**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kemampuan EKS
**Tip**
Memulai: [Buat kemampuan ACK](create-ack-capability.md) \$1 [Buat kemampuan Argo CD \$1 Buat kemampuan](create-argocd-capability.md) [kro](create-kro-capability.md)
Amazon EKS Capabilities adalah serangkaian fitur cluster yang dikelola sepenuhnya yang membantu mempercepat kecepatan pengembang dan mengurangi kompleksitas pembuatan dan penskalaan dengan Kubernetes. Kemampuan EKS adalah fitur asli Kubernetes untuk penerapan berkelanjutan deklaratif, manajemen AWS sumber daya, dan penulisan dan orkestrasi sumber daya Kubernetes, semuanya dikelola sepenuhnya oleh. AWS Dengan Kemampuan EKS, Anda dapat lebih fokus pada membangun dan menskalakan beban kerja Anda, menurunkan beban operasional dari layanan platform dasar ini. AWS Kemampuan ini berjalan di dalam EKS daripada di cluster Anda, menghilangkan kebutuhan untuk menginstal, memelihara, dan menskalakan komponen platform penting pada node pekerja Anda.
Untuk memulai, Anda dapat membuat satu atau lebih Kemampuan EKS pada cluster EKS baru atau yang sudah ada. Untuk melakukan ini, Anda dapat menggunakan AWS CLI, EKS, eksctl APIs, atau alat pilihan Anda. Konsol Manajemen AWS infrastructure-as-code Meskipun Kemampuan EKS dirancang untuk bekerja sama, mereka adalah sumber daya cloud independen yang dapat Anda pilih dan pilih berdasarkan kasus penggunaan dan persyaratan Anda.
Semua versi Kubernetes yang didukung oleh EKS didukung untuk Kemampuan EKS.
**catatan**
Kemampuan EKS tersedia di semua Wilayah AWS komersial tempat Amazon EKS tersedia. Untuk daftar Wilayah yang didukung, lihat [titik akhir dan kuota Amazon EKS di Referensi](https://docs.aws.amazon.com/general/latest/gr/eks.html) AWS Umum.
## Kemampuan yang Tersedia
### AWS Pengontrol untuk Kubernetes (ACK)
ACK memungkinkan pengelolaan AWS sumber daya menggunakan Kubernetes APIs, memungkinkan Anda membuat dan mengelola bucket S3, database RDS, peran IAM, dan sumber daya lainnya menggunakan sumber daya kustom Kubernetes. AWS ACK terus mendamaikan keadaan yang Anda inginkan dengan status aktual di AWS, memperbaiki penyimpangan apa pun dari waktu ke waktu untuk menjaga sistem Anda tetap sehat dan sumber daya Anda dikonfigurasi seperti yang ditentukan. Anda dapat mengelola AWS sumber daya di samping beban kerja Kubernetes Anda menggunakan alat dan alur kerja yang sama, dengan dukungan untuk lebih dari 50 AWS layanan termasuk S3, RDS, DynamoDB, dan Lambda. ACK mendukung manajemen sumber daya lintas akun dan lintas wilayah, memungkinkan arsitektur manajemen sistem multi-akun dan multi-cluster yang kompleks. ACK mendukung sumber daya hanya-baca dan adopsi hanya-baca, memfasilitasi migrasi dari infrastruktur lain sebagai alat kode ke dalam sistem berbasis Kubernetes Anda.
[Pelajari lebih lanjut tentang ACK →](ack.md)
### Argo CD
Argo CD mengimplementasikan penerapan berkelanjutan GitOps berbasis untuk aplikasi Anda, menggunakan repositori Git sebagai sumber kebenaran untuk beban kerja dan status sistem Anda. Argo CD secara otomatis menyinkronkan sumber daya aplikasi ke kluster Anda dari repositori Git Anda, mendeteksi dan memulihkan drift untuk memastikan aplikasi yang Anda gunakan sesuai dengan status yang Anda inginkan. Anda dapat menyebarkan dan mengelola aplikasi di beberapa cluster dari satu instance Argo CD, dengan penerapan otomatis dari repositori Git setiap kali perubahan dilakukan. Menggunakan Argo CD dan ACK bersama-sama menyediakan GitOps sistem dasar, menyederhanakan manajemen ketergantungan beban kerja serta mendukung desain seluruh sistem termasuk manajemen cluster dan infrastruktur dalam skala besar. Argo CD terintegrasi dengan Pusat AWS Identitas untuk otentikasi dan otorisasi, dan menyediakan UI Argo yang dihosting untuk memvisualisasikan kesehatan aplikasi dan status penerapan.
[Pelajari lebih lanjut tentang Argo CD →](argocd.md)
### kro (Orkestra Sumber Daya Kube)
kro memungkinkan Anda untuk membuat Kubernetes kustom APIs yang menyusun beberapa sumber daya menjadi abstraksi tingkat yang lebih tinggi, memungkinkan tim platform untuk menentukan pola yang dapat digunakan kembali untuk kombinasi sumber daya umum-blok bangunan cloud. Dengan kro, Anda dapat menyusun Kubernetes dan AWS sumber daya bersama-sama ke dalam abstraksi terpadu, menggunakan sintaks sederhana untuk mengaktifkan konfigurasi dinamis dan logika bersyarat. kro memungkinkan tim platform untuk menyediakan kemampuan swalayan dengan pagar pembatas yang sesuai, memungkinkan pengembang untuk menyediakan infrastruktur yang kompleks menggunakan sederhana, yang dibuat khusus APIs sambil mempertahankan standar organisasi dan praktik terbaik. sumber daya kro hanyalah sumber daya Kubernetes, dan ditentukan dalam Kubernetes manifes yang dapat disimpan dalam Git, atau didorong ke OCI- registrasi yang kompatibel seperti Amazon ECR untuk distribusi organisasi yang luas.
[Pelajari lebih lanjut tentang kro →](kro.md)
## Manfaat Kemampuan EKS
Kemampuan EKS sepenuhnya dikelola oleh AWS, menghilangkan kebutuhan untuk instalasi, pemeliharaan, dan penskalaan layanan cluster dasar. AWS menangani patching keamanan, pembaruan, dan manajemen operasional, membebaskan tim Anda untuk fokus membangun dengan AWS bukan pada operasi klaster. Tidak seperti add-on Kubernetes tradisional yang menggunakan sumber daya klaster, kapabilitas berjalan di EKS daripada di node pekerja Anda. Ini membebaskan kapasitas cluster dan sumber daya untuk beban kerja Anda sambil meminimalkan beban operasional mengelola pengontrol in-cluster dan komponen platform lainnya.
Dengan Kemampuan EKS, Anda dapat mengelola penerapan, AWS sumber daya, sumber daya Kubernetes kustom, dan komposisi menggunakan Kubernetes asli dan alat seperti. APIs `kubectl` Semua kemampuan beroperasi dalam konteks cluster Anda, secara otomatis mendeteksi dan mengoreksi penyimpangan konfigurasi di sumber daya infrastruktur aplikasi dan cloud. Anda dapat menerapkan dan mengelola sumber daya di beberapa cluster, AWS akun, dan wilayah dari satu titik kontrol, menyederhanakan operasi di lingkungan terdistribusi yang kompleks.
Kemampuan EKS dirancang untuk GitOps alur kerja, menyediakan infrastruktur deklaratif, terkontrol versi dan manajemen aplikasi. Perubahan mengalir dari Git melalui sistem, menyediakan jejak audit, kemampuan rollback, dan alur kerja kolaborasi yang terintegrasi dengan praktik pengembangan Anda yang ada. Pendekatan asli Kubernetes ini berarti Anda tidak perlu menggunakan beberapa alat atau mengelola infrastructure-as-code sistem di luar klaster Anda, dan ada satu sumber kebenaran untuk dirujuk. Status yang Anda inginkan, yang didefinisikan dalam konfigurasi deklaratif Kubernetes yang dikendalikan versi, terus diterapkan di seluruh lingkungan Anda.
## Penetapan harga
Dengan Kemampuan EKS, tidak ada komitmen di muka atau biaya minimum. Anda dikenakan biaya untuk setiap sumber daya kemampuan untuk setiap jam yang aktif di kluster Amazon EKS Anda. Sumber daya Kubernetes tertentu yang dikelola oleh Kemampuan EKS juga ditagih dengan tarif per jam.
Untuk informasi harga saat ini, lihat [halaman harga Amazon EKS](https://aws.amazon.com/eks/pricing/).
**Tip**
Anda dapat menggunakan AWS Cost Explorer dan Cost and Usage Reports untuk melacak biaya kemampuan secara terpisah dari biaya EKS lainnya. Anda dapat menandai kemampuan Anda dengan nama cluster, jenis kemampuan, dan detail lainnya untuk tujuan alokasi biaya.
## Bagaimana Kemampuan EKS Bekerja
Setiap kemampuan adalah AWS sumber daya yang Anda buat di cluster EKS Anda. Setelah dibuat, kemampuan berjalan di EKS dan sepenuhnya dikelola oleh AWS.
**catatan**
Anda dapat membuat satu sumber daya kemampuan dari setiap jenis (Argo CD, ACK, dan kro) untuk cluster tertentu. Anda tidak dapat membuat beberapa sumber daya kemampuan dari jenis yang sama pada cluster yang sama.
Anda berinteraksi dengan kapabilitas di klaster Anda menggunakan Kubernetes APIs dan alat standar:
+ Gunakan `kubectl` untuk menerapkan sumber daya kustom Kubernetes
+ Gunakan repositori Git sebagai sumber kebenaran untuk alur kerja GitOps
Beberapa kemampuan memiliki alat tambahan yang didukung. Contoh:
+ Gunakan Argo CD CLI untuk mengonfigurasi dan mengelola repositori dan cluster dalam kemampuan Argo CD Anda
+ Gunakan Argo CD UI untuk memvisualisasikan dan mengelola aplikasi yang dikelola oleh kemampuan Argo CD Anda
Kemampuan dirancang untuk bekerja sama tetapi independen dan sepenuhnya opt-in. Anda dapat mengaktifkan satu, dua, atau ketiga kemampuan berdasarkan kebutuhan Anda, dan memperbarui konfigurasi Anda saat kebutuhan Anda berkembang.
Semua tipe EKS Compute didukung untuk digunakan dengan Kemampuan EKS. Untuk informasi selengkapnya, lihat [Mengelola sumber daya komputasi dengan menggunakan node](eks-compute.md).
Untuk konfigurasi keamanan dan detail tentang peran IAM, lihat[Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md). Untuk pola arsitektur multi-cluster, lihat[Pertimbangan Kemampuan EKS](capabilities-considerations.md).
## Kasus Penggunaan Umum
**GitOps untuk Aplikasi dan Infrastruktur**
Gunakan Argo CD untuk menyebarkan aplikasi dan komponen operasional dan ACK untuk mengelola konfigurasi klaster dan infrastruktur penyediaan, baik dari repositori Git. Seluruh tumpukan Anda—aplikasi, database, penyimpanan, dan jaringan—didefinisikan sebagai kode dan digunakan secara otomatis.
Contoh: Tim pengembangan mendorong perubahan ke Git. Argo CD menyebarkan aplikasi yang diperbarui, dan ACK menyediakan database RDS baru dengan konfigurasi yang benar. Semua perubahan dapat diaudit, reversibel, dan konsisten di seluruh lingkungan.
**Rekayasa Platform dengan Layanan Mandiri**
Gunakan kro untuk membuat kustom APIs yang menyusun sumber daya ACK dan Kubernetes. Tim platform menentukan pola yang disetujui dengan pagar pembatas. Tim aplikasi menggunakan sederhana, tingkat tinggi APIs untuk menyediakan tumpukan lengkap.
Contoh: Tim platform membuat API "WebApplication" yang menyediakan bucket Deployment, Service, Ingress, dan S3. Pengembang menggunakan API ini tanpa perlu memahami kompleksitas atau AWS izin yang mendasarinya.
**Manajemen Aplikasi Multi-Cluster**
Gunakan Argo CD untuk menyebarkan aplikasi di beberapa kluster EKS di berbagai wilayah atau akun. Kelola semua penerapan dari satu instance CD Argo dengan kebijakan dan alur kerja yang konsisten.
Contoh: Menerapkan aplikasi yang sama ke cluster pengembangan, pementasan, dan produksi di beberapa wilayah. Argo CD memastikan setiap lingkungan tetap sinkron dengan cabang Git yang sesuai.
**Manajemen Multi-Cluster**
Gunakan ACK untuk mendefinisikan dan menyediakan kluster EKS, kro untuk menyesuaikan konfigurasi cluster dengan standar organisasi, dan Argo CD untuk mengelola siklus hidup dan konfigurasi cluster. Ini menyediakan manajemen end-to-end cluster dari pembuatan melalui operasi yang sedang berlangsung.
Contoh: Tentukan kluster EKS menggunakan ACK dan kro untuk menyediakan dan mengelola infrastruktur cluster, mendefinisikan standar organisasi untuk jaringan, kebijakan keamanan, add-on, dan konfigurasi lainnya. Gunakan Argo CD untuk membuat dan terus mengelola klaster, konfigurasi, dan pembaruan versi Kubernetes di seluruh armada Anda dengan memanfaatkan standar yang konsisten dan manajemen siklus hidup otomatis.
**Migrasi dan Modernisasi**
Sederhanakan migrasi ke EKS dengan penyediaan sumber daya cloud asli dan alur kerja. GitOps Gunakan ACK untuk mengadopsi AWS sumber daya yang ada tanpa membuat ulang, dan Argo CD untuk mengoperasionalkan penerapan beban kerja dari Git.
Contoh: Sebuah tim yang bermigrasi dari EC2 EKS mengadopsi database RDS yang ada dan bucket S3 menggunakan ACK, kemudian menggunakan Argo CD untuk menyebarkan aplikasi kontainer dari Git. Jalur migrasi jelas, dan operasi distandarisasi sejak hari pertama.
**Bootstrapping Akun dan Regional**
Otomatiskan peluncuran infrastruktur di seluruh akun dan wilayah menggunakan Argo CD dan ACK bersama-sama. Tentukan infrastruktur Anda sebagai kode di Git, dan biarkan kapabilitas menangani penerapan dan manajemen.
Contoh: Tim platform mengelola repositori Git yang mendefinisikan konfigurasi akun standar—VPCs, peran IAM, instans RDS, dan tumpukan pemantauan. Argo CD menyebarkan konfigurasi ini ke akun dan wilayah baru secara otomatis, memastikan konsistensi dan mengurangi waktu penyiapan manual dari hari ke menit.
# Bekerja dengan sumber daya kemampuan
Topik ini menjelaskan operasi umum untuk mengelola sumber daya kemampuan di semua jenis kemampuan.
## Sumber daya kemampuan EKS
Kemampuan EKS adalah AWS sumber daya yang memungkinkan fungsionalitas terkelola di kluster Amazon EKS Anda. Kemampuan berjalan di EKS, menghilangkan kebutuhan untuk menginstal dan memelihara pengontrol dan komponen operasional lainnya pada node pekerja Anda. Kemampuan dibuat untuk kluster EKS tertentu, dan tetap berafiliasi dengan cluster tersebut untuk seluruh siklus hidupnya.
Setiap sumber daya kemampuan memiliki:
+ Nama unik di dalam klaster Anda
+ Jenis kemampuan (ACK, ARGOCD, atau KRO)
+ Nama Sumber Daya Amazon (ARN), yang menentukan nama dan jenis
+ Peran kemampuan IAM
+ Status yang menunjukkan keadaannya saat ini
+ Konfigurasi, baik generik maupun spesifik untuk jenis kemampuan
## Memahami status kemampuan
Sumber daya kemampuan memiliki status yang menunjukkan keadaan mereka saat ini. Anda dapat melihat status kemampuan dan kesehatan di konsol EKS atau menggunakan AWS CLI.
**Konsol**:
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda.
1. Pilih tab **Kemampuan** untuk melihat status semua kemampuan.
1. Untuk informasi kesehatan yang mendetail, pilih tab **Observability**, lalu **Monitor cluster**, lalu tab **Capabilities**.
** AWS CLI**:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-capability-name
```
### Status kemampuan
**MENCIPTAKAN**: Kemampuan sedang diatur. Anda dapat menavigasi jauh dari konsol—kemampuan akan terus dibuat di latar belakang.
**AKTIF**: Kemampuan berjalan dan siap digunakan. Jika sumber daya tidak berfungsi seperti yang diharapkan, periksa status sumber daya dan izin IAM. Lihat [Memecahkan Masalah Kemampuan EKS](capabilities-troubleshooting.md) untuk panduan.
**MEMPERBARUI**: Perubahan konfigurasi sedang diterapkan. Tunggu statusnya kembali`ACTIVE`.
**MENGHAPUS**: Kemampuan sedang dihapus dari cluster.
**CREATE\$1FAILED**: Pengaturan mengalami kesalahan. Penyebab umum meliputi:
+ Kebijakan kepercayaan peran IAM salah atau tidak ada
+ Peran IAM tidak ada atau tidak dapat diakses
+ Masalah akses klaster
+ Parameter konfigurasi tidak valid
Periksa bagian kesehatan kemampuan untuk detail kesalahan tertentu.
