建立 Amazon EKS 叢集

注意

本主題涵蓋建立不含 EKS Auto 模式的 EKS 叢集。

如需建立 EKS Auto Mode 叢集的詳細說明，請參閱 建立 Amazon EKS Auto Mode 叢集。

若要開始使用 EKS Auto 模式，請參閱 Amazon EKS – EKS Auto 模式入門。

本主題提供可用選項的概觀，並介紹您建立 Amazon EKS 叢集時需要考慮的問題。如果您需要使用內部部署基礎設施建立叢集做為節點的運算，請參閱使用混合節點建立 EKS 叢集。如果這是您第一次建立 Amazon EKS 叢集，建議您遵循 中的其中一個指南開始使用 Amazon EKS。這些指南可協助您建立一個簡單的預設叢集，而無需擴展到所有可用選項。

必要條件

• 現有 VPC 和子網符合 Amazon EKS 要求。部署叢集以供生產使用之前，建議您先徹底了解 VPC 和子網要求。如果您沒有 VPC 和子網路，您可以使用 Amazon EKS provided AWS CloudFormation 範本建立它們。

• kubectl 命令列工具安裝在您的裝置或 AWS CloudShell 上。版本可以與您的叢集 Kubernetes 版本相同，或是為最多比該版本更舊一版或更新一版的次要版本。若要安裝或升級 kubectl，請參閱 設定 kubectl 和 eksctl。

• 在您的裝置或 AWS CloudShell 上安裝和設定的 AWS 命令列界面 (AWS CLI) 版本 1.27.160 2.12.3或更新版本。若要檢查您目前的版本，請使用 aws --version | cut -d / -f2 | cut -d ' ' -f1。yum、 apt-get或 Homebrew for 等套件管理員macOS通常是最新版本 CLI AWS 後面的幾個版本。若要安裝最新版本，請參閱《 AWS 命令列界面使用者指南》中的使用 aws 設定安裝 和 Quick configuration。 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config安裝在 AWS CloudShell 中的 AWS CLI 版本也可能是最新版本後面的幾個版本。若要更新它，請參閱 CloudShell AWS 使用者指南中的將 CLI 安裝到您的主目錄。 AWS CloudShell

• 具有對 Amazon EKS 叢集 create 和 describe 的許可的 IAM 主體。如需詳細資訊，請參閱 在 Outpost 上建立本機 Kubernetes 叢集 和 所有叢集的清單或描述。

步驟 1：建立叢集 IAM 角色

1. 如果您已經有叢集 IAM 角色，或者您要使用 建立叢集eksctl，則可以略過此步驟。根據預設，eksctl 會為您建立角色。

2. 執行下列命令以建立 IAM 信任政策 JSON 檔案。

   cat >eks-cluster-role-trust-policy.json <<EOF
   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "eks.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   EOF

3. 建立 Amazon EKS 叢集 IAM 角色。如有必要，請在 eks-cluster-role-trust-policy.json 前面加上您在上一步中寫入檔案的電腦的路徑。命令會將您在上一步驟中建立的信任策略與角色相關聯。若要建立 IAM 角色，必須為建立角色的 IAM 主體指派以下 iam:CreateRole 動作 (許可)。

   aws iam create-role --role-name myAmazonEKSClusterRole --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"

4. 您可以指派 Amazon EKS 受管政策或建立自己的自訂政策。如需了解在自訂政策中必須使用的最低許可，請參閱 Amazon EKS 叢集 IAM 角色。

   將名為 AmazonEKSClusterPolicy 的 Amazon EKS 受管政策連接至角色。若要將 IAM 政策連接至 IAM 主體，必須為連接政策的 IAM 實體指派以下 IAM 動作之一 (許可)：iam:AttachUserPolicy 或 iam:AttachRolePolicy。

   aws iam attach-role-policy --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy --role-name myAmazonEKSClusterRole

