggiuntivi di Amazon EKS o ai singoli carichi di lavoro Kubernetes di disporre di specifiche autorizzazioni AWS Identity and Access Management (IAM). È necessario creare un provider OIDC IAM per il cluster una sola volta. Per ulteriori informazioni sui componenti aggiuntivi di Amazon EKS, consultare Componenti aggiuntivi Amazon EKS. Per ulteriori informazioni sull'assegnazione di autorizzazioni IAM specifiche ai carichi di lavoro, vedere Panoramica tecnica.

Suggerimento

Per visualizzare la maggior parte delle opzioni che è possibile specificare durante la creazione di un cluster con eksctl, utilizzare il comando eksctl create cluster --help. Per vedere tutte le opzioni, è possibile usare un file di configurazione. Per ulteriori informazioni, vedere Utilizzo dei file di configurazione e lo Schema del file config nella documentazione su eksctl. Gli esempi di file di configurazione sono disponibili su GitHub.

Importante

Se si prevede di implementare nodi autogestiti in AWS Outposts, AWS Wavelength, oppure Local Zones AWS dopo la distribuzione del cluster, è necessario disporre di un VPC esistente che soddisfi i requisiti Amazon EKS e utilizzare il --vpc-private-subnets con il comando precedente. Gli ID delle sottoreti specificati non possono essere AWS Outposts, AWS Wavelength, oppure Local Zones AWS. Per ulteriori informazioni sull'utilizzo di una VPC esistente, consultare Usa VPC esistente: altra configurazione personalizzata nella eksctl documentazione.

avvertimento

C'è un secretsEncryption che richiede un AWS KMS key esistente in AWS Key Management Service (AWS KMS). Se si crea un cluster utilizzando un file di configurazione con l'opzione secretsEncryption, e la chiave KMS utilizzata non viene mai eliminata, non esiste alcun percorso per il ripristino per il cluster. Se si abilita crittografia dei segreti, i segreti Kubernetes vengono crittografati utilizzando la chiave KMS selezionata. La chiave KMS deve essere simmetrica, creata nella stessa Regione del cluster e, se è stata creata in un account diverso, l'utente deve disporre dell'accesso alla chiave KMS. Per ulteriori informazioni, consultare Consentire agli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori AWS Key Management Service.

Per impostazione predefinita, il comando create-key crea una chiave simmetrica con un policy della chiave che consente all'account utente root dell'account di accedere alle AWS KMS azioni e alle risorse. Per ulteriori informazioni, consultare Creazione di chiavi. Se si desidera ridurre l'ambito delle autorizzazioni, assicurarsi che le azioni kms:DescribeKey e kms:CreateGrant siano consentite nella policy per il principale che chiamerà l'API create-cluster. Amazon EKS non supporta la condizione della policy kms:GrantIsForAWSResource. La creazione di un cluster non avverrà se questa operazione è presente nella policy della chiave KMS.

Il provisioning del cluster richiede diversi minuti. Durante la creazione del cluster, vengono generate diverse righe di output. L'ultima riga di output è simile alla seguente riga di esempio.

[✓] EKS cluster "my-cluster" in "region-code" region is ready

Una volta creato il cluster, è possibile eseguire la migrazione di CNI di Amazon VPC, CoreDNS e dei componenti aggiuntivi autogestiti kube-proxy che sono stati implementati con il cluster ai componenti aggiuntivi di Amazon EKS. Per ulteriori informazioni, consulta . Componenti aggiuntivi Amazon EKS.

AWS Management Console

Prerequisiti

Per creare il cluster con la console

  1. Aprire la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.

  2. Scegliere Crea cluster.

  3. Nella pagina Configura cluster compilare i campi riportati di seguito.

    • Nome – Un nome univoco per il cluster.

    • Versione Kubernetes – la versione di Kubernetes da utilizzare per il cluster.

    • Ruolo di servizio cluster – Scegliere il ruolo cluster Amazon EKS per consentire al piano di controllo Kubernetes di gestire risorse AWS per conto dell'utente. Per ulteriori informazioni, consultare Prerequisiti.