**UPDATE\$1FAILED: Pembaruan konfigurasi gagal**. Periksa bagian kesehatan kemampuan untuk detail dan verifikasi izin IAM.
**Tip**
Untuk panduan pemecahan masalah terperinci, lihat:
[Memecahkan Masalah Kemampuan EKS](capabilities-troubleshooting.md)- Pemecahan masalah kemampuan umum
[Memecahkan masalah dengan kemampuan ACK](ack-troubleshooting.md)- Masalah khusus ACK
[Memecahkan masalah dengan kemampuan Argo CD](argocd-troubleshooting.md)- Masalah khusus Argo CD
[Memecahkan masalah dengan kemampuan kro](kro-troubleshooting.md)- masalah khusus kro
## Buat kemampuan
Untuk membuat kapabilitas di klaster Anda, lihat topik berikut:
+ [Buat kemampuan ACK](create-ack-capability.md)— Buat kemampuan ACK untuk mengelola AWS sumber daya menggunakan Kubernetes APIs
+ [Membuat kemampuan Argo CD](create-argocd-capability.md)— Buat kemampuan Argo CD untuk pengiriman GitOps berkelanjutan
+ [Buat kemampuan kro](create-kro-capability.md)— Buat kemampuan kro untuk komposisi sumber daya dan orkestrasi
## Daftar kemampuan
Anda dapat membuat daftar semua sumber daya kemampuan pada sebuah cluster.
### Konsol
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda untuk membuka halaman detail cluster.
1. Pilih tab **Kemampuan**.
1. Lihat sumber daya kemampuan di bawah **kemampuan Terkelola**.
### AWS CLI
Gunakan `list-capabilities` perintah untuk melihat semua kemampuan di cluster Anda. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.
```
aws eks list-capabilities \
--region region-code \
--cluster-name my-cluster
```
```
{
"capabilities": [
{
"capabilityName": "my-ack",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack/abc123",
"type": "ACK",
"status": "ACTIVE",
"createdAt": "2025-11-02T10:30:00.000000-07:00",
"modifiedAt": "2025-11-02T10:32:15.000000-07:00",
},
{
"capabilityName": "my-kro",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/kro/my-kro/abc123",
"type": "KRO",
"status": "ACTIVE",
"version": "v0.6.3",
"createdAt": "2025-11-02T10:30:00.000000-07:00",
"modifiedAt": "2025-11-02T10:32:15.000000-07:00",
},
{
"capabilityName": "my-argocd",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/argocd/my-argocd/abc123",
"type": "ARGOCD",
"status": "ACTIVE",
"version": "3.1.8-eks-1",
"createdAt": "2025-11-21T08:22:28.486000-05:00",
"modifiedAt": "2025-11-21T08:22:28.486000-05:00"
}
]
}
```
## Jelaskan kemampuan
Dapatkan informasi terperinci tentang kemampuan tertentu, termasuk konfigurasi dan statusnya.
### Konsol
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda untuk membuka halaman detail cluster.
1. Pilih tab **Kemampuan**.
1. Pilih kemampuan yang ingin Anda lihat dari **kemampuan Terkelola**.
1. Lihat detail kemampuan, termasuk status, konfigurasi, dan waktu pembuatan.
### AWS CLI
Gunakan `describe-capability` perintah untuk melihat informasi rinci. Ganti *region-code* dengan AWS Region tempat cluster Anda berada, ganti *my-cluster* dengan nama cluster Anda, dan ganti *capability-name* dengan nama kemampuan (ack, argocd, atau kro).
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name
```
**Contoh keluaran:**
```
{
"capability": {
"capabilityName": "my-ack",
"capabilityArn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack/abc123",
"clusterName": "my-cluster",
"type": "ACK",
"roleArn": "arn:aws:iam::111122223333:role/AmazonEKSCapabilityACKRole",
"status": "ACTIVE",
"configuration": {},
"tags": {},
"health": {
"issues": []
},
"createdAt": "2025-11-19T17:11:30.242000-05:00",
"modifiedAt": "2025-11-19T17:11:30.242000-05:00",
"deletePropagationPolicy": "RETAIN"
}
}
```
## Perbarui konfigurasi kemampuan
Anda dapat memperbarui aspek-aspek tertentu dari konfigurasi kemampuan setelah pembuatan. Opsi konfigurasi spesifik bervariasi menurut jenis kemampuan.
**catatan**
Sumber daya kemampuan EKS dikelola sepenuhnya, termasuk penambalan dan pembaruan versi. Memperbarui kemampuan akan memperbarui konfigurasi sumber daya dan tidak akan menghasilkan pembaruan versi komponen kemampuan terkelola.
### AWS CLI
Gunakan `update-capability` perintah untuk memodifikasi kemampuan:
```
aws eks update-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name \
--role-arn arn:aws:iam::[.replaceable]111122223333:role/NewCapabilityRole
```
**catatan**
Tidak semua properti kemampuan dapat diperbarui setelah pembuatan. Lihat dokumentasi khusus kemampuan untuk detail tentang apa yang dapat dimodifikasi.
## Hapus kemampuan
Ketika Anda tidak lagi membutuhkan kemampuan di cluster Anda, Anda dapat menghapus sumber daya kemampuan.
**penting**
**Hapus sumber daya cluster sebelum menghapus kemampuan.**
Menghapus sumber daya kemampuan tidak secara otomatis menghapus sumber daya yang dibuat melalui kemampuan itu:
Semua Kubernetes Custom Resource Definitions (CRDs) tetap terpasang di klaster Anda.
Sumber daya ACK tetap ada di klaster Anda, dan AWS sumber daya terkait tetap ada di akun Anda
Aplikasi Argo CD dan sumber daya Kubernetes mereka tetap ada di klaster Anda
kro ResourceGraphDefinitions dan instance tetap ada di cluster Anda
Anda harus menghapus sumber daya ini sebelum menghapus kemampuan untuk menghindari sumber daya yatim piatu.
Anda dapat memilih untuk mempertahankan AWS sumber daya yang terkait dengan sumber daya ACK Kubernetes. Lihat [pertimbangan ACK](ack-considerations.md)
### Konsol
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda untuk membuka halaman detail cluster.
1. Pilih tab **Kemampuan**.
1. Pilih kemampuan yang ingin Anda hapus dari daftar **Kemampuan terkelola**.
1. Pilih **Hapus kemampuan**.
1. Dalam dialog konfirmasi, ketikkan nama kemampuan untuk mengonfirmasi penghapusan.
1. Pilih **Hapus**.
### AWS CLI
Gunakan `delete-capability` perintah untuk menghapus sumber daya kemampuan:
Ganti *region-code* dengan AWS Region tempat klaster Anda berada, ganti *my-cluster* dengan nama cluster Anda, dan ganti *capability-name* dengan nama kemampuan untuk dihapus.
```
aws eks delete-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name
```
## Langkah selanjutnya
+ [Kemampuan sumber daya Kubernetes](capability-kubernetes-resources.md)— Pelajari tentang sumber daya Kubernetes yang disediakan oleh setiap jenis kapabilitas
+ [Konsep ACK](ack-concepts.md)— Memahami konsep ACK dan siklus hidup sumber daya
+ [Bekerja dengan Argo CD](working-with-argocd.md)— Bekerja dengan kemampuan Argo CD untuk GitOps alur kerja
+ [konsep kro](kro-concepts.md)— Memahami konsep kro dan komposisi sumber daya
# Kemampuan sumber daya Kubernetes
Setelah Anda mengaktifkan kapabilitas di klaster Anda, Anda akan paling sering berinteraksi dengannya dengan membuat dan mengelola sumber daya kustom Kubernetes di klaster Anda. Setiap kapabilitas menyediakan kumpulan definisi sumber daya kustom (CRDs) sendiri yang memperluas API Kubernetes dengan fungsionalitas khusus kemampuan.
## Sumber daya Argo CD
Ketika Anda mengaktifkan kemampuan Argo CD, Anda dapat membuat dan mengelola sumber daya Kubernetes berikut:
**Aplikasi**
Mendefinisikan penerapan dari repositori Git ke kluster target. `Application`resource menentukan repositori sumber, namespace target, dan kebijakan sinkronisasi. Anda dapat membuat hingga 1000 `Application` sumber daya per instance kemampuan Argo CD.
**ApplicationSet**
Menghasilkan banyak `Application` sumber daya dari template, memungkinkan penerapan multi-cluster dan multi-lingkungan. `ApplicationSet`sumber daya menggunakan generator untuk membuat `Application` sumber daya secara dinamis berdasarkan daftar klaster, direktori Git, atau sumber lainnya.
**AppProject**
Menyediakan pengelompokan logis dan kontrol akses untuk `Application` sumber daya. `AppProject`sumber daya menentukan repositori, cluster, dan sumber `Application` daya ruang nama mana yang dapat digunakan, memungkinkan batas multi-tenancy dan keamanan.
Contoh `Application` sumber daya:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: my-app
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/org/repo
targetRevision: main
path: manifests
destination:
server: https://kubernetes.default.svc
namespace: production
```
Untuk informasi lebih lanjut tentang sumber daya dan konsep Argo CD, lihat[Konsep Argo CD](argocd-concepts.md).
## sumber daya kro
Ketika Anda mengaktifkan kemampuan kro, Anda dapat membuat dan mengelola sumber daya Kubernetes berikut:
**ResourceGraphDefinition (RGD)**
Mendefinisikan API kustom yang menyusun beberapa Kubernetes dan AWS resource menjadi abstraksi tingkat yang lebih tinggi. Tim platform membuat `ResourceGraphDefinition` sumber daya untuk menyediakan pola yang dapat digunakan kembali dengan pagar pembatas.
**Contoh sumber daya khusus**
Setelah membuat `ResourceGraphDefinition` sumber daya, Anda dapat membuat instance API kustom yang ditentukan oleh`ResourceGraphDefinition`. kro secara otomatis membuat dan mengelola sumber daya yang ditentukan dalam. `ResourceGraphDefinition`
Contoh `ResourceGraphDefinition` sumber daya:
```
apiVersion: kro.run/v1alpha1
kind: ResourceGraphDefinition
metadata:
name: web-application
spec:
schema:
apiVersion: v1alpha1
kind: WebApplication
spec:
name: string
replicas: integer
resources:
- id: deployment
template:
apiVersion: apps/v1
kind: Deployment
# ... deployment spec
- id: service
template:
apiVersion: v1
kind: Service
# ... service spec
```
Contoh `WebApplication` contoh:
```
apiVersion: v1alpha1
kind: WebApplication
metadata:
name: my-web-app
namespace: default
spec:
name: my-web-app
replicas: 3
```
Saat Anda menerapkan instance ini, kro secara otomatis membuat `Deployment` dan `Service` sumber daya yang ditentukan dalam. `ResourceGraphDefinition`
Untuk informasi lebih lanjut tentang sumber daya dan konsep kro, lihat[konsep kro](kro-concepts.md).
## Sumber daya ACK
Ketika Anda mengaktifkan kemampuan ACK, Anda dapat membuat dan mengelola AWS sumber daya menggunakan sumber daya kustom Kubernetes. ACK menyediakan lebih dari 200 layanan CRDs untuk lebih dari 50 AWS layanan, memungkinkan Anda untuk menentukan AWS sumber daya di samping beban kerja Kubernetes Anda, dan mengelola sumber daya AWS infrastruktur khusus dengan Kubernetes.
Contoh sumber daya ACK:
**Ember S3**
`Bucket`resource membuat dan mengelola bucket Amazon S3 dengan kebijakan pembuatan versi, enkripsi, dan siklus hidup.
**RDS DBInstance**
`DBInstance`penyediaan sumber daya dan mengelola instans database Amazon RDS dengan jendela pencadangan dan pemeliharaan otomatis.
**Tabel DynamoDB**
`Table`sumber daya membuat dan mengelola tabel DynamoDB dengan kapasitas yang disediakan atau sesuai permintaan.
**Peran IAM**
`Role`sumber daya menentukan peran IAM dengan kebijakan kepercayaan dan kebijakan izin untuk akses AWS layanan.
**Fungsi Lambda**
`Function`resource membuat dan mengelola fungsi Lambda dengan kode, runtime, dan konfigurasi peran eksekusi.
Contoh spesifikasi sumber `Bucket` daya:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-app-bucket
spec:
name: my-unique-bucket-name-12345
versioning:
status: Enabled
encryption:
rules:
- applyServerSideEncryptionByDefault:
sseAlgorithm: AES256
```
Untuk informasi selengkapnya tentang sumber daya dan konsep ACK, lihat[Konsep ACK](ack-concepts.md).
## Batas sumber daya
Kemampuan EKS memiliki batas sumber daya berikut:
**Batas penggunaan Argo CD:**
+ Maksimum 1000 `Application` sumber daya per instance kemampuan Argo CD
+ Maksimum 100 cluster jarak jauh yang dikonfigurasi per instance kemampuan Argo CD
**Batas konfigurasi sumber daya**:
+ Maksimum 150 sumber daya Kubernetes per `Application` sumber daya dalam Argo CD
+ Maksimum 64 sumber daya Kubernetes per in kro `ResourceGraphDefinition`
**catatan**
Batasan ini berlaku untuk jumlah sumber daya yang dikelola oleh setiap instance kemampuan. Jika Anda membutuhkan batas yang lebih tinggi, Anda dapat menerapkan kemampuan di beberapa cluster.
## Langkah selanjutnya
Untuk tugas khusus kemampuan dan konfigurasi lanjutan, lihat topik berikut:
+ [Konsep ACK](ack-concepts.md)— Memahami konsep ACK dan siklus hidup sumber daya
+ [Bekerja dengan Argo CD](working-with-argocd.md)— Bekerja dengan kemampuan Argo CD untuk GitOps alur kerja
+ [konsep kro](kro-concepts.md)— Memahami konsep kro dan komposisi sumber daya
# Pertimbangan Kemampuan EKS
Topik ini mencakup pertimbangan penting untuk menggunakan Kemampuan EKS, termasuk desain kontrol akses, pemilihan antara Kemampuan EKS dan solusi yang dikelola sendiri, pola arsitektur untuk penerapan multi-cluster, dan praktik terbaik operasional.
## Kemampuan peran IAM dan Kubernetes RBAC
Setiap sumber daya kemampuan EKS memiliki peran IAM kemampuan yang dikonfigurasi. Peran kapabilitas digunakan untuk memberikan izin AWS layanan untuk kemampuan EKS untuk bertindak atas nama Anda. Misalnya, untuk menggunakan Kemampuan EKS untuk ACK untuk mengelola Bucket Amazon S3, Anda akan memberikan izin administratif Bucket S3 ke kemampuan tersebut, memungkinkannya membuat dan mengelola bucket.
Setelah kemampuan dikonfigurasi, sumber daya S3 di AWS dapat dibuat dan dikelola dengan sumber daya kustom Kubernetes di klaster Anda. Kubernetes RBAC adalah mekanisme kontrol akses in-cluster untuk menentukan pengguna dan grup mana yang dapat membuat dan mengelola sumber daya kustom tersebut. Misalnya, berikan izin pengguna dan grup Kubernetes RBAC tertentu untuk membuat dan mengelola `Bucket` sumber daya di ruang nama yang Anda pilih.
Dengan cara ini, IAM dan Kubernetes RBAC adalah dua bagian dari sistem kontrol end-to-end akses yang mengatur izin yang terkait dengan Kemampuan dan sumber daya EKS. Penting untuk merancang kombinasi izin IAM dan kebijakan akses RBAC yang tepat untuk kasus penggunaan Anda.
Untuk informasi tambahan tentang peran IAM kemampuan dan izin Kubernetes, lihat. [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
## Pola arsitektur multi-cluster
Saat menerapkan kemampuan di beberapa cluster, pertimbangkan pola arsitektur umum ini:
**Hub dan Berbicara dengan manajemen terpusat**
Jalankan ketiga kemampuan dalam klaster yang dikelola secara terpusat untuk mengatur beban kerja dan mengelola infrastruktur cloud di beberapa klaster beban kerja.
+ Argo CD pada cluster manajemen menyebarkan aplikasi ke cluster beban kerja di berbagai wilayah atau akun
+ ACK pada cluster manajemen menyediakan sumber AWS daya (RDS, S3, IAM) untuk semua cluster
+ kro pada cluster manajemen menciptakan abstraksi platform portabel yang bekerja di semua cluster
Pola ini memusatkan beban kerja dan manajemen infrastruktur cloud, dan dapat menyederhanakan operasi untuk organisasi yang mengelola banyak cluster.
**Terdesentralisasi GitOps**
Beban kerja dan infrastruktur cloud dikelola oleh kapabilitas pada klaster yang sama tempat beban kerja berjalan.
+ Argo CD mengelola sumber daya aplikasi pada cluster lokal.
+ Sumber daya ACK digunakan untuk kebutuhan klaster dan beban kerja.
+ abstraksi platform kro diinstal dan mengatur sumber daya lokal.
Pola ini mendesentralisasi operasi, dengan tim mengelola layanan platform khusus mereka sendiri dalam satu atau lebih cluster.
**Hub dan Berbicara dengan Penyebaran ACK Hybrid**
Menggabungkan model terpusat dan terdesentralisasi, dengan penerapan aplikasi terpusat dan manajemen sumber daya berdasarkan ruang lingkup dan kepemilikan.