服務連結角色

Amazon EKS 會自動建立名為 的服務連結角色AWSServiceRoleForAmazonEKS。

這是叢集 IAM 角色以外的項目。服務連結角色是直接連結至 Amazon EKS 的一種特殊 IAM 角色類型。此角色允許 Amazon EKS 管理您帳戶中的叢集。如需詳細資訊，請參閱使用 Amazon EKS 叢集的角色。

您用來建立 EKS 叢集的 IAM Identity 必須具有建立服務連結角色的許可。這包括 iam:CreateServiceLinkedRole許可。

如果服務連結角色尚未存在，且您目前的 IAM 角色沒有足夠的許可來建立它，叢集建立操作將會失敗。

步驟 2：建立叢集

您可以使用下列方式建立叢集：

• eksctl

• 的 AWS Management Console

• AWS CLI

建立叢集 - eksctl

1. 您需要在裝置0.199.0或 AWS CloudShell 上安裝版本 或更新版本的eksctl命令列工具。如需有關安裝或更新 eksctl 的指示，請參閱 eksctl 文件中的安裝一節。

2. 在預設 AWS 區域中使用 Amazon EKS 預設Kubernetes版本建立 Amazon EKS IPv4叢集。執行命令之前，請執行下列替換：

3. 將 region-code 取代為您要建立叢集 AWS 的區域。

4. 使用叢集的名稱取代 my-cluster。此名稱僅能使用英數字元 (區分大小寫) 和連字號。它必須以英數字元開頭，且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。

5. 將 1.31 取代為任何 Amazon EKS 支援的版本。

6. 變更 vpc-private-subnets 的值以符合您的要求。您也可以新增其他 ID。您必須指定至少兩個子網路 ID。如果您寧可指定公有子網路，您可以--vpc-private-subnets變更為 --vpc-public-subnets。公有子網路具有關聯的路由表，其具有網際網路閘道的路由，但私有子網路沒有相關聯的路由表。我們建議盡可能使用私有子網。

   您選擇的子網必須符合 Amazon EKS 子網要求。在選取子網路之前，建議您熟悉所有 Amazon EKS VPC 和子網路需求和考量事項。

7. 執行以下命令：

   eksctl create cluster --name my-cluster --region region-code --version {k8s-n} --vpc-private-subnets subnet-ExampleID1,subnet-ExampleID2 --without-nodegroup

   叢集佈建需要幾分鐘的時間。建立叢集時，會出現幾行輸出。輸出的最後一行類似於下面的範例行。

   [✓]  EKS cluster "my-cluster" in "region-code" region is ready

8. 繼續 步驟 3：更新 kubeconfig

選用設定

若要查看使用 eksctl 建立叢集時可指定的大部分選項，請使用 eksctl create cluster --help 命令。若要查看所有可用的選項，您可使用 config 檔案。如需詳細資訊，請參閱 eksctl 文件中的使用組態檔與組態檔結構描述。您可以在 GitHub 上找到組態檔範例。

以下是選用設定，如有需要，必須將其新增至上一個命令中。您只能在建立叢集時啟用這些選項，而不能在建立叢集之後啟用。如果您需要指定這些選項，則必須使用 eksctl 組態檔案建立叢集並指定設定，而不是使用先前的命令。

• 如果您想要指定一或多個 Amazon EKS 指派給其建立的網路介面的安全群組，請指定 securityGroup 選項。

  無論您是否選擇任何安全群組，Amazon EKS 都會建立一個安全群組，以支援您的叢集和 VPC 之間的通訊。Amazon EKS 將此安全群組及您選擇的任何群組與其建立的網路介面相關聯。如需有關 Amazon EKS 建立的叢集安全群組的詳細資訊，請參閱 檢視叢集的 Amazon EKS 安全群組需求。您可以修改 Amazon EKS 建立的叢集安全群組中的規則。

• 如果您想要指定從哪個無IPv4類別網域間路由 (CIDR) 區塊Kubernetes指派服務 IP 地址，請指定 serviceIPv4CIDR 選項。

  指定您自己的範圍有助於防止 Kubernetes 服務與對等或連接到您的 VPC 的其他網路之間發生衝突。在 CIDR 標記法中輸入範圍。例如：10.2.0.0/16。