    • Crittografia dei segreti – (Facoltativo) Scegliere di abilitare la crittografia dei segreti dei segreti Kubernetes tramite una chiave KMS. La chiave KMS deve essere simmetrica, creata nella stessa Regione del cluster. Se creata in un account diverso, l'utente deve disporre dell'accesso alla chiave KMS. Per ulteriori informazioni, consultare Consentire agli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori AWS Key Management Service.

      Se non sono elencate chiavi, è necessario crearne una prima. Per ulteriori informazioni, consultare Creazione di chiavi.

      Nota

      Per impostazione predefinita, il comando create-key crea una chiave simmetrica con un policy della chiave che consente all'account utente root dell'account di accedere alle AWS KMS azioni e alle risorse. Per ulteriori informazioni, consultare Creazione di chiavi. Se si desidera ridurre l'ambito delle autorizzazioni, assicurarsi che le azioni kms:DescribeKey e kms:CreateGrant siano consentite nella policy per il principale che chiamerà l'API create-cluster.

      Amazon EKS non supporta la condizione della policy kms:GrantIsForAWSResource. La creazione di un cluster non avverrà se questa operazione è presente nella policy della chiave KMS.

      avvertimento

      L'eliminazione della chiave KMS metterà definitivamente il cluster in uno stato degradato. Se le chiavi KMS utilizzate per la creazione del cluster sono pianificate per l'eliminazione, verificare che questa sia l'operazione prevista prima dell'eliminazione. Una volta eliminata la chiave KMS, non esiste un percorso di ripristino per il cluster. Per ulteriori informazioni, consultare Eliminazione di chiavi KMS AWS.

    • Tag – (Facoltativo) Aggiunge eventuali tag al cluster. Per ulteriori informazioni, consulta . Assegnazione di tag alle risorse Amazon EKS.

  4. Selezionare Next (Successivo).

  5. Nella pagina Specifica rete selezionare i valori per i campi riportati di seguito:

    • VPC – Seleziona un VPC esistente da utilizzare per il cluster. Se l'elenco risulta vuoto, è necessario crearne uno prima. Per ulteriori informazioni, consultare Prerequisiti.

    • Sottoreti – Per impostazione predefinita, le sottoreti disponibili nel VPC specificato nel campo precedente sono preselezionate. Deselezionare qualsiasi sottorete che non si desidera ospiti risorse del cluster, ad esempio nodo (worker) o bilanciatori del carico. Le sottoreti devono soddisfare i requisiti per i cluster Amazon EKS. Per ulteriori informazioni, consulta . Considerazioni su cluster VPC e sottoreti.

      Importante
      • Se selezioni le sottoreti create prima del 26 Marzo 2020 utilizzando uno dei modelli VPC AWS CloudFormation Amazon EKS, tenere presente la modifica di impostazione predefinita introdotta il 26 Marzo 2020. Per ulteriori informazioni, consulta . Creazione di un VPC per il cluster Amazon EKS.

      • Non selezionare le sottoreti in AWS Outposts, AWS Wavelength o Local Zones AWS. Se si prevede di implementare nodi autogestiti in sottoreti AWS Outposts, AWS Wavelength o Local Zones AWS dopo aver implementato il cluster, assicurarsi di disporre o creare sottoreti Outposts nel VPC selezionato.

      Gruppi di sicurezza – Il valore SecurityGroups dell'output AWS CloudFormation generato al momento della creazione del proprio VPC. Questo gruppo di sicurezza contiene ControlPlaneSecurityGroup tra i nomi dell'elenco a discesa.

      Importante

      Il modello AWS CloudFormation del nodo di lavoro modifica il gruppo di sicurezza ivi specificato, per cui Amazon EKS consiglia fortemente di utilizzare un gruppo di sicurezza dedicato per ogni piano di controllo del cluster (uno per cluster). Se questo gruppo di sicurezza è condiviso con altre risorse, è possibile bloccare o interrompere le connessioni a queste risorse.

