AMIs do Windows otimizadas para o Amazon EKS

As AMIs do Windows otimizadas para o Amazon EKS são desenvolvidas com base no Windows Server 2019 e no Windows Server 2022. Elas são configuradas para servirem como imagem base para nós do Amazon EKS. As AMIs incluem por padrão os seguintes componentes:

• kubelet

• kube-proxy

• Autenticador do AWS IAM para o Kubernetes

• csi-proxy

• containerd

nota

É possível rastrear eventos de segurança ou privacidade do Windows Server com o Guia de atualização de segurança da Microsoft.

O Amazon EKS oferece AMIs que são otimizadas para contêineres do Windows nas seguintes variantes:

• AMI do Windows Server 2019 Core otimizada para o Amazon EKS

• AMI completa do Windows Server 2019 Core otimizada para Amazon EKS

• AMI do Windows Server 2022 Core otimizada para o Amazon EKS

• AMI do Windows Server 2022 Full otimizada para o Amazon EKS

Importante

• A AMI Windows Server 20H2 Core otimizada para Amazon EKS foi descontinuada. Nenhuma nova versão dessa AMI será lançada.

• Por padrão, para garantir que você tenha as atualizações de segurança mais recentes, o Amazon EKS mantém AMIs do Windows otimizadas pelos últimos quatro meses. Cada nova AMI estará disponível por quatro meses a partir do lançamento inicial. Após esse período, as AMIs mais antigas se tornarão privadas e não estarão mais acessíveis. Incentivamos o uso das AMIs mais recentes para evitar vulnerabilidades de segurança e a perda de acesso às AMIs mais antigas que atingiram o fim da vida útil com suporte. Embora não possamos garantir que poderemos fornecer acesso a AMIs que se tornaram privadas, você pode solicitar acesso ao preencher um tíquete no AWS Support.

Calendário de lançamento

A tabela a seguir lista as datas de lançamento e término da compatibilidade para versões do Windows no Amazon EKS. Se uma data de término estiver em branco, é porque a versão ainda tem suporte.

Versão do Windows	Lançamento do Amazon EKS	Fim do suporte para o Amazon EKS
Windows Server 2022 Core	10/17/2022
Windows Server 2022 Full	10/17/2022
Windows Server 20H2 Core	8/12/2021	8/9/2022
Windows Server 2004 Core	8/19/2020	12/14/2021
Windows Server 2019 Core	10/7/2019
Windows Server 2019 Full	10/7/2019
Windows Server 1909 Core	10/7/2019	12/8/2020

Parâmetros de configuração do script de bootstrap

Quando você cria um nó do Windows, existe um script nesse nó que permite configurar parâmetros diferentes. Dependendo da configuração, esse script pode ser encontrado no nó em um local semelhante a: C:\Program Files\Amazon\EKS\Start-EKSBootstrap.ps1. Você pode especificar valores de parâmetros personalizados definindo-os como argumentos para o script de bootstrap. Por exemplo, você pode atualizar os dados do usuário no modelo de execução. Para ter mais informações, consulte Dados do usuário do Amazon EC2.

O script inclui os seguintes parâmetros de linha de comando:

• -EKSClusterName – Especifica o nome do cluster do Amazon EKS no qual esse nó de processamento deve ingressar.

• -KubeletExtraArgs – Especifica argumentos extras para kubelet (opcional).

• -KubeProxyExtraArgs – Especifica argumentos extras para kube-proxy (opcional).

• -APIServerEndpoint – Especifica o endpoint do servidor de API do cluster do Amazon EKS (opcional). Válido somente quando usado com -Base64ClusterCA. Ignorar chamadas Get-EKSCluster.

• -Base64ClusterCA – Especifica o conteúdo da CA do cluster codificado em base64 (opcional). Válido somente quando usado com -APIServerEndpoint. Ignorar chamadas Get-EKSCluster.

• -DNSClusterIP – Substitui o endereço IP a ser usado para consultas DNS dentro do cluster (opcional). O padrão é 10.100.0.10 ou 172.20.0.10 com base no endereço IP da interface primária.

• -ServiceCIDR: substitui o intervalo de endereços IP do serviço Kubernetes com base no qual os serviços de cluster são endereçados. O padrão é 172.20.0.0/16 ou 10.100.0.0/16 com base no endereço IP da interface primária.