  CIDR 區塊必須符合下列需求：

  • 處於以下範圍之一：10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16。

  • 具有最小尺寸的 /24 和最大尺寸的 /12。

  • 與您的 Amazon EKS 資源的 VPC 範圍不重疊。

    您只能在使用 IPv4 地址系列時指定此選項，並且只能在建立叢集時指定。如果您未指定此項目，則 會從 10.100.0.0/16或 172.20.0.0/16 CIDR 區塊Kubernetes指派服務 IP 地址。

• 如果您要建立叢集，並希望叢集將IPv6地址指派給 Pods和服務，而不是IPv4地址，請指定 ipFamily 選項。

  預設情況下，Kubernetes 會為 Pods 和服務指派 IPv4 地址。在決定使用 IPv6 系列之前，請確定您已熟悉 VPC 需求和考量、子網路需求和考量、檢視叢集的 Amazon EKS 安全群組需求，以及了解叢集、 Pods和 服務的 IPv6 地址主題中的所有考量和要求。如果您選擇 IPv6 系列，則無法指定 的地址範圍Kubernetes，以指派IPv6服務地址，就像為 IPv4 系列一樣。 會從唯一的本機地址範圍 (fc00::/7) Kubernetes指派服務地址。

建立叢集 - AWS 主控台

1. 開啟 Amazon EKS 主控台。

2. 選取 Add cluster (新增叢集)，然後選取 Create (建立)。

3. 在組態選項下，選取自訂組態

   • 如需快速建立叢集與 EKS Auto 模式的相關資訊，請參閱 使用 AWS 管理主控台建立 EKS 自動模式叢集。

4. 在 EKS Auto 模式下，切換關閉使用 EKS Auto 模式。

   • 如需使用自訂組態建立 EKS Auto Mode 叢集的詳細資訊，請參閱 建立 Amazon EKS Auto Mode 叢集。

5. 在 Configure cluster (設定叢集) 頁面上，輸入下列欄位：

   • Name (名稱)：叢集的名稱。名稱只能包含英數字元 （區分大小寫）、連字號和底線。它必須以英數字元開頭，且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。

   • 叢集 IAM 角色 – 選擇您建立的 Amazon EKS 叢集 IAM 角色，以允許Kubernetes控制平面代表您管理 AWS 資源。

   • Kubernetes 版本 – Kubernetes用於叢集的 版本。我們建議選取最新版本，除非您需要較早版本。

   • 支援類型 — 您要為叢集設定的Kubernetes版本政策。如果您希望叢集只在標準支援版本上執行，您可以選擇標準支援。如果您希望叢集在 版本的標準支援結束時輸入延伸支援，您可以選擇延伸支援。如果您選取目前處於延伸支援的Kubernetes版本，則無法選取標準支援做為選項。

   • Secrets encryption (秘密加密) – (選用) 選擇使用 KMS 金鑰啟用 Kubernetes 秘密的秘密加密。您也可以在建立叢集後啟用此功能。啟用此功能之前，請確定您已熟悉現有叢集上使用 AWS KMS 加密 Kubernetes 秘密中的資訊。

   • Tags (標籤) – (選用) 將任何標籤新增到您的叢集。如需詳細資訊，請參閱使用標籤組織 Amazon EKS 資源。

   • ARC Zonal shift - （選用） 您可以使用 Route53 Application Recovery 控制器來緩解受損的可用區域。如需詳細資訊，請參閱了解 Amazon EKS 中的 Amazon Application Recovery Controller (ARC) 區域轉移。