+ Kluster hub:
+ Argo CD mengelola GitOps penerapan ke cluster lokal dan semua cluster beban kerja jarak jauh
+ ACK digunakan pada cluster manajemen untuk sumber daya cakupan admin (database produksi, peran IAM,) VPCs
+ kro digunakan pada cluster manajemen untuk abstraksi platform yang dapat digunakan kembali
+ Cluster bicara:
+ Beban kerja dikelola melalui Argo CD pada cluster hub terpusat
+ ACK digunakan secara lokal untuk sumber daya cakupan beban kerja (bucket S3, instance, antrian SQS) ElastiCache
+ kro digunakan secara lokal untuk komposisi sumber daya dan pola blok bangunan
Pola ini memisahkan keprihatinan—tim platform mengelola infrastruktur penting secara terpusat pada kluster manajemen, secara opsional termasuk klaster beban kerja, sementara tim aplikasi menentukan dan mengelola sumber daya cloud di samping beban kerja.
**Memilih Pola**
Pertimbangkan faktor-faktor ini ketika memilih arsitektur:
+ **Struktur organisasi**: Tim platform terpusat mendukung pola hub; tim terdesentralisasi mungkin lebih memilih kemampuan per-cluster
+ **Ruang lingkup sumber daya**: Sumber daya dengan cakupan admin (database, IAM) sering mendapat manfaat dari manajemen pusat; sumber daya beban kerja (bucket, antrian) dapat dikelola secara lokal
+ **Layanan mandiri**: Tim platform terpusat dapat membuat dan mendistribusikan sumber daya khusus preskriptif untuk memungkinkan layanan mandiri sumber daya cloud yang aman untuk kebutuhan beban kerja umum
+ **Manajemen armada cluster**: Cluster manajemen terpusat menyediakan pesawat kontrol milik pelanggan untuk manajemen armada kluster EKS, bersama dengan sumber daya cakupan admin lainnya
+ **Persyaratan kepatuhan**: Beberapa organisasi memerlukan kontrol terpusat untuk audit dan tata kelola
+ **Kompleksitas operasional**: Lebih sedikit contoh kemampuan menyederhanakan operasi tetapi dapat menciptakan kemacetan
**catatan**
Anda dapat mulai dengan satu pola dan berevolusi ke pola lain saat platform Anda matang. Kemampuan bersifat independen—Anda dapat menerapkannya secara berbeda di seluruh cluster berdasarkan kebutuhan Anda.
## Membandingkan Kemampuan EKS dengan solusi yang dikelola sendiri
Kemampuan EKS memberikan pengalaman yang dikelola sepenuhnya untuk alat dan pengontrol Kubernetes populer yang berjalan di EKS. Ini berbeda dari solusi yang dikelola sendiri, yang Anda instal dan operasikan di cluster Anda.
### Perbedaan Utama
**Penerapan dan manajemen**
AWS sepenuhnya mengelola Kemampuan EKS tanpa instalasi, konfigurasi, atau pemeliharaan perangkat lunak komponen yang diperlukan. AWS menginstal dan mengelola semua Kubernetes Custom Resource Definitions (CRDs) yang diperlukan di cluster secara otomatis.
Dengan solusi yang dikelola sendiri, Anda menginstal dan mengonfigurasi perangkat lunak klaster menggunakan bagan Helm, kubectl, atau operator lain. Anda memiliki kontrol penuh atas siklus hidup perangkat lunak dan konfigurasi runtime dari solusi yang dikelola sendiri, memberikan penyesuaian pada setiap lapisan solusi.
**Operasi dan pemeliharaan**
AWS mengelola patching dan operasi siklus hidup perangkat lunak lainnya untuk Kemampuan EKS, dengan pembaruan otomatis dan patch keamanan. Kemampuan EKS terintegrasi dengan AWS fitur untuk konfigurasi yang efisien, menyediakan ketersediaan tinggi bawaan dan toleransi kesalahan, dan menghilangkan pemecahan masalah beban kerja pengontrol dalam klaster.
Solusi yang dikelola sendiri mengharuskan Anda untuk memantau kesehatan komponen dan log, menerapkan patch keamanan dan pembaruan versi, mengonfigurasi ketersediaan tinggi dengan beberapa replika dan anggaran gangguan pod, memecahkan masalah dan memulihkan masalah beban kerja pengontrol, dan mengelola rilis dan versi. Anda memiliki kontrol penuh atas penerapan Anda, tetapi ini sering memerlukan solusi yang dipesan lebih dahulu untuk akses klaster pribadi dan integrasi lainnya yang harus selaras dengan standar organisasi dan persyaratan kepatuhan keamanan.
**Konsumsi sumber daya**
Kemampuan EKS berjalan di EKS dan di luar cluster Anda, membebaskan sumber daya node dan sumber daya cluster. Kemampuan tidak menggunakan sumber daya beban kerja klaster, tidak menggunakan CPU atau memori pada node pekerja Anda, menskalakan secara otomatis, dan berdampak minimal pada perencanaan kapasitas klaster.
Solusi yang dikelola sendiri menjalankan pengontrol dan komponen lain di node pekerja Anda, secara langsung mengkonsumsi sumber daya node pekerja, cluster IPs, dan sumber daya klaster lainnya. Mengelola layanan klaster memerlukan perencanaan kapasitas untuk beban kerja mereka, dan memerlukan perencanaan dan konfigurasi permintaan dan batasan sumber daya untuk mengelola persyaratan penskalaan dan ketersediaan tinggi.
**Dukungan fitur**
Sebagai fitur layanan yang dikelola sepenuhnya, Kemampuan EKS pada dasarnya berpendirian dibandingkan dengan solusi yang dikelola sendiri. Sementara kemampuan akan mendukung sebagian besar fitur dan kasus penggunaan, akan ada perbedaan dalam cakupan jika dibandingkan dengan solusi yang dikelola sendiri.
Dengan solusi yang dikelola sendiri, Anda sepenuhnya mengontrol konfigurasi, fitur opsional, dan aspek fungsionalitas lainnya untuk perangkat lunak Anda. Anda dapat memilih untuk menjalankan gambar kustom Anda sendiri, menyesuaikan semua aspek konfigurasi, dan sepenuhnya mengontrol fungsionalitas solusi yang dikelola sendiri.
**Pertimbangan Biaya**
Setiap sumber daya kemampuan EKS memiliki biaya per jam terkait, yang berbeda berdasarkan jenis kemampuan. Sumber daya cluster yang dikelola oleh kapabilitas juga memiliki biaya per jam terkait dengan harga mereka sendiri. Untuk informasi selengkapnya, lihat [harga Amazon EKS](https://aws.amazon.com/eks/pricing/).
Solusi yang dikelola sendiri tidak memiliki biaya langsung yang terkait dengan AWS biaya, tetapi Anda membayar sumber daya komputasi klaster yang digunakan oleh pengontrol dan beban kerja terkait. Di luar konsumsi sumber daya node dan cluster, biaya kepemilikan penuh dengan solusi yang dikelola sendiri mencakup overhead operasional dan biaya pemeliharaan, pemecahan masalah, dan dukungan.
### Memilih antara Kemampuan EKS dan solusi yang dikelola sendiri
**Kemampuan EKS** Pertimbangkan pilihan ini ketika Anda ingin mengurangi overhead operasional dan fokus pada nilai yang berbeda dalam perangkat lunak dan sistem Anda, daripada operasi platform cluster untuk persyaratan dasar. Gunakan Kemampuan EKS saat Anda ingin meminimalkan beban operasional patch keamanan dan manajemen siklus hidup perangkat lunak, membebaskan sumber daya node dan cluster untuk beban kerja aplikasi, menyederhanakan konfigurasi dan manajemen keamanan, dan manfaatkan cakupan dukungan. AWS Kemampuan EKS ideal untuk sebagian besar kasus penggunaan produksi dan merupakan pendekatan yang direkomendasikan untuk penerapan baru.
**Solusi yang dikelola sendiri** Pertimbangkan pilihan ini ketika Anda memerlukan versi API sumber daya Kubernetes tertentu, build pengontrol khusus, memiliki otomatisasi dan perkakas yang ada di sekitar penerapan yang dikelola sendiri, atau memerlukan kustomisasi mendalam konfigurasi runtime pengontrol. Solusi yang dikelola sendiri memberikan fleksibilitas untuk kasus penggunaan khusus, dan Anda memiliki kendali penuh atas konfigurasi penerapan dan runtime Anda.
**catatan**
Kemampuan EKS dapat hidup berdampingan di cluster Anda dengan solusi yang dikelola sendiri, dan migrasi langkah demi langkah dimungkinkan untuk dicapai.
### Perbandingan Khusus Kemampuan
Untuk perbandingan terperinci termasuk fitur khusus kemampuan, perbedaan hulu, dan jalur migrasi, lihat:
+ [Membandingkan Kemampuan EKS untuk ACK dengan ACK yang dikelola sendiri](ack-comparison.md)
+ [Membandingkan Kemampuan EKS untuk Argo CD dengan Argo CD yang dikelola sendiri](argocd-comparison.md)
+ [Membandingkan Kemampuan EKS untuk kro dengan kro yang dikelola sendiri](kro-comparison.md)
# Menerapkan AWS sumber daya dari Kubernetes dengan AWS Controller untuk Kubernetes (ACK)
AWS Controller untuk Kubernetes (ACK) memungkinkan Anda menentukan dan mengelola sumber daya AWS layanan langsung dari Kubernetes. Dengan AWS Controller for Kubernetes (ACK), Anda dapat mengelola sumber daya beban kerja dan infrastruktur cloud menggunakan sumber daya kustom Kubernetes, tepat di samping beban kerja aplikasi Anda menggunakan Kubernetes dan alat yang sudah dikenal. APIs
Dengan Kemampuan EKS, ACK dikelola sepenuhnya oleh AWS, menghilangkan kebutuhan untuk menginstal, memelihara, dan menskalakan pengontrol ACK di cluster Anda.
## Bagaimana ACK Bekerja
ACK menerjemahkan spesifikasi sumber daya kustom Kubernetes ke dalam panggilan API. AWS Saat Anda membuat, memperbarui, atau menghapus sumber daya kustom Kubernetes yang mewakili sumber daya AWS layanan, ACK membuat panggilan AWS API yang diperlukan untuk membuat, memperbarui, atau menghapus sumber daya. AWS
Setiap AWS sumber daya yang didukung oleh ACK memiliki definisi sumber daya kustom (CRD) sendiri yang mendefinisikan skema API Kubernetes untuk menentukan konfigurasinya. Misalnya, ACK menyediakan CRDs S3 termasuk bucket, kebijakan bucket, dan sumber daya S3 lainnya.
ACK terus mendamaikan status AWS sumber daya Anda dengan status yang diinginkan yang ditentukan dalam sumber daya kustom Kubernetes Anda. Jika sumber daya melayang dari keadaan yang diinginkan, ACK mendeteksi ini dan mengambil tindakan korektif untuk membawanya kembali ke keselarasan. Perubahan pada sumber daya Kubernetes langsung tercermin dalam status AWS sumber daya, sementara deteksi drift pasif dan remediasi perubahan AWS sumber daya hulu dapat memakan waktu selama 10 jam (periode sinkronisasi ulang), tetapi biasanya akan terjadi lebih cepat.
**Contoh manifes sumber daya Bucket S3**
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-ack-bucket
spec:
name: my-unique-bucket-name
```
Saat Anda menerapkan sumber daya khusus ini ke klaster, ACK akan membuat bucket Amazon S3 di akun Anda jika belum ada. Perubahan selanjutnya pada sumber daya ini, misalnya menentukan tingkat penyimpanan non-default atau menambahkan kebijakan, akan diterapkan ke sumber daya S3 di. AWS Saat sumber daya ini dihapus dari cluster, bucket S3 akan dihapus AWS secara default.
## Manfaat ACK
ACK menyediakan manajemen AWS sumber daya asli Kubernetes, memungkinkan Anda mengelola sumber AWS daya menggunakan Kubernetes APIs dan alat yang sama yang Anda gunakan untuk aplikasi Anda. Pendekatan terpadu ini menyederhanakan alur kerja manajemen infrastruktur Anda dengan menghilangkan kebutuhan untuk beralih di antara alat yang berbeda atau mempelajari sistem terpisah. infrastructure-as-code Anda mendefinisikan AWS sumber daya Anda secara deklaratif dalam manifes Kubernetes, memungkinkan GitOps alur kerja dan infrastruktur sebagai praktik kode yang terintegrasi secara mulus dengan proses pengembangan yang ada.
ACK terus mendamaikan kondisi AWS sumber daya Anda yang diinginkan dengan keadaan sebenarnya, mengoreksi penyimpangan dan memastikan konsistensi di seluruh infrastruktur Anda. Rekonsiliasi berkelanjutan ini berarti bahwa out-of-band perubahan penting pada AWS sumber daya secara otomatis dikembalikan agar sesuai dengan konfigurasi yang Anda deklarasikan, menjaga integritas infrastruktur Anda sebagai kode. Anda dapat mengonfigurasi ACK untuk mengelola sumber daya di beberapa AWS akun dan wilayah, memungkinkan arsitektur multi-akun yang kompleks tanpa alat tambahan.
Untuk organisasi yang bermigrasi dari alat manajemen infrastruktur lainnya, ACK mendukung adopsi sumber daya, memungkinkan Anda membawa AWS sumber daya yang ada di bawah manajemen ACK tanpa membuatnya kembali. ACK juga menyediakan sumber daya hanya-baca untuk observasi AWS sumber daya tanpa akses modifikasi, dan anotasi untuk mempertahankan AWS sumber daya secara opsional bahkan ketika resource Kubernetes dihapus dari cluster.
Untuk mempelajari lebih lanjut dan memulai dengan Kemampuan EKS untuk ACK, lihat [Konsep ACK](ack-concepts.md) dan[Pertimbangan ACK untuk EKS](ack-considerations.md).
## AWS Layanan yang Didukung
ACK mendukung berbagai AWS layanan, termasuk namun tidak terbatas pada:
+ Amazon EC2
+ Amazon S3
+ Amazon RDS
+ Amazon DynamoDB
+ Amazon ElastiCache
+ Amazon EKS
+ Amazon SQS
+ Amazon SNS
+ AWS Lambda
+ AWS IAM
Semua AWS layanan yang terdaftar sebagai Umumnya Tersedia di hulu didukung oleh Kemampuan EKS untuk ACK. Lihat [daftar lengkap AWS layanan yang didukung](https://aws-controllers-k8s.github.io/community/docs/community/services/) untuk detailnya.
## Integrasi dengan Kemampuan Terkelola EKS Lainnya
ACK terintegrasi dengan Kemampuan Terkelola EKS lainnya.
+ **Argo CD**: Gunakan Argo CD untuk mengelola penyebaran sumber daya ACK di beberapa cluster, memungkinkan GitOps alur kerja untuk infrastruktur Anda. AWS
+ ACK memperluas manfaat GitOps ketika dipasangkan dengan ArgoCD, tetapi ACK tidak memerlukan integrasi dengan git.
+ **kro (Kube Resource Orchestrator)**: Gunakan kro untuk menyusun sumber daya yang kompleks dari sumber daya ACK, menciptakan abstraksi tingkat tinggi yang menyederhanakan manajemen sumber daya.
+ Anda dapat membuat resource kustom komposit dengan kro yang mendefinisikan resource dan resource Kubernetes. AWS Anggota tim dapat menggunakan sumber daya khusus ini untuk menyebarkan aplikasi kompleks dengan cepat.
## Memulai dengan ACK
Untuk memulai dengan Kemampuan EKS untuk ACK:
1. Buat dan konfigurasikan Peran Kemampuan IAM dengan izin yang diperlukan bagi ACK untuk mengelola AWS sumber daya atas nama Anda.
1. [Buat sumber daya kemampuan ACK](create-ack-capability.md) di kluster EKS Anda melalui AWS Konsol, AWS CLI, atau infrastruktur pilihan Anda sebagai alat kode.
1. Terapkan sumber daya kustom Kubernetes ke klaster Anda untuk mulai mengelola sumber AWS daya Anda di Kubernetes.
# Buat kemampuan ACK
Bab ini menjelaskan cara membuat kemampuan ACK di cluster Amazon EKS Anda.
## Prasyarat
Sebelum membuat kemampuan ACK, pastikan Anda memiliki:
+ Klaster Amazon EKS
+ Peran Kemampuan IAM dengan izin ACK untuk mengelola sumber daya AWS
+ Izin IAM yang memadai untuk membuat sumber daya kemampuan di kluster EKS
+ Alat CLI yang sesuai diinstal dan dikonfigurasi, atau akses ke Konsol EKS
Untuk petunjuk tentang cara membuat Peran Kemampuan IAM, lihat[Peran IAM kemampuan Amazon EKS](capability-role.md).