    • Scegli la famiglia di indirizzi IP cluster: se la versione scelta per il cluster è 1.20 o una versione precedente, sarà disponibile solo l'opzione IPv4. Se è stata scelta la versione 1.21 o successiva per la versione del cluster, è possibile decidere se Kubernetes assegnerà indirizzi IPv4 o IPv6 a pod e servizi. Non è possibile modificare questa opzione in seguito alla creazione del cluster. Se si sceglie IPv6, non è possibile scegliere l'opzione Configure Kubernetes Service IP address range(Configurazione dell'intervallo di indirizzi IP del servizio Kubernetes). Kubernetes assegna gli indirizzi del servizio dall'intervallo di indirizzi locale univoco (fc00::/7). Non è possibile specificare un intervallo di indirizzi personalizzato.

    • (Facoltativo) Scegliere Configurare l'intervallo di indirizzi IP del servizio Kubernetes e specificare un intervallo Servizio IPv4 se si desidera specificare da quale blocco CIDR Kubernetes assegna gli indirizzi IP del servizio. Il blocco CIDR deve soddisfare i seguenti requisiti:

      • Deve essere all'interno di uno dei seguenti blocchi di indirizzi IP privati: 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16.

      • Tra /24 e /12.

      • Non deve sovrapporsi ad alcun blocco CIDR specificato nel VPC.

      Si consiglia di specificare un blocco CIDR che non si sovrapponga alle risorse di altre reti con peering o connesse al VPC. Se non si soddisfano questi requisiti, Kubernetes assegnerà gli indirizzi IP dai blocchi CIDR 10.100.0.0/16 o 172.20.0.0/16.

      Importante

      È possibile specificare un blocco CIDR personalizzato solo quando si crea un cluster e non è possibile modificare questo valore una volta creato il cluster.

    • Per l'accesso agli endpoint cluster – Scegliere una delle seguenti opzioni:

      • Pubblico – Consente solo l'accesso pubblico all'endpoint del server API Kubernetes del cluster. Le richieste API Kubernetes che provengono dall'esterno del VPC del cluster utilizzano l'endpoint pubblico. Per impostazione predefinita, l'accesso è consentito da qualsiasi indirizzo IP di origine. È possibile limitare l'accesso a uno o più intervalli CIDR, ad esempio 192.168.0.0/16, selezionando Impostazioni avanzate e quindi Aggiungi origine.

      • Privato – Consente solo l'accesso privato all'endpoint del server API Kubernetes del cluster. Le richieste API Kubernetes che provengono dal VPC del cluster utilizzano l'endpoint VPC privato.

        Importante

        Se si è creato un VPC senza accesso a Internet in uscita, bisogna abilitare l'accesso privato.

      • Pubblico e privato – Consente l'accesso pubblico e privato.

      Per ulteriori informazioni sulle opzioni precedenti, vedere Modifica dell'accesso all'endpoint del cluster.

  6. Puoi accettare i valori di default nella sezione Networking add-ons (Componenti aggiuntivi di rete) per installare la versione di default dei componenti aggiuntivi di Amazon EKS AWS VPC CNI, CoreDNS e kube-proxy, oppure puoi selezionare una versione diversa. Se la funzionalità di nessuno dei componenti aggiuntivi non è necessaria, è possibile rimuoverli una volta creato il cluster. Se è necessario gestire autonomamente le impostazioni gestite di Amazon EKS per uno di questi componenti aggiuntivi, è possibile rimuovere la gestione Amazon EKS del componente aggiuntivo una volta creato il cluster. Per ulteriori informazioni, consulta . Componenti aggiuntivi Amazon EKS.

