Conditions préalables Spécification des sous-réseaux VPC Rôles IAM des clusters du mode automatique EKS Création d’un rôle IAM de cluster du mode automatique Amazon EKS Création d’un rôle IAM de nœud du mode automatique EKS Création d’un cluster du mode automatique EKS Étapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Création d'un cluster en mode automatique EKS à l'aide de la AWS CLI

Les clusters du mode automatique EKS automatisent les tâches courantes de gestion du cluster pour le calcul, le stockage et la mise en réseau. Par exemple, les clusters en mode automatique EKS détectent automatiquement lorsque des nœuds supplémentaires sont nécessaires et fournissent de nouvelles EC2 instances pour répondre aux demandes de charge de travail.

Cette rubrique explique comment créer un nouveau cluster en mode automatique EKS à l'aide de la AWS CLI et éventuellement déployer un exemple de charge de travail.

Conditions préalables

La dernière version de l'interface de ligne de AWS commande (AWS CLI) installée et configurée sur votre appareil. Pour vérifier votre version actuelle, utilisez aws --version. Pour installer la dernière version, consultez la section Installation et configuration rapide avec aws configure dans le Guide de l'utilisateur de l'interface de ligne de AWS commande.
- Connectez-vous à la CLI avec des autorisations IAM suffisantes pour créer des AWS ressources, notamment des politiques IAM, des rôles IAM et des clusters EKS.
L'outil de ligne de commande kubectl installé sur votre appareil. AWS suggère que vous utilisiez la même version de kubectl que la version Kubernetes de votre cluster EKS. Pour installer ou mettre à niveau kubectl, consultez Configuration de kubectl et eksctl.

Spécification des sous-réseaux VPC

Le mode automatique Amazon EKS déploie des nœuds sur des sous-réseaux VPC. Lorsque vous créez un cluster EKS, vous devez spécifier les sous-réseaux VPC dans lesquels les nœuds seront déployés. Vous pouvez utiliser les sous-réseaux VPC par défaut de votre AWS compte ou créer un VPC dédié aux charges de travail critiques.

AWS suggère de créer un VPC dédié pour votre cluster. Découvrez comment Création d’un VPC Amazon pour votre cluster Amazon EKS.
La console EKS aide à créer un nouveau VPC. Découvrez comment Création d’un cluster du mode automatique EKS à l’aide de la AWS Management Console.
Vous pouvez également utiliser le VPC par défaut de votre AWS compte. Suivez les instructions ci-dessous pour trouver le sous-réseau IDs.

À l'aide de la AWS CLI :

Exécutez la commande suivante pour répertorier le VPC par défaut et ses sous-réseaux :

aws ec2 describe-subnets --filters "Name=vpc-id,Values=$(aws ec2 describe-vpcs --query 'Vpcs[?IsDefault==`true`].VpcId' --output text)" --query 'Subnets[*].{ID:SubnetId,AZ:AvailabilityZone}' --output table

Enregistrez la sortie et notez le sous-réseau IDs.

Exemple de sortie :

----------------------------------------
|             DescribeSubnets          |
----------------------------------------
|   SubnetId        |   AvailabilityZone  |
|--------------------|---------------------|
|   subnet-012345678 |   us-west-2a        |
|   subnet-234567890 |   us-west-2b        |
|   subnet-345678901 |   us-west-2c        |
----------------------------------------

Rôles IAM des clusters du mode automatique EKS

Rôle IAM du cluster

Le mode automatique d'EKS nécessite un rôle IAM de cluster pour effectuer des actions sur votre AWS compte, telles que le provisionnement de nouvelles EC2 instances. Vous devez créer ce rôle pour accorder à EKS les autorisations nécessaires. AWS recommande d'associer les politiques AWS gérées suivantes au rôle IAM du cluster :

Rôle IAM de nœud

Lorsque vous créez un cluster du mode automatique EKS, vous spécifiez un rôle IAM de nœud. Lorsque le mode automatique d'EKS crée des nœuds pour traiter les charges de travail en attente, le rôle Node IAM est attribué à chaque nouveau nœud d' EC2 instance. Ce rôle permet au nœud de communiquer avec EKS, mais il n’est généralement pas utilisé par les charges de travail qui s’exécutent sur ce nœud.

Si vous souhaitez accorder des autorisations à des charges de travail exécutées sur un nœud, utilisez l’identité du pod EKS. Pour de plus amples informations, veuillez consulter Découvrir comment l’identité du pod Amazon EKS accorde aux pods l’accès aux services AWS.

Vous devez créer ce rôle et y associer la politique AWS gérée suivante :

Rôle lié à un service

Le mode automatique EKS nécessite également un rôle lié au service, qui est automatiquement créé et configuré par AWS. Pour plus d'informations, consultez AWSServiceRoleForAmazonEKS.