**penting**
ACK adalah kemampuan manajemen infrastruktur yang memberikan kemampuan untuk membuat, memodifikasi, dan menghapus AWS sumber daya. Ini adalah kemampuan lingkup admin yang harus dikontrol dengan hati-hati. Siapa pun yang memiliki izin untuk membuat sumber daya Kubernetes di klaster Anda dapat secara efektif membuat AWS sumber daya melalui ACK, tunduk pada izin Peran Kemampuan IAM. Peran Kemampuan IAM yang Anda berikan menentukan AWS sumber daya mana yang dapat dibuat dan dikelola ACK. Untuk panduan tentang membuat peran yang sesuai dengan izin hak istimewa paling sedikit, lihat dan. [Peran IAM kemampuan Amazon EKS](capability-role.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
## Pilih alat Anda
Anda dapat membuat kemampuan ACK menggunakan Konsol Manajemen AWS, AWS CLI, atau eksctl:
+ [Buat kemampuan ACK menggunakan Konsol](ack-create-console.md)- Gunakan Konsol untuk pengalaman terpandu
+ [Buat kemampuan ACK menggunakan AWS CLI](ack-create-cli.md)- Gunakan AWS CLI untuk scripting dan otomatisasi
+ [Buat kemampuan ACK menggunakan eksctl](ack-create-eksctl.md)- Gunakan eksctl untuk pengalaman asli Kubernetes
## Apa yang terjadi ketika Anda membuat kemampuan ACK
Saat Anda membuat kemampuan ACK:
1. EKS membuat layanan kemampuan ACK dan mengonfigurasinya untuk memantau dan mengelola sumber daya di cluster Anda
1. Definisi Sumber Daya Kustom (CRDs) diinstal di klaster Anda
1. Entri akses secara otomatis dibuat untuk Peran Kemampuan IAM Anda dengan kebijakan entri akses khusus kemampuan yang memberikan izin Kubernetes dasar (lihat) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
1. Kemampuan mengasumsikan Peran Kemampuan IAM yang Anda berikan
1. ACK mulai mengawasi sumber daya kustomnya di cluster Anda
1. Status kemampuan berubah dari `CREATING` menjadi `ACTIVE`
Setelah aktif, Anda dapat membuat sumber daya khusus ACK di cluster Anda untuk mengelola AWS sumber daya.
**catatan**
Entri akses yang dibuat secara otomatis mencakup `AmazonEKSACKPolicy` yang memberikan izin ACK untuk mengelola AWS sumber daya. Beberapa sumber daya ACK yang mereferensikan rahasia Kubernetes (seperti database RDS dengan kata sandi) memerlukan kebijakan entri akses tambahan. Untuk mempelajari lebih lanjut tentang entri akses dan cara mengonfigurasi izin tambahan, lihat. [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
## Langkah selanjutnya
Setelah membuat kemampuan ACK:
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai dengan AWS sumber daya
+ [Konsep ACK](ack-concepts.md)- Pelajari tentang rekonsiliasi, ekspor lapangan, dan pola adopsi sumber daya
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM dan pola multi-akun
# Buat kemampuan ACK menggunakan Konsol
Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan. Konsol Manajemen AWS
## Buat kemampuan ACK
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda untuk membuka halaman detail cluster.
1. Pilih tab **Kemampuan**.
1. Di navigasi kiri, pilih ** AWS Controllers for Kubernetes** (ACK).
1. Pilih **Create AWS Controller untuk kemampuan Kubernetes**.
1. Untuk **Peran Kemampuan IAM**:
+ Jika Anda sudah memiliki Peran Kemampuan IAM, pilih dari dropdown
+ Jika Anda perlu membuat peran, pilih **Buat peran admin**
Ini membuka konsol IAM di tab baru dengan kebijakan kepercayaan yang telah diisi sebelumnya dan kebijakan terkelola. `AdministratorAccess` Anda dapat membatalkan pilihan kebijakan ini dan menambahkan izin lain jika diinginkan.
Setelah membuat peran, kembali ke konsol EKS dan peran akan dipilih secara otomatis.
**penting**
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa terkecil, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
1. Pilih **Buat**.
Proses pembuatan kemampuan dimulai.
## Verifikasi kemampuan aktif
1. Pada tab **Kemampuan**, lihat status kemampuan ACK.
1. Tunggu status berubah dari `CREATING` ke`ACTIVE`.
1. Setelah aktif, kemampuan siap digunakan.
Untuk informasi tentang status kemampuan dan pemecahan masalah, lihat. [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)
## Verifikasi sumber daya khusus tersedia
Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda.
**Menggunakan konsol**
1. Arahkan ke klaster Anda di konsol Amazon EKS
1. Pilih tab **Sumber Daya**
1. Pilih **Ekstensi**
1. Pilih **CustomResourceDefinitions**
Anda akan melihat sejumlah yang CRDs terdaftar untuk AWS sumber daya.
**Menggunakan kubectl**
```
kubectl api-resources | grep services.k8s.aws
```
Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.
**catatan**
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS
## Langkah selanjutnya
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda
# Buat kemampuan ACK menggunakan AWS CLI
Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan CLI. AWS
## Prasyarat
+ ** AWS CLI** — Versi `2.12.3` atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`aws --version`. Untuk informasi selengkapnya, lihat [Menginstal](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) di Panduan Pengguna Antarmuka Baris AWS Perintah.
+ **`kubectl`**— Alat baris perintah untuk bekerja dengan cluster Kubernetes. Untuk informasi selengkapnya, lihat [Mengatur `kubectl` dan `eksctl`](install-kubectl.md).
## Langkah 1: Buat Peran Kemampuan IAM
Buat file kebijakan kepercayaan:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
Buat peran IAM:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
Lampirkan kebijakan `AdministratorAccess` terkelola ke peran:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**penting**
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa paling sedikit, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
## Langkah 2: Buat kemampuan ACK
Buat sumber daya kemampuan ACK di cluster Anda. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--delete-propagation-policy RETAIN
```
Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif karena EKS menciptakan infrastruktur dan komponen kemampuan yang diperlukan. EKS akan menginstal Definisi Sumber Daya Kustom Kubernetes yang terkait dengan kemampuan ini di cluster Anda saat sedang dibuat.
**catatan**
Jika Anda menerima kesalahan bahwa klaster tidak ada atau Anda tidak memiliki izin, verifikasi:
Nama cluster benar
AWS CLI Anda dikonfigurasi untuk wilayah yang benar
Anda memiliki izin IAM yang diperlukan
## Langkah 3: Verifikasi kemampuan aktif
Tunggu kemampuan untuk menjadi aktif. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--query 'capability.status' \
--output text
```
Kemampuan siap ketika status ditampilkan`ACTIVE`. Jangan melanjutkan ke langkah berikutnya sampai statusnya`ACTIVE`.
Anda juga dapat melihat detail kemampuan lengkap:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
```
## Langkah 4: Verifikasi sumber daya khusus tersedia
Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda:
```
kubectl api-resources | grep services.k8s.aws
```
Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.
**catatan**
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS
## Langkah selanjutnya
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda
# Buat kemampuan ACK menggunakan eksctl
Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan eksctl.
**catatan**
Langkah-langkah berikut memerlukan versi `0.220.0` eksctl atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`eksctl version`.
## Langkah 1: Buat Peran Kemampuan IAM
Buat file kebijakan kepercayaan:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
Buat peran IAM:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
Lampirkan kebijakan `AdministratorAccess` terkelola ke peran:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**penting**
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa terkecil, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
**penting**
Kebijakan ini memberikan izin untuk pengelolaan bucket S3`"Resource": "*"`, yang memungkinkan pengoperasian di semua bucket S3.
Untuk penggunaan produksi: \$1 Batasi `Resource` bidang ke bucket ARNs atau pola nama tertentu \$1 Gunakan kunci kondisi IAM untuk membatasi akses dengan tag sumber daya \$1 Berikan hanya izin minimum yang diperlukan untuk kasus penggunaan Anda
Untuk AWS layanan lainnya, lihat[Konfigurasikan izin ACK](ack-permissions.md).
Lampirkan kebijakan ke peran:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):policy/ACKS3Policy
```
## Langkah 2: Buat kemampuan ACK
Buat kemampuan ACK menggunakan eksctl. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.
```
eksctl create capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--ack-service-controllers s3
```
**catatan**
`--ack-service-controllers`Bendera adalah opsional. Jika dihilangkan, ACK mengaktifkan semua pengontrol yang tersedia. Untuk kinerja dan keamanan yang lebih baik, pertimbangkan untuk mengaktifkan hanya pengontrol yang Anda butuhkan. Anda dapat menentukan beberapa pengontrol: `--ack-service-controllers s3,rds,dynamodb`
Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif.
## Langkah 3: Verifikasi kemampuan aktif
Periksa status kemampuan:
```
eksctl get capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack
```
Kemampuan siap ketika status ditampilkan`ACTIVE`.
## Langkah 4: Verifikasi sumber daya khusus tersedia
Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda:
```
kubectl api-resources | grep services.k8s.aws
```
Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.
**catatan**
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS
## Langkah selanjutnya
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda
# Konsep ACK
ACK mengelola AWS sumber daya melalui Kubernetes APIs dengan terus merekonsiliasi status yang diinginkan dalam manifes Anda dengan status aktual di. AWS Saat Anda membuat atau memperbarui sumber daya kustom Kubernetes, ACK membuat panggilan AWS API yang diperlukan untuk membuat atau memodifikasi AWS sumber daya yang sesuai, lalu memantaunya untuk drift dan memperbarui status Kubernetes untuk mencerminkan status saat ini. Pendekatan ini memungkinkan Anda mengelola infrastruktur menggunakan alat dan alur kerja Kubernetes yang sudah dikenal sambil mempertahankan konsistensi antara klaster Anda dan. AWS
Topik ini menjelaskan konsep dasar di balik bagaimana ACK mengelola AWS sumber daya melalui Kubernetes APIs.
## Memulai dengan ACK
Setelah membuat kemampuan ACK (lihat[Buat kemampuan ACK](create-ack-capability.md)), Anda dapat mulai mengelola AWS sumber daya menggunakan manifes Kubernetes di klaster Anda.
Sebagai contoh, buat manifes bucket S3 ini di`bucket.yaml`, pilih nama bucket unik Anda sendiri.
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-test-bucket
namespace: default
spec:
name: my-unique-bucket-name-12345
```
Terapkan manifes:
```
kubectl apply -f bucket.yaml
```
Periksa statusnya:
```
kubectl get bucket my-test-bucket
kubectl describe bucket my-test-bucket
```
Verifikasi bucket telah dibuat di AWS:
```
aws s3 ls | grep my-unique-bucket-name-12345
```
Hapus sumber daya Kubernetes:
```
kubectl delete bucket my-test-bucket
```
Verifikasi bucket telah dihapus dari AWS:
```
aws s3 ls | grep my-unique-bucket-name-12345
```
Bucket seharusnya tidak lagi muncul dalam daftar, menunjukkan bahwa ACK mengelola siklus hidup penuh sumber daya. AWS
Untuk informasi lebih lanjut tentang memulai dengan ACK, lihat [Memulai dengan ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/getting-started/).
## Siklus hidup sumber daya dan rekonsiliasi
ACK menggunakan loop rekonsiliasi berkelanjutan untuk memastikan AWS sumber daya Anda cocok dengan status yang diinginkan yang ditentukan dalam manifes Kubernetes Anda.
**Bagaimana rekonsiliasi bekerja**:
1. Anda membuat atau memperbarui sumber daya kustom Kubernetes (misalnya, Bucket S3)
1. ACK mendeteksi perubahan dan membandingkan keadaan yang diinginkan dengan status aktual di AWS
1. Jika berbeda, ACK membuat panggilan AWS API untuk mendamaikan perbedaannya
1. ACK memperbarui status sumber daya di Kubernetes untuk mencerminkan status saat ini
1. Loop berulang terus menerus, biasanya setiap beberapa jam
Rekonsiliasi dipicu ketika Anda membuat sumber daya Kubernetes baru, memperbarui sumber daya yang ada`spec`, atau ketika ACK mendeteksi penyimpangan dari perubahan manual yang dibuat di luar ACK. AWS Selain itu, ACK melakukan rekonsiliasi berkala dengan periode resync 10 jam. Perubahan pada sumber daya Kubernetes memicu rekonsiliasi segera, sementara deteksi drift pasif terhadap perubahan sumber daya hulu AWS terjadi selama sinkronisasi ulang periodik.
Saat mengerjakan contoh memulai di atas, ACK melakukan langkah-langkah ini:
1. Memeriksa apakah bucket ada di AWS
1. Jika tidak, panggilan `s3:CreateBucket`
1. Memperbarui status Kubernetes dengan bucket ARN dan state
1. Melanjutkan pemantauan untuk drift
Untuk mempelajari lebih lanjut tentang cara kerja ACK, lihat [Rekonsiliasi ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/reconciliation/).
## Kondisi status
Sumber daya ACK menggunakan kondisi status untuk mengkomunikasikan keadaan mereka. Memahami kondisi ini membantu Anda memecahkan masalah dan memahami kesehatan sumber daya.
+ **Siap**: Menunjukkan sumber daya siap untuk dikonsumsi (kondisi Kubernetes standar).
+ **ACK. ResourceSynced**: Menunjukkan spesifikasi sumber daya cocok dengan status AWS sumber daya.
+ **ACK.terminal**: Menunjukkan telah terjadi kesalahan yang tidak dapat dipulihkan.
+ **ACK.adopted**: Menunjukkan sumber daya diadopsi dari AWS sumber daya yang ada daripada dibuat baru.
+ **ACK.Recoverable**: Menunjukkan kesalahan yang dapat dipulihkan yang dapat diselesaikan tanpa memperbarui spesifikasi.
+ **ACK.advisory**: Memberikan informasi nasihat tentang sumber daya.
+ **ACK. LateInitialized**: Menunjukkan apakah inisialisasi bidang yang terlambat selesai.
+ **ACK. ReferencesResolved**: Menunjukkan apakah semua `AWSResourceReference` bidang telah diselesaikan.
+ **ACK. IAMRoleDipilih**: Menunjukkan apakah IAMRole Pemilih telah dipilih untuk mengelola sumber daya ini.
Periksa status sumber daya:
```
# Check if resource is ready
kubectl get bucket my-bucket -o jsonpath='{.status.conditions[?(@.type=="Ready")].status}'
# Check for terminal errors
kubectl get bucket my-bucket -o jsonpath='{.status.conditions[?(@.type=="ACK.Terminal")]}'
```
Contoh status:
```
status:
conditions:
- type: Ready
status: "True"
lastTransitionTime: "2024-01-15T10:30:00Z"
- type: ACK.ResourceSynced
status: "True"
lastTransitionTime: "2024-01-15T10:30:00Z"
- type: ACK.Terminal
status: "True"
ackResourceMetadata:
arn: arn:aws:s3:::my-unique-bucket-name
ownerAccountID: "111122223333"
region: us-west-2
```
Untuk mempelajari lebih lanjut tentang status dan kondisi ACK, lihat [Ketentuan ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/conditions/).
## Kebijakan penghapusan
Kebijakan penghapusan ACK mengontrol apa yang terjadi pada AWS sumber daya ketika Anda menghapus sumber daya Kubernetes.
**Hapus (default)**
AWS Resource dihapus ketika Anda menghapus sumber daya Kubernetes: Ini adalah perilaku default.
```
# No annotation needed - this is the default
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: temp-bucket
spec:
name: temporary-bucket
```
Menghapus sumber daya ini akan menghapus bucket S3 di. AWS
**Pertahankan**
Sumber AWS daya disimpan saat Anda menghapus sumber daya Kubernetes:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: important-bucket
annotations:
services.k8s.aws/deletion-policy: "retain"
spec:
name: production-data-bucket
```
Menghapus sumber daya ini menghapusnya dari Kubernetes tetapi membiarkan bucket S3 masuk. AWS
`retain`Kebijakan ini berguna untuk basis data produksi yang harus hidup lebih lama dari sumber daya Kubernetes, sumber daya bersama yang digunakan oleh beberapa aplikasi, sumber daya dengan data penting yang tidak boleh dihapus secara tidak sengaja, atau manajemen ACK sementara di mana Anda mengadopsi sumber daya, mengonfigurasinya, lalu melepaskannya kembali ke manajemen manual.
Untuk mempelajari selengkapnya tentang kebijakan penghapusan ACK, lihat Kebijakan [Penghapusan ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/deletion-policy/).
## Adopsi sumber daya
Adopsi memungkinkan Anda untuk membawa AWS sumber daya yang ada di bawah manajemen ACK tanpa membuatnya kembali.
Kapan menggunakan adopsi:
+ Migrasi infrastruktur yang ada ke manajemen ACK
+ Memulihkan sumber daya yatim piatu jika terjadi penghapusan AWS sumber daya yang tidak disengaja di Kubernetes
+ Mengimpor sumber daya yang dibuat oleh alat lain (CloudFormation, Terraform)
Cara kerja adopsi:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
Saat Anda membuat sumber daya ini:
1. ACK memeriksa apakah ember dengan nama itu ada di AWS
1. Jika ditemukan, ACK mengadopsinya (tidak ada panggilan API untuk dibuat)
1. ACK membaca konfigurasi saat ini dari AWS
1. ACK memperbarui status Kubernetes untuk mencerminkan keadaan sebenarnya
1. Pembaruan di masa mendatang merekonsiliasi sumber daya secara normal
Setelah diadopsi, sumber daya dikelola seperti sumber daya ACK lainnya, dan menghapus sumber daya Kubernetes akan menghapus sumber daya kecuali Anda menggunakan kebijakan penghapusan. AWS `retain`
Saat mengadopsi sumber daya, AWS sumber daya harus sudah ada dan ACK membutuhkan izin baca untuk menemukannya. `adopt-or-create`Kebijakan mengadopsi sumber daya jika ada, atau membuatnya jika tidak. Ini berguna ketika Anda menginginkan alur kerja deklaratif yang berfungsi apakah sumber daya ada atau tidak.