    Importante

    Il AWS componente aggiuntivo CNI VPC è configurato per utilizzare le autorizzazioni IAM assegnate al Ruolo IAM del nodo Amazon EKS. Dopo aver creato il cluster ma prima dell'implementazione di qualsiasi nodo Amazon EC2 nel cluster, è necessario assicurarsi che la policy IAM gestita da AmazonEKS_CNI_Policy (se si utilizza IPv4 per il cluster) o la policy IAM AmazonEKS_CNI_IPv6_Policy (creata dall'utente se si utilizza IPv6 per il cluster) sia collegata al ruolo IAM del nodo o a un ruolo diverso associato all'account del servizio Kubernetes in cui viene eseguito il componente aggiuntivo. Si consiglia di assegnare la policy a un ruolo IAM diverso rispetto al ruolo IAM del nodo, completando le istruzioni riportate in Configurazione del plug-in CNI di Amazon VPC per l'utilizzo dei ruoli IAM per gli account di servizio. Dopo aver creato il cluster e il ruolo IAM, è possibile aggiornare il componente aggiuntivo per utilizzare il ruolo IAM creato dall'utente.

  7. Selezionare Next (Successivo).

  8. Nella pagina Configura log è possibile scegliere i tipi di registro che si desidera abilitare. Per impostazione predefinita, ogni tipo di registro è Disabled (Disabilitato). Per ulteriori informazioni, consulta . Registrazione del piano di controllo di Amazon EKS.

  9. Selezionare Next (Successivo).

  10. Nella pagina Revisione e creazione esaminare le informazioni immesse o selezionate nelle pagine precedenti. Selezionare Modifica se è necessario apportare modifiche a una delle selezioni effettuate. Una volta scelte tutte le impostazioni, selezionare Crea. Il campo Status (Stato) mostra CREATING (CREAZIONE) fino al termine del processo di provisioning del cluster.

    Nota

    Potresti ricevere un errore che indica che una delle zone di disponibilità nella richiesta non dispone di capacità sufficiente per creare un cluster Amazon EKS. In questo caso, l'output di errore contiene le zone di disponibilità in grado di supportare un nuovo cluster. Riprova a creare il cluster con almeno due sottoreti che si trovano nelle zone di disponibilità supportate per il tuo account. Per ulteriori informazioni, consulta . Capacità insufficiente.

    Il provisioning del cluster richiede diversi minuti.

  11. Seguire le procedure indicate in Creazione di un kubeconfig per Amazon EKS per abilitare la comunicazione con il nuovo cluster.

  12. (Facoltativo) Per utilizzare alcuni componenti aggiuntivi Amazon EKS o per consentire ai singoli carichi di lavoro Kubernetes di disporre di autorizzazioni AWS Identity and Access Management (IAM) specifiche, è necessario creare un provider OpenID Connect (OIDC) IAM per il cluster. Per creare un provider OIDC IAM per il cluster, consulta Per creare un provider di identità IAM OIDC per il cluster. È necessario creare un provider OIDC IAM per il cluster una sola volta. Per ulteriori informazioni sui componenti aggiuntivi di Amazon EKS, consultare Componenti aggiuntivi Amazon EKS. Per ulteriori informazioni sull'assegnazione di autorizzazioni IAM specifiche ai carichi di lavoro, vedere Panoramica tecnica.

  13. Se si intende implementare i nodi Amazon EC2 nel cluster, è necessario allegare una delle seguenti policy al ruolo IAM del cluster o a un ruolo IAM creato appositamente per il componente aggiuntivo CNI di Amazon VPC (questa opzione richiede il completamento del passaggio precedente). Per ulteriori informazioni sulla creazione del ruolo e la configurazione del componente aggiuntivo per utilizzarlo, consultare Configurazione del plug-in CNI di Amazon VPC per l'utilizzo dei ruoli IAM per gli account di servizio.

    • La policy IAM gestita da AmazonEKS_CNI_Policy, se è stato creato un cluster 1.20 o precedente o un cluster 1.21 o successivo con la famiglia IPv4.

    • Una policy IAM creata dall'utente, se è stato creato un cluster 1.21 o successivo con la famiglia IPv6.

  14. (Facoltativo) Configurare il componente aggiuntivo CNI VPC per utilizzare il proprio ruolo IAM. Questa opzione richiede il provider OIDC IAM creato in una fase precedente e la creazione di un ruolo IAM specifico per il componente aggiuntivo nella fase precedente. Per ulteriori informazioni, consulta . Aggiornamento del componente aggiuntivo Amazon EKS CNI di Amazon VPC.