6. 在設定叢集頁面的叢集存取區段中，輸入下列欄位：

   • 引導叢集管理員存取 - 叢集建立者會自動成為 Kubernetes 管理員。如果您想要停用此功能，請選取不允許叢集管理員存取。

   • 叢集身分驗證模式 - 決定您要如何授予 IAM 使用者和角色對 Kubernetes APIs存取權。如需詳細資訊，請參閱設定叢集身分驗證模式。

     完成此頁面後，請選擇下一步。

7. 在 Specify networking (指定網路) 頁面上，選取下列欄位的值：

   • VPC：選擇符合 Amazon EKS VPC 要求的現有 VPC 來建立您的叢集。在選擇 VPC 之前，建議您先熟悉檢視 VPC 和子網路的 Amazon EKS 網路需求中的所有需求和考量事項。您無法在叢集建立後變更要使用的 VPC。如果沒有列出 VPC，則您需要先建立一個。如需詳細資訊，請參閱 為您的 Amazon EKS 叢集建立 Amazon VPC。

   • Subnets (子網路)：根據預設，前一個欄位指定的 VPC 中的所有可用子網路會預先選取。您必須選取至少兩個。

     您選擇的子網必須符合 Amazon EKS 子網要求。在選取子網路之前，建議您熟悉所有 Amazon EKS VPC 和子網路需求和考量事項。

     安全群組:(選用) 指定一或多個您希望 Amazon EKS 與其建立的網路介面相關聯的安全群組。

     無論您是否選擇任何安全群組，Amazon EKS 都會建立一個安全群組，以支援您的叢集和 VPC 之間的通訊。Amazon EKS 將此安全群組及您選擇的任何群組與其建立的網路介面相關聯。如需有關 Amazon EKS 建立的叢集安全群組的詳細資訊，請參閱 檢視叢集的 Amazon EKS 安全群組需求。您可以修改 Amazon EKS 建立的叢集安全群組中的規則。

   • 選擇叢集 IP 地址系列：您可以選擇 IPv4 或 IPv6。

     預設情況下，Kubernetes 會為 Pods 和服務指派 IPv4 地址。在決定使用 IPv6 系列之前，請確定您已熟悉 VPC 需求和考量、 和 主題中的所有考量和要求。 子網需求和注意事項 檢視叢集的 Amazon EKS 安全群組需求 了解叢集、 Pods和 服務的 IPv6 地址如果您選擇 IPv6 系列，就無法指定 的地址範圍Kubernetes，以指派IPv6服務地址，就像為 IPv4 系列一樣。 會從唯一的本機地址範圍 (fc00::/7) Kubernetes指派服務地址。

   • (選用) 選擇 Configure Kubernetes Service IP address range (設定 服務 IP 地址範圍)，並指定 Service range (服務 IPv4 範圍)。

     指定您自己的範圍有助於防止 Kubernetes 服務與對等或連接到您的 VPC 的其他網路之間發生衝突。在 CIDR 標記法中輸入範圍。例如：10.2.0.0/16。

     CIDR 區塊必須符合下列需求：

     • 處於以下範圍之一：10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16。

     • 具有最小尺寸的 /24 和最大尺寸的 /12。

     • 與您的 Amazon EKS 資源的 VPC 範圍不重疊。

   您只能在使用 IPv4 地址系列時指定此選項，並且只能在建立叢集時指定。如果您未指定此項目，則 會從 10.100.0.0/16或 172.20.0.0/16 CIDR 區塊Kubernetes指派服務 IP 地址。

   • 針對 Cluster endpoint access (叢集端點存取)，選取一個選項。建立叢集後，您可以變更此選項。在選取非預設選項之前，請務必熟悉這些選項及其含義。如需詳細資訊，請參閱控制叢集 API 伺服器端點的網路存取。