Untuk mempelajari lebih lanjut tentang adopsi sumber daya ACK, lihat [Adopsi Sumber Daya ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/adopted-resource/).
## Sumber daya lintas akun dan lintas wilayah
ACK dapat mengelola sumber daya di berbagai AWS akun dan wilayah dari satu cluster.
**Anotasi sumber daya lintas wilayah**
Anda dapat menentukan wilayah AWS sumber daya menggunakan anotasi:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: eu-bucket
annotations:
services.k8s.aws/region: eu-west-1
spec:
name: my-eu-bucket
```
Anda juga dapat menentukan wilayah dari semua sumber AWS daya yang dibuat dalam namespace tertentu:
**Anotasi namespace**
Menetapkan wilayah default untuk semua sumber daya di namespace:
```
apiVersion: v1
kind: Namespace
metadata:
name: production
annotations:
services.k8s.aws/default-region: us-west-2
```
Sumber daya yang dibuat di namespace ini menggunakan wilayah ini kecuali diganti dengan anotasi tingkat sumber daya.
**Lintas akun**
Gunakan Penyeleksi Peran IAM untuk memetakan peran IAM tertentu ke ruang nama:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: target-account-config
spec:
arn: arn:aws:iam::444455556666:role/ACKTargetAccountRole
namespaceSelector:
names:
- production
```
Sumber daya yang dibuat di namespace yang dipetakan secara otomatis menggunakan peran yang ditentukan.
Untuk mempelajari selengkapnya tentang Penyeleksi Peran IAM, lihat Manajemen Sumber Daya [Lintas Akun ACK](https://aws-controllers-k8s.github.io/docs/guides/cross-account). Untuk detail konfigurasi lintas akun, lihat[Konfigurasikan izin ACK](ack-permissions.md).
## Penanganan kesalahan dan perilaku coba lagi
ACK secara otomatis menangani kesalahan sementara dan mencoba ulang operasi yang gagal.
Coba lagi strategi:
+ Kesalahan sementara (pembatasan tarif, masalah layanan sementara, izin tidak mencukupi) memicu percobaan ulang otomatis
+ Backoff eksponensial mencegah kewalahan AWS APIs
+ Upaya coba ulang maksimum bervariasi menurut jenis kesalahan
+ Kesalahan permanen (parameter tidak valid, konflik nama sumber daya) jangan coba lagi
Periksa status sumber daya untuk detail kesalahan menggunakan`kubectl describe`:
```
kubectl describe bucket my-bucket
```
Cari kondisi status dengan pesan kesalahan, peristiwa yang menunjukkan upaya rekonsiliasi terbaru, dan `message` bidang dalam kondisi status yang menjelaskan kegagalan. Kesalahan umum termasuk izin IAM yang tidak mencukupi, konflik nama sumber daya AWS, nilai konfigurasi yang tidak valid dalam`spec`, dan melebihi kuota layanan. AWS
Untuk mengatasi masalah kesalahan umum, lihat. [Memecahkan masalah dengan kemampuan ACK](ack-troubleshooting.md)
## Komposisi sumber daya dengan kro
Untuk menyusun dan menghubungkan beberapa sumber daya ACK bersama-sama, gunakan Kemampuan EKS untuk kro (Kube Resource Orchestrator). kro menyediakan cara deklaratif untuk mendefinisikan kelompok sumber daya, meneruskan konfigurasi antar sumber daya untuk mengelola pola infrastruktur yang kompleks secara sederhana.
Untuk contoh rinci tentang membuat komposisi sumber daya kustom dengan sumber daya ACK, lihat [konsep kro](kro-concepts.md)
## Langkah selanjutnya
+ [Pertimbangan ACK untuk EKS](ack-considerations.md)- Pola dan strategi integrasi khusus EKS
# Konfigurasikan izin ACK
ACK memerlukan izin IAM untuk membuat dan mengelola AWS sumber daya atas nama Anda. Topik ini menjelaskan cara kerja IAM dengan ACK dan memberikan panduan tentang mengonfigurasi izin untuk kasus penggunaan yang berbeda.
## Bagaimana IAM bekerja dengan ACK
ACK menggunakan peran IAM untuk mengautentikasi AWS dan melakukan tindakan pada sumber daya Anda. Ada dua cara untuk memberikan izin ke ACK:
**Peran Kemampuan: Peran** IAM yang Anda berikan saat membuat kemampuan ACK. Peran ini digunakan secara default untuk semua operasi ACK.
**IAM Role Selectors**: Peran IAM tambahan yang dapat dipetakan ke ruang nama atau sumber daya tertentu. Peran ini mengesampingkan Peran Kemampuan untuk sumber daya dalam cakupannya.
Ketika ACK perlu membuat atau mengelola sumber daya, ACK menentukan peran IAM mana yang akan digunakan:
1. Periksa apakah IAMRole Selector cocok dengan namespace sumber daya
1. Jika kecocokan ditemukan, asumsikan bahwa peran IAM
1. Jika tidak, gunakan Peran Kemampuan
Pendekatan ini memungkinkan manajemen izin yang fleksibel dari pengaturan peran tunggal sederhana hingga konfigurasi multi-akun dan multi-tim yang kompleks.
## Memulai: Pengaturan izin sederhana
Untuk pengembangan, pengujian, atau kasus penggunaan sederhana, Anda dapat menambahkan semua izin layanan yang diperlukan langsung ke Peran Kemampuan.
Pendekatan ini bekerja dengan baik ketika:
+ Anda memulai dengan ACK
+ Semua sumber daya berada di AWS akun yang sama
+ Satu tim mengelola semua sumber daya ACK
+ Anda mempercayai semua pengguna ACK untuk memiliki izin yang sama
## Praktik terbaik produksi: Penyeleksi Peran IAM
Untuk lingkungan produksi, gunakan Penyeleksi Peran IAM untuk menerapkan akses hak istimewa dan isolasi tingkat ruang nama.
Saat menggunakan Penyeleksi Peran IAM, Peran Kemampuan hanya membutuhkan `sts:AssumeRole` dan `sts:TagSession` izin untuk mengambil peran khusus layanan. Anda tidak perlu menambahkan izin AWS layanan apa pun (seperti S3 atau RDS) ke Peran Kemampuan itu sendiri—izin tersebut diberikan kepada masing-masing peran IAM yang diasumsikan oleh Peran Kemampuan.
**Memilih antara model izin**:
Gunakan **izin langsung** (menambahkan izin layanan ke Peran Kemampuan) saat:
+ Anda memulai dan menginginkan pengaturan yang paling sederhana
+ Semua sumber daya berada di akun yang sama dengan cluster Anda
+ Anda memiliki persyaratan izin administratif dan seluruh klaster
+ Semua tim dapat berbagi izin yang sama
Gunakan **Penyeleksi Peran IAM** saat:
+ Mengelola sumber daya di beberapa AWS akun
+ Tim atau ruang nama yang berbeda memerlukan izin yang berbeda
+ Anda memerlukan kontrol akses berbutir halus per namespace
+ Anda ingin mengikuti praktik keamanan dengan hak istimewa paling sedikit
Anda dapat memulai dengan izin langsung dan bermigrasi ke Penyeleksi Peran IAM nanti seiring bertambahnya kebutuhan Anda.
**Mengapa menggunakan Penyeleksi Peran IAM dalam produksi:**
+ **Hak istimewa paling sedikit**: Setiap namespace hanya mendapatkan izin yang dibutuhkannya
+ **Isolasi tim**: Tim A tidak dapat secara tidak sengaja menggunakan izin Tim B
+ **Audit yang lebih mudah**: Pemetaan yang jelas dari namespace mana yang menggunakan peran mana
+ **Dukungan lintas akun**: Diperlukan untuk mengelola sumber daya di beberapa akun
+ **Pemisahan kekhawatiran**: Layanan atau lingkungan yang berbeda menggunakan peran yang berbeda
### Pengaturan Pemilih Peran IAM Dasar
**Langkah 1: Buat peran IAM khusus layanan**
Buat peran IAM dengan izin untuk layanan tertentu AWS :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "*"
}
]
}
```
Konfigurasikan kebijakan kepercayaan untuk memungkinkan Peran Kemampuan untuk mengasumsikannya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ACKCapabilityRole"
},
"Action": ["sts:AssumeRole", "sts:TagSession"]
}
]
}
```
**Langkah 2: Berikan AssumeRole izin untuk Peran Kemampuan**
Tambahkan izin ke Peran Kemampuan untuk mengambil peran khusus layanan:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::111122223333:role/ACK-S3-Role"
}
]
}
```
**Langkah 3: Buat IAMRole Selector**
Petakan peran IAM ke namespace:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: s3-namespace-config
spec:
arn: arn:aws:iam::111122223333:role/ACK-S3-Role
namespaceSelector:
names:
- s3-resources
```
**Langkah 4: Buat sumber daya di namespace yang dipetakan**
Sumber daya di `s3-resources` namespace secara otomatis menggunakan peran yang ditentukan:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-bucket
namespace: s3-resources
spec:
name: my-production-bucket
```
## Manajemen multi-akun
Gunakan Penyeleksi Peran IAM untuk mengelola sumber daya di beberapa AWS akun.
**Langkah 1: Buat peran IAM lintas akun**
Di akun target (444455556666), buat peran yang mempercayai Peran Kemampuan akun sumber:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ACKCapabilityRole"
},
"Action": ["sts:AssumeRole", "sts:TagSession"]
}
]
}
```
Lampirkan izin khusus layanan ke peran ini.
**Langkah 2: Berikan AssumeRole izin**
Di akun sumber (111122223333), izinkan Peran Kemampuan untuk mengambil peran akun target:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::444455556666:role/ACKTargetAccountRole"
}
]
}
```
**Langkah 3: Buat IAMRole Selector**
Memetakan peran lintas akun ke namespace:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: production-account-config
spec:
arn: arn:aws:iam::444455556666:role/ACKTargetAccountRole
namespaceSelector:
names:
- production
```
**Langkah 4: Buat sumber daya**
Sumber daya di `production` namespace dibuat di akun target:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-bucket
namespace: production
spec:
name: my-cross-account-bucket
```
## Tanda sesi
Kemampuan EKS ACK secara otomatis menetapkan tag sesi pada semua permintaan AWS API. Tag ini memungkinkan kontrol akses dan audit berbutir halus dengan mengidentifikasi sumber setiap permintaan.
### Tag sesi yang tersedia
Tag sesi berikut disertakan dengan setiap panggilan AWS API yang dibuat oleh ACK:
| Tag Kunci | Deskripsi |
| --- | --- |
| `eks:eks-capability-arn` | ARN dari kemampuan EKS membuat permintaan |
| `eks:kubernetes-namespace` | Namespace Kubernetes dari sumber daya yang sedang dikelola |
| `eks:kubernetes-api-group` | Grup API Kubernetes dari sumber daya (misalnya,) `s3.services.k8s.aws` |
### Menggunakan tag sesi untuk kontrol akses
Anda dapat menggunakan tag sesi ini dalam kondisi kebijakan IAM untuk membatasi sumber daya yang dapat dikelola ACK. Ini memberikan lapisan keamanan tambahan di luar Penyeleksi Peran IAM berbasis namespace.
**Contoh: Batasi dengan namespace**
Izinkan ACK membuat bucket S3 hanya ketika permintaan berasal dari namespace: `production`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/eks:kubernetes-namespace": "production"
}
}
}
]
}
```
**Contoh: Batasi dengan kemampuan**
Izinkan tindakan hanya dari kemampuan ACK tertentu:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/eks:eks-capability-arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack"
}
}
}
]
}
```
**catatan**
Tag sesi adalah perbedaan dari ACK yang dikelola sendiri, yang tidak mengatur tag ini secara default. Ini memungkinkan kontrol akses yang lebih terperinci dengan kemampuan terkelola.
## Pola Pemilih Peran IAM Tingkat Lanjut
[Untuk konfigurasi lanjutan termasuk pemilih label, pemetaan peran khusus sumber daya, dan contoh tambahan, lihat Dokumentasi ACK IRSA.](https://aws-controllers-k8s.github.io/community/docs/user-docs/irsa/)
## Langkah selanjutnya
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan siklus hidup sumber daya
+ [Konsep ACK](ack-concepts.md)- Pelajari tentang kebijakan adopsi dan penghapusan sumber daya
+ [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)- Memahami praktik terbaik keamanan untuk kemampuan
# Pertimbangan ACK untuk EKS
Topik ini mencakup pertimbangan penting untuk menggunakan Kemampuan EKS untuk ACK, termasuk konfigurasi IAM, pola multi-akun, dan integrasi dengan kemampuan EKS lainnya.
## Pola konfigurasi IAM
Kemampuan ACK menggunakan Peran Kemampuan IAM untuk mengautentikasi dengan. AWS Pilih pola IAM yang tepat berdasarkan kebutuhan Anda.
### Sederhana: Peran Kemampuan Tunggal
Untuk pengembangan, pengujian, atau kasus penggunaan sederhana, berikan semua izin yang diperlukan langsung ke Peran Kemampuan.
**Kapan menggunakan**:
+ Memulai dengan ACK
+ Penerapan akun tunggal
+ Semua sumber daya dikelola oleh satu tim
+ Lingkungan pengembangan dan pengujian
**Contoh**: Tambahkan izin S3 dan RDS ke Peran Kemampuan Anda dengan kondisi penandaan sumber daya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-west-2", "us-east-1"]
}
}
},
{
"Effect": "Allow",
"Action": ["rds:*"],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-west-2", "us-east-1"]
},
}
}
]
}
```
Contoh ini membatasi operasi S3 dan RDS ke wilayah tertentu dan membutuhkan sumber daya RDS untuk memiliki tag. `ManagedBy: ACK`
### Produksi: Penyeleksi Peran IAM
Untuk lingkungan produksi, gunakan Penyeleksi Peran IAM untuk mengimplementasikan akses hak istimewa terkecil dan isolasi tingkat ruang nama.
**Kapan menggunakan**:
+ Lingkungan produksi
+ Cluster multi-tim
+ Manajemen sumber daya multi-akun
+ Persyaratan keamanan dengan hak istimewa paling sedikit
+ Layanan yang berbeda memerlukan izin yang berbeda
**Manfaat**:
+ Setiap namespace hanya mendapatkan izin yang dibutuhkannya
+ Isolasi tim - Tim A tidak dapat menggunakan izin Tim B
+ Audit dan kepatuhan yang lebih mudah
+ Diperlukan untuk manajemen sumber daya lintas akun
Untuk konfigurasi Pemilih Peran IAM yang mendetail, lihat. [Konfigurasikan izin ACK](ack-permissions.md)
## Integrasi dengan kemampuan EKS lainnya
### GitOps dengan Argo CD
Gunakan Kemampuan EKS untuk Argo CD untuk menyebarkan sumber daya ACK dari repositori Git, memungkinkan GitOps alur kerja untuk manajemen infrastruktur.
**Pertimbangan**:
+ Simpan sumber daya ACK bersama manifes aplikasi untuk end-to-end GitOps
+ Atur berdasarkan lingkungan, layanan, atau jenis sumber daya berdasarkan struktur tim Anda
+ Gunakan sinkronisasi otomatis Argo CD untuk rekonsiliasi berkelanjutan
+ Aktifkan pemangkasan untuk menghapus sumber daya yang dihapus secara otomatis
+ Pertimbangkan hub-and-spoke pola untuk manajemen infrastruktur multi-cluster
GitOps menyediakan jalur audit, kemampuan rollback, dan manajemen infrastruktur deklaratif. Untuk informasi lebih lanjut tentang Argo CD, lihat[Bekerja dengan Argo CD](working-with-argocd.md).
### Komposisi sumber daya dengan kro
Gunakan Kemampuan EKS untuk kro (Kube Resource Orchestrator) untuk menyusun beberapa sumber daya ACK ke dalam abstraksi dan kustom tingkat yang lebih tinggi. APIs
**Kapan menggunakan kro dengan ACK**:
+ Buat pola yang dapat digunakan kembali untuk tumpukan infrastruktur umum (database\$1cadangan\$1pemantauan)
+ Membangun platform swalayan dengan disederhanakan APIs untuk tim aplikasi
+ Kelola dependensi sumber daya dan berikan nilai antar sumber daya (ARN bucket S3 ke fungsi Lambda)
+ Standarisasi konfigurasi infrastruktur di seluruh tim
+ Kurangi kompleksitas dengan menyembunyikan detail implementasi di balik sumber daya khusus
**Contoh pola**:
+ Tumpukan aplikasi: ember S3\$1antrian SQS\$1konfigurasi notifikasi
+ Pengaturan basis data: contoh RDS\$1grup parameter\$1grup keamanan\$1rahasia
+ Jaringan: VPC\$1subnet\$1tabel rute\$1grup keamanan
kro menangani pengurutan ketergantungan, propagasi status, dan manajemen siklus hidup untuk sumber daya tersusun. Untuk informasi lebih lanjut tentang kro, lihat[konsep kro](kro-concepts.md).