AWS CLI

Prerequisiti

Per creare il tuo cluster con la AWS CLI

  1. Crea un cluster con il seguente comando. Sostituire l'Amazon Resource Name (ARN) del ruolo IAM del cluster Amazon EKS creato in Ruolo IAM del cluster Amazon EKS e gli ID delle sottoreti e dei gruppi di sicurezza per il VPC creati in Creazione di un VPC per il cluster Amazon EKS. Sostituire my-cluster con il nome del cluster e region-code con una Regione supportata. È possibile sostituire 1.21 con qualsiasi versione supportata.

    Per subnetIds, non è necessario specificare le sottoreti in AWS Outposts, AWS Wavelength o Local Zones AWS. Se si prevede di implementare nodi autogestiti in sottoreti AWS Outposts, AWS Wavelength o Local Zones AWS dopo aver implementato il cluster, assicurarsi di disporre o creare sottoreti Outposts nel VPC specificato.

    Se si desidera che il cluster assegni gli indirizzi IPv6 a pod e servizi anziché gli indirizzi IPv4, aggiungere --kubernetes-network-config ipFamily=ipv6 al seguente comando e specificare 1.21 o versione successiva per --kubernetes-version.

    aws eks create-cluster \ --region region-code \ --name my-cluster \ --kubernetes-version 1.21 \ --role-arn arn:aws:iam::111122223333:role/eks-service-role-AWSServiceRoleForAmazonEKS-EXAMPLEBKZRQR \ --resources-vpc-config subnetIds=subnet-a9189fe2,subnet-50432629,securityGroupIds=sg-f5c54184
    Nota

    Se l'utente IAM non dispone di privilegi di amministrazione, devi aggiungere esplicitamente le autorizzazioni dell'utente per chiamare le operazioni dell'API Amazon EKS. Per ulteriori informazioni, consulta . Esempi di policy basate su identità Amazon EKS.

    Output:

    { "cluster": { "name": "my-cluster", "arn": "arn:aws:eks:region-code:111122223333:cluster/my-cluster", "createdAt": 1527785885.159, "version": "1.21", "roleArn": "arn:aws:iam::111122223333:role/eks-service-role-AWSServiceRoleForAmazonEKS-AFNL4H8HB71F", "resourcesVpcConfig": { "subnetIds": [ "subnet-a9189fe2", "subnet-50432629" ], "securityGroupIds": [ "sg-f5c54184" ], "vpcId": "vpc-a54041dc", "endpointPublicAccess": true, "endpointPrivateAccess": false }, "status": "CREATING", "certificateAuthority": {} } }
    Nota

    Potresti ricevere un errore che indica che una delle zone di disponibilità nella richiesta non dispone di capacità sufficiente per creare un cluster Amazon EKS. In questo caso, l'output di errore contiene le zone di disponibilità in grado di supportare un nuovo cluster. Riprova a creare il cluster con almeno due sottoreti che si trovano nelle zone di disponibilità supportate per il tuo account. Per ulteriori informazioni, consulta . Capacità insufficiente.

    Per crittografare i segreti di Kubernetes, creare innanzitutto una chiave master del cliente (CMK), utilizzando l'operazione crea chiave.

    MY_KEY_ARN=$(aws kms create-key --query KeyMetadata.Arn —-output text)
    Nota

    Per impostazione predefinita, il comando create-key crea una chiave simmetrica che crittografa e decrittografa i dati. Questa chiave ha una policy di chiavi che fornisce all'amministratore utente root dell'account l'accesso ad operazioni e risorse AWS KMS. Per ulteriori informazioni, consultare Creazione di chiavi. Se si desidera ridurre l'ambito delle autorizzazioni, assicurarsi che le azioni kms:DescribeKey e kms:CreateGrant siano consentite nella policy per il principale che chiamerà l'API create-cluster.

    Amazon EKS non supporta la condizione della policy kms:GrantIsForAWSResource. La creazione di un cluster non avverrà se questa operazione è presente nella policy della chiave KMS.