     完成此頁面後，請選擇下一步。

8. (選用) 在設定可觀測性頁面上，選擇要開啟的指標和控制平面日誌記錄選項。根據預設，系統會關閉每個日誌類型。

   • 如需有關 Prometheus 指標選項的詳細資訊，請參閱 步驟 1：開啟Prometheus指標。

   • 如需控制平面日誌記錄選項的詳細資訊，請參閱 將控制平面日誌傳送至 CloudWatch Logs。

   完成此頁面後，請選擇下一步。

9. 在 Select add-ons (選取附加元件) 頁面上，選擇您要新增至叢集的附加元件。某些附加元件會預先選取。您可以視需要選擇任意數量的 Amazon EKS 附加元件和 AWS Marketplace 附加元件。如果您想要安裝的 AWS Marketplace 附加元件未列出，您可以按一下頁面編號以檢視其他頁面結果，或在搜尋方塊中輸入文字來搜尋可用的 AWS Marketplace 附加元件。您也可以依類別、廠商或定價模型進行篩選，然後從搜尋結果中選擇附加元件。建立叢集時，您可以檢視、選取和安裝支援 EKS Pod 身分的任何附加元件，如 中所述了解 如何EKS Pod Identity授予 Pod 對 AWS 服務的存取權。

   完成此頁面後，請選擇下一步。

   預設會安裝一些附加元件，例如 Amazon VPC CNI、CoreDNS 和 kube-proxy。如果您停用任何預設附加元件，可能會影響您執行 Kubernetes 應用程式的能力。

10. 在設定選取的附加元件設定頁面上，選取您要安裝的版本。建立叢集後，您隨時皆可更新至更新版本。

    對於支援 EKS Pod 身分的附加元件，您可以使用主控台自動產生角色，其中包含專為附加元件預先填入的名稱、 AWS 受管政策和信任政策。您可以重複使用現有角色，或為支援的附加元件建立新的角色。如需使用主控台為支援 EKS Pod 身分的附加元件建立角色的步驟，請參閱 建立附加元件AWS （主控台）。如果附加元件不支援 EKS Pod Identity，則會顯示訊息，其中包含在叢集建立後使用精靈建立服務帳戶 (IRSA) 的 IAM 角色的指示。

    您可以在建立叢集後更新每個附加元件的組態。如需有關設定附加元件的詳細資訊，請參閱更新 Amazon EKS 附加元件。完成此頁面後，請選擇下一步。

11. 在 Review and create (檢閱並建立) 頁面上，檢閱您在先前頁面上輸入或選取的資訊。如需變更，請選擇 Edit (編輯)。當您滿意時，請選擇建立。在佈建叢集時，Status (狀態) 欄位顯示 CREATING (正在建立)。

    注意

    您可能會收到錯誤，表示請求中的其中一個可用區域沒有足夠的容量來建立 Amazon EKS 叢集。如果發生這種情況，錯誤輸出包含的可用區域可支援新的叢集。使用至少兩個位於帳戶的支援可用區域子網路來建立您的叢集。如需詳細資訊，請參閱容量不足。

    叢集佈建需要幾分鐘的時間。

12. 繼續 步驟 3：更新 kubeconfig

建立叢集 - AWS CLI

1. 使用下列命令建立您的叢集。執行命令之前，請執行下列替換：

   • 將 region-code 取代為您要建立叢集 AWS 的區域。

   • 使用叢集的名稱取代 my-cluster。名稱只能包含英數字元 （區分大小寫）、連字號和底線。它必須以英數字元開頭，且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。

   • 將 1.31 取代為任何 Amazon EKS 支援的版本。

   • 將 111122223333 取代為您的帳戶 ID，並將 myAmazonEKSClusterRole 取代為叢集 IAM 角色的名稱。

   • 以您自己的值取代 subnetIds 值。您也可以新增其他 ID。您必須指定至少兩個子網路 ID。

     您選擇的子網必須符合 Amazon EKS 子網要求。在選取子網路之前，建議您熟悉所有 Amazon EKS VPC 和子網路需求和考量事項。

   • 如果您不想指定安全群組 ID，,securityGroupIds=sg-<ExampleID1>請從命令中移除 。如果要指定一或多個安全群組 ID，請將 securityGroupIds 取代為您自己的值。您也可以新增其他 ID。