## Mengatur sumber daya Anda
Atur sumber daya ACK menggunakan ruang nama Kubernetes dan tag AWS sumber daya untuk pengelolaan, kontrol akses, dan pelacakan biaya yang lebih baik.
### Organisasi namespace
Gunakan ruang nama Kubernetes untuk memisahkan sumber daya ACK secara logis berdasarkan lingkungan (produksi, pementasan, pengembangan), tim (platform, data, mL), atau aplikasi.
**Manfaat**:
+ RBAC dengan cakupan ruang nama untuk kontrol akses
+ Setel wilayah default per namespace menggunakan anotasi
+ Pengelolaan dan pembersihan sumber daya yang lebih mudah
+ Pemisahan logis selaras dengan struktur organisasi
### Penandaan sumber daya
Kemampuan EKS ACK secara otomatis menerapkan tag default ke semua AWS sumber daya yang dibuatnya. Tag ini berbeda dari ACK yang dikelola sendiri dan memberikan kemampuan penelusuran yang ditingkatkan.
**Tag default diterapkan oleh kemampuan**:
| Tag Kunci | Deskripsi |
| --- | --- |
| `eks:controller-version` | Versi pengontrol ACK |
| `eks:kubernetes-namespace` | Namespace Kubernetes dari sumber daya ACK |
| `eks:kubernetes-resource-name` | Nama sumber daya Kubernetes |
| `eks:kubernetes-api-group` | Grup API Kubernetes (misalnya,) `s3.services.k8s.aws` |
| `eks:eks-capability-arn` | ARN dari kemampuan EKS ACK |
**catatan**
ACK yang dikelola sendiri menggunakan tag default yang berbeda: `services.k8s.aws/controller-version` dan`services.k8s.aws/namespace`. Tag kemampuan menggunakan `eks:` awalan untuk konsistensi dengan fitur EKS lainnya.
**Tag tambahan yang direkomendasikan**:
Tambahkan tag khusus untuk alokasi biaya, pelacakan kepemilikan, dan tujuan organisasi:
+ Lingkungan (Produksi, Pementasan, Pengembangan)
+ Kepemilikan tim atau departemen
+ Pusat biaya untuk alokasi penagihan
+ Nama aplikasi atau layanan
## Migrasi dari Infrastructure-as-code alat lain
Banyak organisasi menemukan nilai dalam standarisasi Kubernetes di luar orkestrasi beban kerja mereka. Migrasi infrastruktur dan manajemen AWS sumber daya ke ACK memungkinkan Anda menstandarisasi manajemen infrastruktur menggunakan Kubernetes APIs di samping beban kerja aplikasi Anda.
**Manfaat standarisasi di Kubernetes** untuk infrastruktur:
+ **Sumber kebenaran tunggal**: Mengelola aplikasi dan infrastruktur di Kubernetes, memungkinkan praktik end-to-end GitOps
+ **Perkakas terpadu: Tim menggunakan sumber daya dan perkakas** Kubernetes daripada mempelajari beberapa alat dan kerangka kerja
+ **Rekonsiliasi yang konsisten**: ACK terus merekonsiliasi AWS sumber daya seperti yang dilakukan Kubernetes untuk beban kerja, mendeteksi dan mengoreksi penyimpangan dibandingkan dengan alat penting
+ **Komposisi asli**: Dengan kro dan ACK bersama-sama, referensi AWS sumber daya secara langsung dalam manifes aplikasi dan sumber daya, meneruskan string koneksi dan ARNs antar sumber daya
+ **Operasi yang disederhanakan**: Satu bidang kontrol untuk penerapan, rollback, dan observabilitas di seluruh sistem Anda
ACK mendukung adopsi AWS sumber daya yang ada tanpa membuatnya kembali, memungkinkan migrasi zero-downtime dari, Terraform CloudFormation, atau sumber daya di luar cluster.
**Mengadopsi sumber daya yang ada**:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
Setelah diadopsi, sumber daya dikelola oleh ACK dan dapat diperbarui melalui manifes Kubernetes. Anda dapat bermigrasi secara bertahap, mengadopsi sumber daya sesuai kebutuhan sambil mempertahankan alat IAc yang ada untuk sumber daya lain.
ACK juga mendukung sumber daya read-only. Untuk sumber daya yang dikelola oleh tim atau alat lain yang ingin Anda referensikan tetapi tidak diubah, gabungkan adopsi dengan kebijakan `retain` penghapusan dan berikan izin IAM baca saja. Hal ini memungkinkan aplikasi untuk menemukan infrastruktur bersama (VPCs, peran IAM, kunci KMS) melalui Kubernetes tanpa risiko modifikasi APIs .
Untuk informasi lebih lanjut tentang adopsi sumber daya, lihat[Konsep ACK](ack-concepts.md).
## Kebijakan penghapusan
Kebijakan penghapusan mengontrol apa yang terjadi pada AWS sumber daya ketika Anda menghapus sumber daya Kubernetes yang sesuai. Pilih kebijakan yang tepat berdasarkan siklus hidup sumber daya dan persyaratan operasional Anda.
### Hapus (default)
Sumber AWS daya akan dihapus ketika Anda menghapus sumber daya Kubernetes. Ini menjaga konsistensi antara cluster Anda dan AWS, memastikan sumber daya tidak menumpuk.
**Kapan menggunakan hapus**:
+ Lingkungan pengembangan dan pengujian di mana pembersihan itu penting
+ Sumber daya sementara yang terkait dengan siklus hidup aplikasi (database pengujian, ember sementara)
+ Sumber daya yang seharusnya tidak hidup lebih lama dari aplikasi (antrian SQS, cluster) ElastiCache
+ Optimalisasi biaya - secara otomatis membersihkan sumber daya yang tidak digunakan
+ Lingkungan yang dikelola dengan GitOps tempat penghapusan sumber daya dari Git harus menghapus infrastruktur
Kebijakan penghapusan default sejalan dengan model deklaratif Kubernetes: apa yang ada di klaster cocok dengan apa yang ada di dalamnya. AWS
### Mempertahankan
Sumber AWS daya disimpan saat Anda menghapus sumber daya Kubernetes. Ini melindungi data penting dan memungkinkan sumber daya untuk hidup lebih lama dari representasi Kubernetes mereka.
**Kapan menggunakan pertahankan**:
+ Database produksi dengan data penting yang harus bertahan dari perubahan klaster
+ Ember penyimpanan jangka panjang dengan kepatuhan atau persyaratan audit
+ Sumber daya bersama yang digunakan oleh beberapa aplikasi atau tim
+ Sumber daya dimigrasikan ke alat manajemen yang berbeda
+ Skenario pemulihan bencana di mana Anda ingin melestarikan infrastruktur
+ Sumber daya dengan dependensi kompleks yang membutuhkan penonaktifan yang cermat
```
apiVersion: rds.services.k8s.aws/v1alpha1
kind: DBInstance
metadata:
name: production-db
annotations:
services.k8s.aws/deletion-policy: "retain"
spec:
dbInstanceIdentifier: prod-db
# ... configuration
```
**penting**
Sumber daya yang tertahan terus mengeluarkan AWS biaya dan harus dihapus secara manual dari AWS saat tidak lagi diperlukan. Gunakan penandaan sumber daya untuk melacak sumber daya yang disimpan untuk pembersihan.
Untuk selengkapnya tentang kebijakan penghapusan, lihat. [Konsep ACK](ack-concepts.md)
## Dokumentasi hulu
Untuk informasi rinci tentang penggunaan ACK:
+ [Panduan penggunaan ACK](https://aws-controllers-k8s.github.io/community/docs/user-docs/usage/) - Membuat dan mengelola sumber daya
+ [Referensi ACK API](https://aws-controllers-k8s.github.io/community/reference/) - Dokumentasi API lengkap untuk semua layanan
+ [Dokumentasi ACK - Dokumentasi](https://aws-controllers-k8s.github.io/community/docs/) pengguna yang komprehensif
## Langkah selanjutnya
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM dan pola multi-akun
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan siklus hidup sumber daya
+ [Memecahkan masalah dengan kemampuan ACK](ack-troubleshooting.md)- Memecahkan masalah ACK
+ [Bekerja dengan Argo CD](working-with-argocd.md)- Menyebarkan sumber daya ACK dengan GitOps
+ [konsep kro](kro-concepts.md)- Tulis sumber daya ACK ke dalam abstraksi tingkat yang lebih tinggi
# Memecahkan masalah dengan kemampuan ACK
Topik ini memberikan panduan pemecahan masalah untuk Kemampuan EKS untuk ACK, termasuk pemeriksaan kesehatan kemampuan, verifikasi status sumber daya, dan masalah izin IAM.
**catatan**
Kemampuan EKS sepenuhnya dikelola dan dijalankan di luar cluster Anda. Anda tidak memiliki akses ke log pengontrol atau ruang nama pengontrol. Pemecahan masalah berfokus pada kesehatan kemampuan, status sumber daya, dan konfigurasi IAM.
## Kemampuan aktif tetapi sumber daya tidak dibuat
Jika kemampuan ACK Anda menunjukkan `ACTIVE` status tetapi sumber daya tidak dibuat AWS, periksa kesehatan kemampuan, status sumber daya, dan izin IAM.
**Periksa kesehatan kemampuan**:
Anda dapat melihat masalah kesehatan dan status kemampuan di konsol EKS atau menggunakan AWS CLI.
**Konsol**:
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda.
1. Pilih tab **Observability**.
1. Pilih **Monitor cluster**.
1. Pilih tab **Kemampuan** untuk melihat kesehatan dan status untuk semua kemampuan.
** AWS CLI**:
```
# View capability status and health
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
# Look for issues in the health section
```
**Penyebab umum**:
+ **Izin IAM hilang**: Peran Kemampuan tidak memiliki izin untuk layanan AWS
+ **Namespace yang salah**: Sumber daya dibuat di namespace tanpa Selector yang tepat IAMRole
+ **Spesifikasi sumber daya tidak valid**: Periksa kondisi status sumber daya untuk kesalahan validasi
+ **Pelambatan API: Batas** laju AWS API tercapai
+ **Webhooks penerimaan**: Webhook masuk memblokir pengontrol dari menambal status sumber daya
**Periksa status sumber daya**:
```
# Describe the resource to see conditions and events
kubectl describe bucket my-bucket -n default
# Look for status conditions
kubectl get bucket my-bucket -n default -o jsonpath='{.status.conditions}'
# View resource events
kubectl get events --field-selector involvedObject.name=my-bucket -n default
```
**Verifikasi izin IAM**:
```
# View the Capability Role's policies
aws iam list-attached-role-policies --role-name my-ack-capability-role
aws iam list-role-policies --role-name my-ack-capability-role
# Get specific policy details
aws iam get-role-policy --role-name my-ack-capability-role --policy-name policy-name
```
## Sumber daya dibuat AWS tetapi tidak ditampilkan di Kubernetes
ACK hanya melacak sumber daya yang dibuatnya melalui manifes Kubernetes. Untuk mengelola AWS sumber daya yang ada dengan ACK, gunakan fitur adopsi.
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
Untuk informasi lebih lanjut tentang adopsi sumber daya, lihat[Konsep ACK](ack-concepts.md).
## Sumber daya lintas akun tidak dibuat
Jika sumber daya tidak dibuat di AWS akun target saat menggunakan Penyeleksi Peran IAM, verifikasi hubungan kepercayaan dan konfigurasi IAMRole Pemilih.
**Verifikasi hubungan kepercayaan**:
```
# Check the trust policy in the target account role
aws iam get-role --role-name cross-account-ack-role --query 'Role.AssumeRolePolicyDocument'
```
Kebijakan kepercayaan harus memungkinkan Peran Kemampuan akun sumber untuk mengasumsikannya.
**Konfirmasikan konfigurasi IAMRole Selector**:
```
# List IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector
# Describe specific selector
kubectl describe iamroleselector my-selector
```
**Verifikasi penyelarasan namespace**:
IAMRoleSelector adalah sumber daya dengan cakupan cluster tetapi menargetkan ruang nama tertentu. Pastikan sumber daya ACK Anda berada di namespace yang cocok dengan pemilih namespace IAMRole Selector:
```
# Check resource namespace
kubectl get bucket my-cross-account-bucket -n production
# List all IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector
# Check which namespace the selector targets
kubectl get iamroleselector my-selector -o jsonpath='{.spec.namespaceSelector}'
```
**Periksa Kondisi IAMRole yang dipilih**:
Verifikasi bahwa IAMRole Pemilih berhasil dicocokkan dengan sumber daya Anda dengan memeriksa kondisi: `ACK.IAMRoleSelected`
```
# Check if IAMRoleSelector was matched
kubectl get bucket my-cross-account-bucket -n production -o jsonpath='{.status.conditions[?(@.type=="ACK.IAMRoleSelected")]}'
```
Jika kondisinya ada `False` atau hilang, IAMRole pemilih namespace Selector tidak cocok dengan namespace sumber daya. Verifikasi bahwa pemilih `namespaceSelector` cocok dengan label namespace sumber daya Anda.
**Periksa izin Peran Kemampuan**:
Kebutuhan `sts:AssumeRole` dan `sts:TagSession` izin Peran Kemampuan untuk peran akun target:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::[.replaceable]`444455556666`:role/[.replaceable]`cross-account-ack-role`"
}
]
}
```
Untuk konfigurasi lintas akun yang mendetail, lihat[Konfigurasikan izin ACK](ack-permissions.md).
## Langkah selanjutnya
+ [Pertimbangan ACK untuk EKS](ack-considerations.md)- Pertimbangan ACK dan praktik terbaik
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM dan pola multi-akun
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan siklus hidup sumber daya
+ [Memecahkan Masalah Kemampuan EKS](capabilities-troubleshooting.md)- Panduan pemecahan masalah kemampuan umum
# Membandingkan Kemampuan EKS untuk ACK dengan ACK yang dikelola sendiri
Kemampuan EKS untuk ACK menyediakan fungsionalitas yang sama dengan pengontrol ACK yang dikelola sendiri, tetapi dengan keunggulan operasional yang signifikan. Untuk perbandingan umum Kemampuan EKS vs solusi yang dikelola sendiri, lihat[Pertimbangan Kemampuan EKS](capabilities-considerations.md). Topik ini berfokus pada perbedaan spesifik ACK.
## Perbedaan dari ACK hulu
Kemampuan EKS untuk ACK didasarkan pada pengontrol ACK hulu tetapi berbeda dalam integrasi IAM.
**Peran Kemampuan IAM: Kemampuan menggunakan peran** IAM khusus dengan kebijakan kepercayaan yang memungkinkan prinsipal `capabilities.eks.amazonaws.com` layanan, bukan IRSA (Peran IAM untuk Akun Layanan). Anda dapat melampirkan kebijakan IAM langsung ke Peran Kemampuan tanpa perlu membuat atau membuat anotasi akun layanan Kubernetes atau mengonfigurasi penyedia OIDC. Praktik terbaik untuk kasus penggunaan produksi adalah mengonfigurasi izin layanan menggunakan`IAMRoleSelector`. Lihat [Konfigurasikan izin ACK](ack-permissions.md) untuk detail selengkapnya.
**Tag sesi**: Kemampuan terkelola secara otomatis menetapkan tag sesi pada semua permintaan AWS API, memungkinkan kontrol akses dan audit berbutir halus. Tag termasuk`eks:eks-capability-arn`,`eks:kubernetes-namespace`, dan`eks:kubernetes-api-group`. Ini berbeda dari ACK yang dikelola sendiri, yang tidak mengatur tag ini secara default. Lihat [Konfigurasikan izin ACK](ack-permissions.md) detail tentang penggunaan tag sesi dalam kebijakan IAM.
**Tag sumber daya**: Kemampuan menerapkan tag default yang berbeda ke AWS sumber daya daripada ACK yang dikelola sendiri. Kemampuan menggunakan tag `eks:` awalan (seperti`eks:kubernetes-namespace`,`eks:eks-capability-arn`) alih-alih `services.k8s.aws/` tag yang digunakan oleh ACK yang dikelola sendiri. Lihat [Pertimbangan ACK untuk EKS](ack-considerations.md) daftar lengkap tag sumber daya default.
**Kompatibilitas sumber daya**: Sumber daya kustom ACK bekerja secara identik dengan ACK upstream tanpa perubahan pada file YAMAL sumber daya ACK Anda. Kemampuannya menggunakan Kubernetes yang sama APIs dan CRDs, jadi alat seperti `kubectl` bekerja dengan cara yang sama. Semua pengontrol GA dan sumber daya dari ACK hulu didukung.
Untuk dokumentasi ACK lengkap dan panduan khusus layanan, lihat dokumentasi [ACK](https://aws-controllers-k8s.github.io/community/).
## Jalur migrasi
Anda dapat bermigrasi dari ACK yang dikelola sendiri ke kemampuan terkelola tanpa waktu henti:
1. Perbarui pengontrol ACK yang dikelola sendiri `kube-system` untuk digunakan untuk sewa pemilihan pemimpin, misalnya:
```
helm upgrade --install ack-s3-controller \
oci://public.ecr.aws/aws-controllers-k8s/s3-chart \
--namespace ack-system \
--set leaderElection.namespace=kube-system
```
Ini memindahkan sewa pengontrol`kube-system`, memungkinkan kemampuan terkelola untuk berkoordinasi dengannya.