• -ExcludedSnatCIDRs: uma lista de CIDRs IPv4 a serem excluídos da Source Network Address Translation (SNAT). Isso significa que o IP privado do pod que é endereçável pela VPC não seria convertido no endereço IP do endereço IPv4 primário da ENI da instância para o tráfego de saída. Por padrão, o CIDR IPv4 da VPC para o nó Windows do Amazon EKS é adicionado. Especificar CIDRs para esse parâmetro também exclui adicionalmente os CIDRs especificados. Para ter mais informações, consulte SNAT para Pods.

Além dos parâmetros de linha de comando, você também pode especificar alguns parâmetros de variável de ambiente. Ao especificar um parâmetro de linha de comando, ele tem precedência sobre a respectiva variável de ambiente. A(s) variável(is) de ambiente deve(m) ser definida(s) como escopo de máquina (ou sistema), já que o script de inicialização somente lerá variáveis de escopo de máquina.

O script leva em consideração as seguintes variáveis de ambiente:

• SERVICE_IPV4_CIDR— Consulte o parâmetro da linha de comando ServiceCIDR para obter a definição.

• EXCLUDED_SNAT_CIDRS— Deve ser uma strings separada por vírgula. Consulte o parâmetro da linha de comando ExcludedSnatCIDRs para obter a definição.

Inicie os nós autogerenciados do Windows Server 2022 com eksctl

Você pode usar o test-windows-2022.yaml a seguir como referência para executar o Windows Server 2022 como nós autogerenciados. Substitua example value por seus próprios valores.

nota

Você deve usar um eksctl versão 0.116.0 ou posterior para executar nós autogerenciados do Windows Server 2022.

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: windows-2022-cluster
  region: region-code
  version: '1.30'

nodeGroups:
  - name: windows-ng
    instanceType: m5.2xlarge
    amiFamily: WindowsServer2022FullContainer
    volumeSize: 100
    minSize: 2
    maxSize: 3
  - name: linux-ng
    amiFamily: AmazonLinux2
    minSize: 2
    maxSize: 3

Os grupos de nós podem ser criados com o uso do seguinte comando:

eksctl create cluster -f test-windows-2022.yaml

Compatibilidade com autenticação do gMSA

Os Pods do Amazon EKS Windows permitem diferentes tipos de autenticação de Conta de serviço gerenciada em grupo (gMSA).

• O Amazon EKS oferece suporte a identidades de domínio do Active Directory para autenticação. Para obter mais informações sobre a gMSA vinculada ao domínio, consulte Windows Autenticação em podsWindows do Amazon EKS, no blog da AWS.

• O Amazon EKS oferece um plug-in que permite que nós Windows não vinculados ao domínio recuperem credenciais gMSA com uma identidade de usuário portátil. Para obter mais informações sobre a gMSA sem domínio, consulte Autenticação Windows sem domínio em podsWindows do Amazon EKS, no blog da AWS.

Imagens de contêiner em cache

As AMIs do Windows otimizadas para Amazon EKS têm determinadas imagens de contêiner armazenadas em cache para o runtime containerd. Imagens de contêiner são armazenadas em cache ao criar AMIs personalizadas com o uso componentes de compilação gerenciados pela Amazon. Para ter mais informações, consulte Usar o componente de compilação gerenciado pela Amazon.

As seguintes imagens de contêiner em cache são para o runtime containerd:

• amazonaws.com/eks/pause-windows

• mcr.microsoft.com/windows/nanoserver

• mcr.microsoft.com/windows/servercore

Mais informações

Para obter mais informações sobre o uso de AMIs Windows otimizadas para Amazon EKS, consulte as seguintes seções:

• Para usar o Windows com grupos de nós gerenciados, consulte Grupos de nós gerenciados.

• Para iniciar nós Windows autogerenciados, consulte Iniciar nós do Windows autogerenciados.

• Para obter informações sobre versões, consulte Versões da AMI do Windows otimizada para Amazon EKS.

• Para recuperar os IDs mais recentes das AMIs Windows otimizadas para Amazon EKS, consulte Recuperar IDs da AMI otimizada do Windows do Amazon EKS.

• Para usar o Amazon EC2 Image Builder para criar AMIs Windows personalizadas otimizadas para Amazon EKS, consulte Criação de AMIs do Windows personalizadas otimizadas para o Amazon EKS.

• Para conhecer as práticas recomendadas, consulte Amazon EKS optimized Windows AMI management no Guia das práticas recomendads do EKS.