     無論您是否選擇任何安全群組，Amazon EKS 都會建立一個安全群組，以支援您的叢集和 VPC 之間的通訊。Amazon EKS 將此安全群組及您選擇的任何群組與其建立的網路介面相關聯。如需有關 Amazon EKS 建立的叢集安全群組的詳細資訊，請參閱 檢視叢集的 Amazon EKS 安全群組需求。您可以修改 Amazon EKS 建立的叢集安全群組中的規則。

     aws eks create-cluster --region region-code --name my-cluster --kubernetes-version 1.31 \
        --role-arn arn:aws: iam::111122223333:role/myAmazonEKSClusterRole \
        --resources-vpc-config subnetIds=subnet-ExampleID1,subnet-ExampleID2,securityGroupIds=sg-ExampleID1

     注意

     您可能會收到錯誤，表示請求中的其中一個可用區域沒有足夠的容量來建立 Amazon EKS 叢集。如果發生這種情況，錯誤輸出包含的可用區域可支援新的叢集。使用至少兩個位於帳戶的支援可用區域子網路來建立您的叢集。如需詳細資訊，請參閱容量不足。

     以下是選用設定，如有需要，必須將其新增至上一個命令中。您只能在建立叢集時啟用這些選項，而不能在建立叢集之後啟用。

   • 根據預設，EKS 會在叢集建立期間安裝多個聯網附加元件。這包括 Amazon VPC CNI、CoreDNS 和 kube-proxy。

     如果您想要停用這些預設聯網附加元件的安裝，請使用下列參數。這可用於替代 CNIs，例如 Cilium。如需詳細資訊，請參閱 EKS API 參考。

     aws eks create-cluster --bootstrapSelfManagedAddons false

   • 如果您想指定 Kubernetes 要從哪個 IPv4 無類別域間路由 (CIDR) 區塊中指派服務 IP 地址，您必須將 --kubernetes-network-config serviceIpv4Cidr=<cidr-block> 新增至下列命令來指定。

     指定您自己的範圍有助於防止 Kubernetes 服務與對等或連接到您的 VPC 的其他網路之間發生衝突。在 CIDR 標記法中輸入範圍。例如：10.2.0.0/16。

     CIDR 區塊必須符合下列需求：

     • 處於以下範圍之一：10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16。

     • 具有最小尺寸的 /24 和最大尺寸的 /12。

     • 與您的 Amazon EKS 資源的 VPC 範圍不重疊。

   您只能在使用 IPv4 地址系列時指定此選項，並且只能在建立叢集時指定。如果您未指定此項目，則 會從 10.100.0.0/16或 172.20.0.0/16 CIDR 區塊Kubernetes指派服務 IP 地址。

   • 如果您要建立叢集，並希望叢集將IPv6地址指派給 Pods 和 服務，而不是IPv4地址，請新增至--kubernetes-network-config ipFamily=ipv6下列命令。

     預設情況下，Kubernetes 會為 Pods 和服務指派 IPv4 地址。在決定使用 IPv6 系列之前，請確定您已熟悉 VPC 需求和考量、 和 主題中的所有考量和要求。 子網需求和注意事項 檢視叢集的 Amazon EKS 安全群組需求 了解叢集、 Pods和 服務的 IPv6 地址如果您選擇 IPv6 系列，就無法指定 的地址範圍Kubernetes，以指派IPv6服務地址，就像為 IPv4 系列一樣。 會從唯一的本機地址範圍 (fc00::/7) Kubernetes指派服務地址。

2. 佈建叢集需要幾分鐘才能完成。您可以使用下列命令來查詢叢集的狀態。

   aws eks describe-cluster --region region-code --name my-cluster --query "cluster.status"

   在傳回的輸出為 之前，請勿繼續下一個步驟ACTIVE。

3. 繼續 步驟 3：更新 kubeconfig

步驟 3：更新 kubeconfig

1. 如果您使用 eksctl 建立叢集，則可以略過此步驟。這是因為 eksctl 已為您完成此步驟。透過向 kubectl config 檔案新增內容，使 kubectl 能夠與您的叢集通訊。如需建立和更新檔案的詳細資訊，請參閱 建立 kubeconfig 檔案kubectl以連線至 EKS 叢集。

   aws eks update-kubeconfig --region region-code --name my-cluster

   範例輸出如下。

   Added new context arn:aws: eks:region-code:111122223333:cluster/my-cluster to /home/username/.kube/config