1. Buat kemampuan ACK di cluster Anda (lihat[Buat kemampuan ACK](create-ack-capability.md))
1. Kemampuan terkelola mengenali AWS sumber daya yang dikelola ACK yang ada dan mengambil alih rekonsiliasi
1. Secara bertahap turunkan atau hapus penerapan pengontrol yang dikelola sendiri:
```
helm uninstall ack-s3-controller --namespace ack-system
```
Pendekatan ini memungkinkan kedua pengendali untuk hidup berdampingan dengan aman selama migrasi. Kemampuan yang dikelola secara otomatis mengadopsi sumber daya yang sebelumnya dikelola oleh pengendali yang dikelola sendiri, memastikan rekonsiliasi berkelanjutan tanpa konflik.
## Langkah selanjutnya
+ [Buat kemampuan ACK](create-ack-capability.md)- Buat sumber daya kemampuan ACK
+ [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan siklus hidup sumber daya
+ [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan IAM dan izin
# Penerapan Berkelanjutan dengan Argo CD
Argo CD adalah alat pengiriman GitOps kontinu deklaratif untuk Kubernetes. Dengan Argo CD, Anda dapat mengotomatiskan penerapan dan manajemen siklus hidup aplikasi Anda di beberapa cluster dan lingkungan. Argo CD mendukung beberapa jenis sumber termasuk repositori Git, registri Helm (HTTP dan OCI), dan gambar OCI—memberikan fleksibilitas bagi organisasi dengan persyaratan keamanan dan kepatuhan yang berbeda.
Dengan Kemampuan EKS, Argo CD sepenuhnya dikelola oleh AWS, menghilangkan kebutuhan untuk menginstal, memelihara, dan menskalakan pengontrol CD Argo dan dependensinya pada cluster Anda.
## Bagaimana Argo CD Bekerja
Argo CD mengikuti GitOps pola, di mana sumber aplikasi Anda (repositori Git, registri Helm, atau gambar OCI) adalah sumber kebenaran untuk mendefinisikan status aplikasi yang diinginkan. Ketika Anda membuat resource Argo CD, Anda menentukan `Application` sumber yang berisi manifes aplikasi Anda dan cluster Kubernetes target dan namespace. Argo CD terus memantau sumber dan status langsung di cluster, secara otomatis menyinkronkan perubahan apa pun untuk memastikan status cluster cocok dengan status yang diinginkan.
**catatan**
Dengan Kemampuan EKS untuk Argo CD, perangkat lunak Argo CD berjalan di bidang AWS kontrol, bukan pada node pekerja Anda. Ini berarti node pekerja Anda tidak memerlukan akses langsung ke repositori Git atau registri Helm — kapabilitas menangani akses sumber dari akun. AWS
Argo CD menyediakan tiga jenis sumber daya utama:
+ **Aplikasi**: Mendefinisikan penerapan dari repositori Git ke kluster target
+ **ApplicationSet**: Menghasilkan beberapa Aplikasi dari template untuk penerapan multi-cluster
+ **AppProject**: Menyediakan pengelompokan logis dan kontrol akses untuk Aplikasi
**Contoh: Membuat Aplikasi Argo CD**
Contoh berikut menunjukkan cara membuat `Application` sumber daya Argo CD:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: guestbook
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/argoproj/argocd-example-apps.git
targetRevision: HEAD
path: guestbook
destination:
name: in-cluster
namespace: guestbook
syncPolicy:
automated:
prune: true
selfHeal: true
```
**catatan**
Gunakan `destination.name` dengan nama cluster yang Anda gunakan saat mendaftarkan cluster (seperti `in-cluster` untuk cluster lokal). `destination.server`Bidang ini juga berfungsi dengan cluster EKS ARNs, tetapi menggunakan nama cluster direkomendasikan untuk keterbacaan yang lebih baik.
## Manfaat Argo CD
Argo CD mengimplementasikan GitOps alur kerja di mana Anda menentukan konfigurasi aplikasi Anda di repositori Git dan Argo CD secara otomatis menyinkronkan aplikasi Anda agar sesuai dengan status yang diinginkan. Pendekatan GIT-sentris ini menyediakan jejak audit lengkap dari semua perubahan, memungkinkan pengembalian yang mudah, dan terintegrasi secara alami dengan peninjauan kode dan proses persetujuan Anda yang ada. Argo CD secara otomatis mendeteksi dan merekonsiliasi penyimpangan antara status yang diinginkan di Git dan status aktual di cluster Anda, memastikan penerapan Anda tetap konsisten dengan konfigurasi yang Anda deklarasikan.
Dengan Argo CD, Anda dapat menyebarkan dan mengelola aplikasi di beberapa cluster dari satu instance CD Argo, menyederhanakan operasi di lingkungan multi-cluster dan multi-wilayah. Argo CD UI menyediakan kemampuan visualisasi dan pemantauan, memungkinkan Anda untuk melihat status penerapan, kesehatan, dan riwayat aplikasi Anda. UI terintegrasi dengan AWS Identity Center (sebelumnya AWS SSO) untuk otentikasi dan otorisasi tanpa batas, memungkinkan Anda untuk mengontrol akses menggunakan infrastruktur manajemen identitas yang ada.
Sebagai bagian dari Kemampuan Terkelola EKS, Argo CD sepenuhnya dikelola oleh AWS, menghilangkan kebutuhan untuk menginstal, mengkonfigurasi, dan memelihara infrastruktur Argo CD. AWS menangani penskalaan, penambalan, dan manajemen operasional, yang memungkinkan tim Anda untuk fokus pada pengiriman aplikasi daripada pemeliharaan alat.
## Integrasi dengan Pusat AWS Identitas
EKS Managed Capabilities menyediakan integrasi langsung antara Argo CD dan AWS Identity Center, memungkinkan otentikasi dan otorisasi tanpa batas untuk pengguna Anda. Saat Anda mengaktifkan kemampuan Argo CD, Anda dapat mengonfigurasi integrasi Pusat AWS Identitas untuk memetakan grup Pusat Identitas dan pengguna ke peran Argo CD RBAC, memungkinkan Anda mengontrol siapa yang dapat mengakses dan mengelola aplikasi di Argo CD.
## Integrasi dengan Kemampuan Terkelola EKS Lainnya
Argo CD terintegrasi dengan Kemampuan Terkelola EKS lainnya.
+ ** AWS Controller for Kubernetes (ACK)**: Gunakan Argo CD untuk mengelola penyebaran sumber daya ACK di beberapa cluster, memungkinkan alur kerja untuk infrastruktur Anda. GitOps AWS
+ **kro (Kube Resource Orchestrator)**: Gunakan Argo CD untuk menyebarkan komposisi kro di beberapa cluster, memungkinkan komposisi sumber daya yang konsisten di seluruh estate Kubernetes Anda.
## Memulai dengan Argo CD
Untuk memulai dengan Kemampuan EKS untuk Argo CD:
1. Buat dan konfigurasikan Peran Kemampuan IAM dengan izin yang diperlukan untuk Argo CD untuk mengakses sumber Anda dan mengelola aplikasi.
1. [Buat sumber daya kemampuan Argo CD](create-argocd-capability.md) di kluster EKS Anda melalui AWS Konsol, AWS CLI, atau infrastruktur pilihan Anda sebagai alat kode.
1. Konfigurasikan akses repositori dan daftarkan cluster untuk penerapan aplikasi.
1. Buat sumber daya Aplikasi untuk menyebarkan aplikasi Anda dari sumber deklaratif Anda.
# Membuat kemampuan Argo CD
Topik ini menjelaskan cara membuat kemampuan Argo CD di cluster Amazon EKS Anda.
## Prasyarat
Sebelum membuat kemampuan Argo CD, pastikan Anda memiliki:
+ Cluster Amazon EKS yang sudah ada yang menjalankan versi Kubernetes yang didukung (semua versi dalam dukungan standar dan diperpanjang didukung)
+ ** AWS Pusat Identitas dikonfigurasi** - Diperlukan untuk otentikasi CD Argo (pengguna lokal tidak didukung)
+ Peran Kemampuan IAM dengan izin untuk Argo CD
+ Izin IAM yang memadai untuk membuat sumber daya kemampuan di kluster EKS
+ `kubectl`dikonfigurasi untuk berkomunikasi dengan cluster Anda
+ (Opsional) Argo CD CLI diinstal untuk manajemen cluster dan repositori yang lebih mudah
+ (Untuk CLI/Eksctl) Alat CLI yang sesuai diinstal dan dikonfigurasi
Untuk petunjuk tentang cara membuat Peran Kemampuan IAM, lihat[Peran IAM kemampuan Amazon EKS](capability-role.md). Untuk penyiapan Pusat Identitas, lihat [Memulai dengan Pusat AWS Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html).
**penting**
Peran Kemampuan IAM yang Anda berikan menentukan AWS sumber daya yang dapat diakses Argo CD. Ini termasuk akses repositori Git via CodeConnections dan rahasia di Secrets Manager. Untuk panduan tentang membuat peran yang sesuai dengan izin hak istimewa paling sedikit, lihat dan. [Peran IAM kemampuan Amazon EKS](capability-role.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
## Pilih alat Anda
Anda dapat membuat kemampuan Argo CD menggunakan, AWS CLI Konsol Manajemen AWS, atau eksctl:
+ [Buat kemampuan Argo CD menggunakan Konsol](argocd-create-console.md)- Gunakan Konsol untuk pengalaman terpandu
+ [Buat kemampuan Argo CD menggunakan CLI AWS](argocd-create-cli.md)- Gunakan AWS CLI untuk scripting dan otomatisasi
+ [Buat kemampuan Argo CD menggunakan eksctl](argocd-create-eksctl.md)- Gunakan eksctl untuk pengalaman asli Kubernetes
## Apa yang terjadi ketika Anda membuat kemampuan Argo CD
Saat Anda membuat kemampuan Argo CD:
1. EKS menciptakan layanan kemampuan Argo CD di bidang AWS kontrol
1. Definisi Sumber Daya Kustom (CRDs) diinstal di klaster Anda
1. Entri akses dibuat secara otomatis untuk Peran Kemampuan IAM Anda dengan kebijakan entri akses khusus kemampuan yang memberikan izin Kubernetes dasar (lihat) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)
1. Argo CD mulai menonton sumber daya kustomnya (Aplikasi, ApplicationSets, AppProjects)
1. Status kemampuan berubah dari `CREATING` menjadi `ACTIVE`
1. Argo CD UI dapat diakses melalui URL-nya
Setelah aktif, Anda dapat membuat Aplikasi Argo CD di cluster Anda untuk menyebarkan dari sumber deklaratif Anda.
**catatan**
Entri akses yang dibuat secara otomatis tidak memberikan izin untuk menyebarkan aplikasi ke cluster. Untuk menerapkan aplikasi, Anda harus mengonfigurasi izin Kubernetes RBAC tambahan untuk setiap kluster target. Lihat [Daftarkan cluster target](argocd-register-clusters.md) detail tentang mendaftarkan kluster dan mengonfigurasi akses.
## Langkah selanjutnya
Setelah membuat kemampuan Argo CD:
+ [Konsep Argo CD](argocd-concepts.md)- Pelajari tentang GitOps prinsip, kebijakan sinkronisasi, dan pola multi-cluster
+ [Bekerja dengan Argo CD](working-with-argocd.md)- Konfigurasikan akses repositori, daftarkan cluster target, dan buat Aplikasi
+ [Pertimbangan Argo CD](argocd-considerations.md)- Jelajahi pola arsitektur multi-cluster dan konfigurasi lanjutan
# Buat kemampuan Argo CD menggunakan Konsol
Topik ini menjelaskan cara membuat kemampuan Argo CD menggunakan file. Konsol Manajemen AWS
## Prasyarat
+ ** AWS Pusat Identitas dikonfigurasi** - Argo CD memerlukan Pusat AWS Identitas untuk otentikasi. Pengguna lokal tidak didukung. Jika Anda belum menyiapkan Pusat AWS Identitas, lihat [Memulai dengan Pusat AWS Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) untuk membuat instance Pusat Identitas, dan [Menambahkan pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) dan [Menambahkan grup](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html) untuk membuat pengguna dan grup untuk akses CD Argo.
## Buat kemampuan Argo CD
1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.
1. Pilih nama cluster Anda untuk membuka halaman detail cluster.
1. Pilih tab **Kemampuan**.
1. Di navigasi kiri, pilih **Argo CD**.
1. Pilih **Buat kemampuan CD Argo**.
1. Untuk **Peran Kemampuan IAM**:
+ Jika Anda sudah memiliki Peran Kemampuan IAM, pilih dari dropdown
+ Jika Anda perlu membuat peran, pilih **Buat peran CD Argo**
Ini membuka konsol IAM di tab baru dengan kebijakan kepercayaan yang telah diisi sebelumnya dan akses baca penuh ke Secrets Manager. Tidak ada izin lain yang ditambahkan secara default, tetapi Anda dapat menambahkannya jika diperlukan. Jika Anda berencana untuk menggunakan CodeCommit repositori atau AWS layanan lain, tambahkan izin yang sesuai sebelum membuat peran.
Setelah membuat peran, kembali ke konsol EKS dan peran akan dipilih secara otomatis.
**catatan**
Jika Anda berencana untuk menggunakan integrasi opsional dengan AWS Secrets Manager atau AWS CodeConnections, Anda harus menambahkan izin ke peran tersebut. Untuk contoh kebijakan IAM dan panduan konfigurasi, lihat [Kelola rahasia aplikasi dengan AWS Secrets Manager](integration-secrets-manager.md) dan[Connect ke repositori Git dengan AWS CodeConnections](integration-codeconnections.md).
1. Konfigurasikan integrasi Pusat AWS Identitas:
1. Pilih **Aktifkan integrasi Pusat AWS Identitas**.
1. Pilih instans Pusat Identitas Anda dari dropdown.
1. Konfigurasikan pemetaan peran untuk RBAC dengan menetapkan pengguna atau grup ke peran Argo CD (ADMIN, EDITOR, atau VIEWER)
1. Pilih **Buat**.
Proses pembuatan kapabilitas dimulai.
## Verifikasi kemampuan aktif
1. Pada tab **Capabilities**, lihat status kemampuan Argo CD.
1. Tunggu status berubah dari `CREATING` ke`ACTIVE`.
1. Setelah aktif, kemampuan siap digunakan.
Untuk informasi tentang status kemampuan dan pemecahan masalah, lihat. [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)
## Akses UI CD Argo
Setelah kemampuan aktif, Anda dapat mengakses Argo CD UI:
1. Pada halaman kemampuan Argo CD, pilih **Open Argo CD UI**.
1. Argo CD UI terbuka di tab browser baru.
1. Anda sekarang dapat membuat Aplikasi dan mengelola penerapan melalui UI.
## Langkah selanjutnya
+ [Bekerja dengan Argo CD](working-with-argocd.md)- Konfigurasikan repositori, daftarkan cluster, dan buat Aplikasi
+ [Pertimbangan Argo CD](argocd-considerations.md)- Arsitektur multi-cluster dan konfigurasi lanjutan
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan Argo CD Anda
# Buat kemampuan Argo CD menggunakan CLI AWS
Topik ini menjelaskan cara membuat kemampuan Argo CD menggunakan AWS CLI.
## Prasyarat
+ ** AWS CLI** — Versi `2.12.3` atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`aws --version`. Untuk informasi selengkapnya, lihat [Menginstal](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) di Panduan Pengguna Antarmuka Baris AWS Perintah.
+ **`kubectl`**— Alat baris perintah untuk bekerja dengan cluster Kubernetes. Untuk informasi selengkapnya, lihat [Mengatur `kubectl` dan `eksctl`](install-kubectl.md).
+ ** AWS Pusat Identitas dikonfigurasi** - Argo CD memerlukan Pusat AWS Identitas untuk otentikasi. Pengguna lokal tidak didukung. Jika Anda belum menyiapkan Pusat AWS Identitas, lihat [Memulai dengan Pusat AWS Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) untuk membuat instance Pusat Identitas, dan [Menambahkan pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) dan [Menambahkan grup](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html) untuk membuat pengguna dan grup untuk akses CD Argo.
## Langkah 1: Buat Peran Kemampuan IAM
Buat file kebijakan kepercayaan:
```
cat > argocd-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
Buat peran IAM:
```
aws iam create-role \
--role-name ArgoCDCapabilityRole \
--assume-role-policy-document file://argocd-trust-policy.json
```
**catatan**
Jika Anda berencana untuk menggunakan integrasi opsional dengan AWS Secrets Manager atau AWS CodeConnections, Anda harus menambahkan izin ke peran tersebut. Untuk contoh kebijakan IAM dan panduan konfigurasi, lihat [Kelola rahasia aplikasi dengan AWS Secrets Manager](integration-secrets-manager.md) dan[Connect ke repositori Git dengan AWS CodeConnections](integration-codeconnections.md).
## Langkah 2: Buat kemampuan Argo CD
Buat sumber daya kemampuan Argo CD di cluster Anda.