Création d’un rôle IAM de cluster du mode automatique Amazon EKS

Étape 1 : créer la politique d’approbation

Créez une politique d’approbation qui permet au service Amazon EKS d’assumer le rôle. Enregistrez la politique sous trust-policy.json :


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow", 
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}

Étape 2 : créer le rôle IAM

Utilisez la politique d’approbation pour créer le rôle IAM du cluster :

aws iam create-role \
    --role-name AmazonEKSAutoClusterRole \
    --assume-role-policy-document file://trust-policy.json

Étape 3 : noter l’ARN du rôle

Extrayez et enregistrez l’ARN du nouveau rôle pour les étapes ultérieures :

aws iam get-role --role-name AmazonEKSAutoClusterRole --query "Role.Arn" --output text

Étape 4 : attacher les politiques requises

Associez les politiques AWS gérées suivantes au rôle IAM du cluster pour accorder les autorisations nécessaires :

EKSClusterPolitique d'Amazon :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy

EKSComputePolitique d'Amazon :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSComputePolicy

Amazon EKSBlock StoragePolicy :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSBlockStoragePolicy

Amazon EKSLoad BalancingPolicy :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSLoadBalancingPolicy

EKSNetworkingPolitique d'Amazon :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSNetworkingPolicy

Création d’un rôle IAM de nœud du mode automatique EKS

Étape 1 : créer la politique d’approbation

Créez une politique d’approbation qui permet au service Amazon EKS d’assumer le rôle. Enregistrez la politique sous node-trust-policy.json :


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Étape 2 : créer le rôle IAM du nœud

Utilisez le fichier node-trust-policy.json de l'étape précédente pour définir les entités qui peuvent assumer le rôle. Exécutez la commande suivante pour créer le rôle IAM du nœud :

aws iam create-role \
    --role-name AmazonEKSAutoNodeRole \
    --assume-role-policy-document file://node-trust-policy.json

Étape 3 : noter l’ARN du rôle

Après la création du rôle, extrayez et enregistrez l’ARN du rôle IAM du nœud. Cet ARN sera nécessaire dans les étapes suivantes. Utilisez la commande suivante pour extraire l’ARN :

aws iam get-role --role-name AmazonEKSAutoNodeRole --query "Role.Arn" --output text

Étape 4 : attacher les politiques requises

Associez les politiques AWS gérées suivantes au rôle Node IAM pour fournir les autorisations nécessaires :

Amazon EKSWorker NodeMinimalPolicy :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSWorkerNodeMinimalPolicy

Amazon EC2 ContainerRegistryPullOnly :


aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

Création d’un cluster du mode automatique EKS

Présentation de

Pour créer un cluster en mode automatique EKS à l'aide de la AWS CLI, vous aurez besoin des paramètres suivants :

cluster-name : nom du cluster.
k8s-version : version Kubernetes (p. ex. : 1.31).
subnet-ids: sous-réseau IDs identifié lors des étapes précédentes.
cluster-role-arn : ARN du rôle IAM du cluster.
node-role-arn : ARN du rôle IAM de nœud.

Configurations de clusters par défaut

Vérifiez ces valeurs et fonctionnalités par défaut avant de créer le cluster :

nodePools : le mode automatique EKS inclut des groupes de nœuds généraux et des groupes de nœuds système par défaut. Pour en savoir plus, consultez Groupes de nœuds.

Remarque : les groupes de nœuds du mode automatique EKS sont différents des groupes de nœuds gérés par Amazon EKS, mais ils peuvent coexister dans le même cluster.

computeConfig.enabled: automatise les tâches de calcul de routine, telles que la création et la suppression d' EC2 instances.
kubernetesNetworkConfig.elasticLoadBalancing.enabled : automatise les tâches d’équilibrage de charge, notamment la création et la suppression d’équilibreur de charges Elastic Load Balancer.
storageConfig.blockStorage.enabled : automatise les tâches de stockage, telles que la création et la suppression de volumes Amazon EBS.
accessConfig.authenticationMode : nécessite des entrées d’accès EKS. Pour en savoir plus, consultez Modes d’authentification EKS.

Exécution de la commande

Utilisez la commande suivante pour créer le cluster :

aws eks create-cluster \
  --region ${AWS_REGION} \
  --cli-input-json \
  "{
      \"name\": \"${CLUSTER_NAME}\",
      \"version\": \"${K8S_VERSION}\",
      \"roleArn\": \"${CLUSTER_ROLE_ARN}\",
      \"resourcesVpcConfig\": {
        \"subnetIds\": ${SUBNETS_JSON},
        \"endpointPublicAccess\": true,
        \"endpointPrivateAccess\": true
      },
      \"computeConfig\": {
        \"enabled\": true,
        \"nodeRoleArn\":\"${NODE_ROLE_ARN}\",
        \"nodePools\": [\"general-purpose\", \"system\"]
      },
      \"kubernetesNetworkConfig\": {
        \"elasticLoadBalancing\": {
          \"enabled\": true
        }
      },
      \"storageConfig\": {
        \"blockStorage\": {
          \"enabled\": true
        }
      },
      \"accessConfig\": {
        \"authenticationMode\": \"API\"
      }
    }

Vérification de l’état du cluster

Étape 1 : vérifier la création de cluster

Exécutez la commande suivante pour vérifier l’état de votre cluster. La création d’un cluster prend généralement environ 15 minutes :

aws eks describe-cluster --name "${CLUSTER_NAME}" --output json

Étape 2 : mettre à jour kubeconfig

Une fois le cluster prêt, mettez à jour votre fichier kubeconfig local pour permettre à kubectl de communiquer avec le cluster. Cette configuration utilise la AWS CLI pour l'authentification.

aws eks update-kubeconfig --name "${CLUSTER_NAME}"

Étape 3 : vérifier les groupes de nœuds

Répertoriez les groupes de nœuds présents dans votre cluster à l’aide de la commande suivante :

kubectl get nodepools

Étapes suivantes

Découvrez comment déployer un exemple de charge de travail sur votre nouveau cluster du mode automatique EKS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

CLI eksctl

Console de gestion