    Aggiungi il parametro --encryption-config al comando aws eks create-cluster. La crittografia dei segreti di Kubernetes può essere abilitata solo quando viene creato il cluster.

    --encryption-config '[{"resources":["secrets"],"provider":{"keyArn":"$MY_KEY_ARN"}}]'

    Il membro keyArn può contenere l'alias o l'ARN della chiave KMS. La chiave KMS deve essere:

    • Simmetrica

    • Come crittografare e decrittare i dati

    • Creato nella stessa regione del cluster

    • Se la chiave KMS è stata creata in un account diverso, l'utente dovrà avere accesso alla stessa.

    Per ulteriori informazioni, consultare Consentire agli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori AWS Key Management Service.

    avvertimento

    L'eliminazione della chiave KMS metterà definitivamente il cluster in uno stato degradato. Se le chiavi KMS utilizzate per la creazione del cluster sono pianificate per l'eliminazione, verificare che questa sia l'operazione prevista prima dell'eliminazione. Una volta eliminata la chiave KMS, non esiste un percorso di ripristino per il cluster. Per ulteriori informazioni, consultare Eliminazione di chiavi KMS AWS.

  2. Il provisioning del cluster richiede diversi minuti. È possibile eseguire query sullo stato del cluster con il comando seguente. Quando lo stato del cluster è ACTIVE, è possibile procedere.

    aws eks describe-cluster \ --region region-code \ --name my-cluster \ --query "cluster.status"
  3. Seguire le procedure indicate in Creazione di un kubeconfig per Amazon EKS per abilitare la comunicazione con il nuovo cluster.

  4. (Facoltativo) Per utilizzare alcuni componenti aggiuntivi Amazon EKS o per consentire ai singoli carichi di lavoro Kubernetes di disporre di autorizzazioni AWS Identity and Access Management (IAM) specifiche, è necessario creare un provider OpenID Connect (OIDC) IAM per il cluster. Per creare un provider OIDC IAM per il cluster, consulta Per creare un provider di identità IAM OIDC per il cluster. È necessario creare un provider OIDC IAM per il cluster una sola volta. Per ulteriori informazioni sui componenti aggiuntivi di Amazon EKS, consultare Componenti aggiuntivi Amazon EKS. Per ulteriori informazioni sull'assegnazione di autorizzazioni IAM specifiche ai carichi di lavoro, vedere Panoramica tecnica.

  5. Se si intende implementare i nodi Amazon EC2 nel cluster, è necessario allegare una delle seguenti policy al ruolo IAM del cluster o a un ruolo IAM creato appositamente per il componente aggiuntivo CNI di Amazon VPC (questa opzione richiede il completamento del passaggio precedente). Per ulteriori informazioni sulla creazione del ruolo e la configurazione del componente aggiuntivo per utilizzarlo, consultare Configurazione del plug-in CNI di Amazon VPC per l'utilizzo dei ruoli IAM per gli account di servizio.:

    • La policy IAM gestita da AmazonEKS_CNI_Policy, se è stato creato un cluster 1.20 o precedente o un cluster 1.21 o successivo con la famiglia IPv4.

    • Una policy IAM creata dall'utente, se è stato creato un cluster 1.21 o successivo con la famiglia IPv6.

  6. (Facoltativo) Migrare il CNI di Amazon VPC, CoreDNS e i componenti aggiuntivi autogestiti di kube-proxy implementati con il cluster nei componenti aggiuntivi di Amazon EKS. Per ulteriori informazioni, consulta . Componenti aggiuntivi Amazon EKS. (Facoltativo) Configurare il componente aggiuntivo CNI VPC di Amazon EKS in modo da utilizzare il proprio ruolo IAM. Questa opzione richiede il provider OIDC IAM creato in una fase precedente e la creazione di un ruolo IAM specifico per il componente aggiuntivo nella fase precedente. Per ulteriori informazioni, consulta . Aggiornamento del componente aggiuntivo Amazon EKS CNI di Amazon VPC.