2. 透過執行以下命令確認與叢集的通訊。

   kubectl get svc

   範例輸出如下。

   NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
   kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   28h

步驟 4：叢集設定

1. （建議） 若要使用一些 Amazon EKS 附加元件，或讓個別Kubernetes工作負載具有特定的 AWS Identity and Access Management (IAM) 許可，請為您的叢集建立 IAM OpenID Connect (OIDC) 提供者。您只需要為叢集建立 IAM OIDC 提供商一次。若要進一步了解 Amazon EKS 附加元件，請參閱 Amazon EKS 附加元件。若要進一步了解如何將特定 IAM 許可指派給您的工作負載，請參閱 服務帳戶的 IAM 角色。

2. (建議) 將叢集設定為 Amazon VPC CNI plugin for Kubernetes 外掛程式，然後再將 Amazon EC2 節點部署到叢集。預設情況下，外掛程式已隨叢集一起安裝。將 Amazon EC2 節點新增到叢集時，外掛程式會自動部署至您新增的每個 Amazon EC2 節點。外掛程式需要您將下列其中一個 IAM 政策連接至 IAM 角色。如果您的叢集使用 IPv4 系列，請使用 AmazonEKS_CNI_Policy 受管 IAM 政策。如果您的叢集使用 IPv6 系列，請使用您建立的 IAM 政策。

   您連接政策的 IAM 角色可以是節點 IAM 角色，也可以是僅用於外掛程式的專用角色。我們建議將政策連接至此角色。如需建立角色的詳細資訊，請參閱 設定 Amazon VPC CNI 外掛程式以使用 IRSA或 Amazon EKS 節點 IAM 角色。

3. 如果您使用 部署叢集 AWS Management Console，則可以略過此步驟。根據預設， AWS Management Console 部署 Amazon VPC CNI plugin for Kubernetes、 CoreDNS和 kube-proxy Amazon EKS 附加元件。

   如果您使用 eksctl或 AWS CLI 部署叢集，則會部署 Amazon VPC CNI plugin for Kubernetes、 CoreDNS和kube-proxy自我管理的附加元件。您可以將隨叢集一起部署的 Amazon VPC CNI plugin for Kubernetes、CoreDNS 和 kube-proxy 自我管理附加元件遷移到 Amazon EKS 附加元件。如需詳細資訊，請參閱Amazon EKS 附加元件。

4. (選用) 如果您尚未執行此操作，則可啟用叢集的 Prometheus 指標。如需詳細資訊，請參閱《Amazon Managed Service for Prometheus 使用者指南》中的建立湊集器。

5. 如果您計劃將工作負載部署到使用 Amazon EBS 磁碟區的叢集，且您建立了 1.23或更新版本的叢集，則必須在部署工作負載之前將 Amazon EBS CSI 安裝到您的叢集。

後續步驟

• 建立叢集的 IAM 主體是唯一可以存取叢集的 IAM 主體。將許可授予其他 IAM 主體，讓他們可以存取您的叢集。

• 如果建立叢集的 IAM 主體僅具有先決條件中所參考的最低 IAM 許可，那麼您可能需要為該主體新增其他 Amazon EKS 許可。如需將 Amazon EKS 許可授予 IAM 主體的詳細資訊，請參閱 Amazon 的身分和存取管理 EKS。

• 如果您希望建立叢集的 IAM 主體或任何其他主體檢視 Amazon EKS 主控台中的Kubernetes資源，請將必要許可授予實體。

• 如果您希望節點和 IAM 主體從 VPC 內存取您的叢集，請啟用叢集的私有端點。根據預設，公有端點為啟用狀態。如有需要，您可以在啟用私有端點後停用公有端點。如需詳細資訊，請參閱控制叢集 API 伺服器端點的網路存取。

• 為叢集啟用密鑰加密。

• 設定叢集的日誌。

• 將節點新增至叢集。