Pertama, atur variabel lingkungan untuk konfigurasi Pusat Identitas Anda:
```
# Get your Identity Center instance ARN (replace region if your IDC instance is in a different region)
export IDC_INSTANCE_ARN=$(aws sso-admin list-instances --region [.replaceable]`region` --query 'Instances[0].InstanceArn' --output text)
# Get a user ID for RBAC mapping (replace with your username and region if needed)
export IDC_USER_ID=$(aws identitystore list-users \
--region [.replaceable]`region` \
--identity-store-id $(aws sso-admin list-instances --region [.replaceable]`region` --query 'Instances[0].IdentityStoreId' --output text) \
--query 'Users[?UserName==`your-username`].UserId' --output text)
echo "IDC_INSTANCE_ARN=$IDC_INSTANCE_ARN"
echo "IDC_USER_ID=$IDC_USER_ID"
```
Buat kemampuan dengan integrasi Pusat Identitas. Ganti *region-code* dengan AWS Wilayah tempat klaster Anda berada dan *my-cluster* dengan nama cluster Anda dan *idc-region-code* dengan kode wilayah tempat Pusat Identitas IAM Anda telah dikonfigurasi:
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd \
--type ARGOCD \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ArgoCDCapabilityRole \
--delete-propagation-policy RETAIN \
--configuration '{
"argoCd": {
"awsIdc": {
"idcInstanceArn": "'$IDC_INSTANCE_ARN'",
"idcRegion": "'[.replaceable]`idc-region-code`'"
},
"rbacRoleMappings": [{
"role": "ADMIN",
"identities": [{
"id": "'$IDC_USER_ID'",
"type": "SSO_USER"
}]
}]
}
}'
```
Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif karena EKS menciptakan infrastruktur dan komponen kemampuan yang diperlukan. EKS akan menginstal Definisi Sumber Daya Kustom Kubernetes yang terkait dengan kemampuan ini di cluster Anda saat sedang dibuat.
**catatan**
Jika Anda menerima kesalahan bahwa klaster tidak ada atau Anda tidak memiliki izin, verifikasi:
Nama klaster sudah benar
AWS CLI Anda dikonfigurasi untuk wilayah yang benar
Anda memiliki izin IAM yang diperlukan
## Langkah 3: Verifikasi kemampuan aktif
Tunggu kemampuan untuk menjadi aktif. Ganti *region-code* dengan AWS Wilayah tempat klaster Anda berada dan *my-cluster* dengan nama cluster Anda.
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd \
--query 'capability.status' \
--output text
```
Kemampuan siap ketika status ditampilkan`ACTIVE`. Jangan melanjutkan ke langkah berikutnya sampai statusnya`ACTIVE`.
Anda juga dapat melihat detail kemampuan lengkap:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd
```
## Langkah 4: Verifikasi sumber daya kustom tersedia
Setelah kemampuan aktif, verifikasi bahwa sumber daya kustom Argo CD tersedia di cluster Anda:
```
kubectl api-resources | grep argoproj.io
```
Anda harus melihat `Application` dan jenis `ApplicationSet` sumber daya terdaftar.
## Langkah selanjutnya
+ [Bekerja dengan Argo CD](working-with-argocd.md)- Konfigurasikan repositori, daftarkan cluster, dan buat Aplikasi
+ [Pertimbangan Argo CD](argocd-considerations.md)- Arsitektur multi-cluster dan konfigurasi lanjutan
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan Argo CD Anda
# Buat kemampuan Argo CD menggunakan eksctl
Topik ini menjelaskan cara membuat kemampuan Argo CD menggunakan eksctl.
**catatan**
Langkah-langkah berikut memerlukan versi `0.220.0` eksctl atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`eksctl version`.
## Langkah 1: Buat Peran Kemampuan IAM
Buat file kebijakan kepercayaan:
```
cat > argocd-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
Buat peran IAM:
```
aws iam create-role \
--role-name ArgoCDCapabilityRole \
--assume-role-policy-document file://argocd-trust-policy.json
```
**catatan**
Untuk pengaturan dasar ini, tidak diperlukan kebijakan IAM tambahan. Jika Anda berencana menggunakan Secrets Manager untuk kredenal repositori atau CodeConnections, Anda harus menambahkan izin ke peran tersebut. Untuk contoh kebijakan IAM dan panduan konfigurasi, lihat [Kelola rahasia aplikasi dengan AWS Secrets Manager](integration-secrets-manager.md) dan[Connect ke repositori Git dengan AWS CodeConnections](integration-codeconnections.md).
## Langkah 2: Dapatkan konfigurasi Pusat AWS Identitas Anda
Dapatkan ARN dan ID pengguna instance Identity Center Anda untuk konfigurasi RBAC:
```
# Get your Identity Center instance ARN
aws sso-admin list-instances --query 'Instances[0].InstanceArn' --output text
# Get a user ID for admin access (replace 'your-username' with your Identity Center username)
aws identitystore list-users \
--identity-store-id $(aws sso-admin list-instances --query 'Instances[0].IdentityStoreId' --output text) \
--query 'Users[?UserName==`your-username`].UserId' --output text
```
Perhatikan nilai-nilai ini - Anda akan membutuhkannya di langkah berikutnya.
## Langkah 3: Buat file konfigurasi eksctl
Buat file dengan nama `argocd-capability.yaml` dengan konten berikut ini. Ganti nilai placeholder dengan nama cluster Anda, wilayah cluster, ARN peran IAM, ARN instance Identity Center, wilayah Pusat Identitas, dan ID pengguna:
```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
name: my-cluster
region: cluster-region-code
capabilities:
- name: my-argocd
type: ARGOCD
roleArn: arn:aws:iam::[.replaceable]111122223333:role/ArgoCDCapabilityRole
deletePropagationPolicy: RETAIN
configuration:
argocd:
awsIdc:
idcInstanceArn: arn:aws:sso:::instance/ssoins-123abc
idcRegion: idc-region-code
rbacRoleMappings:
- role: ADMIN
identities:
- id: 38414300-1041-708a-01af-5422d6091e34
type: SSO_USER
```
**catatan**
Anda dapat menambahkan beberapa pengguna atau grup ke pemetaan RBAC. Untuk grup, gunakan `type: SSO_GROUP` dan berikan ID grup. Peran yang tersedia adalah `ADMIN``EDITOR`,, dan`VIEWER`.
## Langkah 4: Buat kemampuan Argo CD
Terapkan file konfigurasi:
```
eksctl create capability -f argocd-capability.yaml
```
Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif.
## Langkah 5: Verifikasi kemampuan aktif
Periksa status kemampuan. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.
```
eksctl get capability \
--region region-code \
--cluster my-cluster \
--name my-argocd
```
Kemampuan siap ketika status ditampilkan`ACTIVE`.
## Langkah 6: Verifikasi sumber daya kustom tersedia
Setelah kemampuan aktif, verifikasi bahwa sumber daya kustom Argo CD tersedia di cluster Anda:
```
kubectl api-resources | grep argoproj.io
```
Anda harus melihat `Application` dan jenis `ApplicationSet` sumber daya terdaftar.
## Langkah selanjutnya
+ [Bekerja dengan Argo CD](working-with-argocd.md)- Pelajari cara membuat dan mengelola Aplikasi Argo CD
+ [Pertimbangan Argo CD](argocd-considerations.md)- Konfigurasikan akses SSO dan multi-cluster
+ [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan Argo CD Anda
# Konsep Argo CD
Argo CD mengimplementasikan GitOps dengan memperlakukan Git sebagai satu-satunya sumber kebenaran untuk penerapan aplikasi Anda. Topik ini berjalan melalui contoh praktis, kemudian menjelaskan konsep inti yang perlu Anda pahami ketika bekerja dengan Kemampuan EKS untuk Argo CD.
## Memulai dengan Argo CD
Setelah membuat kemampuan Argo CD (lihat[Membuat kemampuan Argo CD](create-argocd-capability.md)), Anda dapat mulai menerapkan aplikasi. Contoh ini berjalan melalui pendaftaran cluster dan membuat Aplikasi.
### Langkah 1: Mengatur
**Daftarkan cluster Anda** (wajib)
Daftarkan cluster tempat Anda ingin menyebarkan aplikasi. Untuk contoh ini, kami akan mendaftarkan cluster yang sama di mana Argo CD berjalan (Anda dapat menggunakan nama `in-cluster` untuk kompatibilitas dengan sebagian besar contoh Argo CD):
```
# Get your cluster ARN
CLUSTER_ARN=$(aws eks describe-cluster \
--name my-cluster \
--query 'cluster.arn' \
--output text)
# Register the cluster using Argo CD CLI
argocd cluster add $CLUSTER_ARN \
--aws-cluster-name $CLUSTER_ARN \
--name in-cluster \
--project default
```
**catatan**
Untuk informasi tentang mengonfigurasi CLI CD Argo agar berfungsi dengan kemampuan Argo CD di EKS, lihat. [Menggunakan Argo CD CLI dengan kemampuan terkelola](argocd-comparison.md#argocd-cli-configuration)
Atau, daftarkan klaster menggunakan Kubernetes Secret (lihat [Daftarkan cluster target](argocd-register-clusters.md) detailnya).
**Konfigurasikan akses repositori (opsional**)
Contoh ini menggunakan GitHub repositori publik, jadi tidak diperlukan konfigurasi repositori. Untuk repositori pribadi, konfigurasikan akses menggunakan AWS Secrets Manager, CodeConnections, atau Kubernetes Secrets (lihat detailnya). [Konfigurasikan akses repositori](argocd-configure-repositories.md)
Untuk AWS layanan (ECR untuk bagan Helm,, dan CodeCommit) CodeConnections, Anda dapat mereferensikannya secara langsung di sumber daya Aplikasi tanpa membuat Repositori. Peran Kemampuan harus memiliki izin IAM yang diperlukan. Lihat [Konfigurasikan akses repositori](argocd-configure-repositories.md) untuk detail.
### Langkah 2: Buat Aplikasi
Buat manifes Aplikasi ini di`my-app.yaml`:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: guestbook
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/argoproj/argocd-example-apps.git
targetRevision: HEAD
path: guestbook
destination:
name: in-cluster
namespace: guestbook
syncPolicy:
automated:
prune: true
selfHeal: true
syncOptions:
- CreateNamespace=true
```
Terapkan Aplikasi:
```
kubectl apply -f my-app.yaml
```
Setelah menerapkan Aplikasi ini, Argo CD: 1. Menyinkronkan aplikasi dari Git ke klaster Anda (penerapan awal) 2. Memonitor repositori Git untuk perubahan 3. Secara otomatis menyinkronkan perubahan berikutnya ke cluster 4 Anda. Mendeteksi dan mengoreksi penyimpangan apa pun dari keadaan yang diinginkan 5. Menyediakan status kesehatan dan riwayat sinkronisasi di UI
Lihat status aplikasi:
```
kubectl get application guestbook -n argocd
```
Anda juga dapat melihat aplikasi menggunakan Argo CD CLI atau Argo CD UI (dapat diakses dari konsol EKS di bawah tab Capabilities cluster Anda).
**catatan**
Saat menggunakan Argo CD CLI dengan kemampuan terkelola, tentukan aplikasi dengan awalan namespace:. `argocd app get argocd/guestbook`
**catatan**
Gunakan nama cluster di `destination.name` (nama yang Anda gunakan saat mendaftarkan cluster). Kemampuan terkelola tidak mendukung default lokal dalam cluster (`kubernetes.default.svc`).
## Konsep inti
### GitOps prinsip dan jenis sumber
Argo CD mengimplementasikan GitOps, di mana sumber aplikasi Anda adalah satu-satunya sumber kebenaran untuk penerapan:
+ **Deklaratif** - Status yang diinginkan dideklarasikan menggunakan manifes YAMAL, bagan Helm, atau overlay Kustomize
+ **Berversi** - Setiap perubahan dilacak dengan jejak audit lengkap
+ **Otomatis** - Argo CD terus memantau sumber dan secara otomatis menyinkronkan perubahan
+ **Penyembuhan diri** - Mendeteksi dan mengoreksi penyimpangan antara keadaan cluster yang diinginkan dan aktual
**Jenis sumber yang didukung**:
+ **Repositori** Git - GitHub, GitLab, Bitbucket, CodeCommit (HTTPS, SSH, atau) CodeConnections
+ Pendaftaran **Helm - pendaftar** HTTP (seperti`https://aws.github.io/eks-charts`) dan pendaftar OCI (seperti) `public.ecr.aws`
+ Gambar **OCI - Gambar** kontainer yang berisi manifes atau bagan Helm (seperti) `oci://registry-1.docker.io/user/my-app`
Fleksibilitas ini memungkinkan organisasi untuk memilih sumber yang memenuhi persyaratan keamanan dan kepatuhan mereka. Misalnya, organisasi yang membatasi akses Git dari cluster dapat menggunakan ECR untuk bagan Helm atau gambar OCI.
Untuk informasi selengkapnya, lihat [Sumber Aplikasi](https://argo-cd.readthedocs.io/en/stable/user-guide/application-sources/) dalam dokumentasi Argo CD.
### Sinkronisasi dan rekonsiliasi
Argo CD terus memantau sumber dan cluster Anda untuk mendeteksi dan memperbaiki perbedaan:
1. Sumber jajak pendapat untuk perubahan (default: setiap 6 menit)
1. Membandingkan status yang diinginkan dengan status cluster
1. Menandai aplikasi sebagai `Synced` atau `OutOfSync`
1. Menyinkronkan perubahan secara otomatis (jika dikonfigurasi) atau menunggu persetujuan manual
1. Memantau kesehatan sumber daya setelah sinkronisasi
**Gelombang sinkronisasi** mengontrol urutan pembuatan sumber daya menggunakan anotasi:
```
metadata:
annotations:
argocd.argoproj.io/sync-wave: "0" # Default if not specified
```
Sumber daya diterapkan dalam urutan gelombang (angka yang lebih rendah terlebih dahulu, termasuk angka negatif seperti`-1`). Gelombang `0` adalah default jika tidak ditentukan. Hal ini memungkinkan Anda untuk membuat dependensi seperti namespaces (wave`-1`) sebelum deployment (wave) sebelum services (wave`0`). `1`
**Penyembuhan diri** secara otomatis mengembalikan perubahan manual:
```
spec:
syncPolicy:
automated:
selfHeal: true
```
**catatan**
Kemampuan terkelola menggunakan pelacakan sumber daya berbasis anotasi (bukan berbasis label) untuk kompatibilitas yang lebih baik dengan konvensi Kubernetes dan alat lainnya.
Untuk informasi rinci tentang fase sinkronisasi, kait, dan pola lanjutan, lihat dokumentasi [sinkronisasi CD Argo](https://argo-cd.readthedocs.io/en/stable/user-guide/sync-waves/).
### Aplikasi kesehatan
Argo CD memantau kesehatan semua sumber daya dalam aplikasi Anda:
**Status Kesehatan**: \$1 **Sehat** - Semua sumber daya berjalan seperti yang diharapkan \$1 **Kemajuan** - Sumber daya sedang dibuat atau diperbarui \$1 **Terdegradasi - Beberapa sumber daya tidak sehat (pod mogok, pekerjaan gagal) \$1 **Ditangguhkan** - Aplikasi sengaja dijeda \$1 **Hilang** - Sumber daya yang didefinisikan dalam Git** tidak ada di klaster
Argo CD memiliki pemeriksaan kesehatan bawaan untuk sumber daya Kubernetes umum (Deployment,, Jobs StatefulSets, dll.) dan mendukung pemeriksaan kesehatan khusus untuk. CRDs
Kesehatan aplikasi ditentukan oleh semua sumber dayanya - jika ada sumber daya`Degraded`, aplikasinya`Degraded`.
Untuk informasi lebih lanjut, lihat [Resource Health](https://argo-cd.readthedocs.io/en/stable/operator-manual/health/) dalam dokumentasi Argo CD.
### Pola multi-cluster
Argo CD mendukung dua pola penyebaran utama:
**H ub-and-spoke** - Jalankan Argo CD pada cluster manajemen khusus yang menyebarkan ke beberapa cluster beban kerja: \$1 Kontrol dan visibilitas terpusat \$1 Kebijakan yang konsisten di semua cluster \$1 Satu instance CD Argo untuk dikelola \$1 Pemisahan yang jelas antara bidang kontrol dan beban kerja
**Per-cluster** - Jalankan Argo CD di setiap cluster, hanya mengelola aplikasi cluster itu: \$1 Pemisahan cluster (satu kegagalan tidak memengaruhi yang lain) \$1 Jaringan yang lebih sederhana (tidak ada komunikasi lintas cluster) \$1 Pengaturan awal yang lebih mudah (tanpa registrasi cluster)
Pilih hub-and-spoke tim platform yang mengelola banyak cluster, atau per-cluster untuk tim independen atau ketika cluster harus sepenuhnya terisolasi.
Untuk konfigurasi multi-cluster yang mendetail, lihat[Pertimbangan Argo CD](argocd-considerations.md).
### Proyek
Proyek menyediakan pengelompokan logis dan kontrol akses untuk Aplikasi:
+ **Pembatasan sumber** - Batasi repositori Git mana yang dapat digunakan
+ **Pembatasan tujuan** - Batasi cluster dan ruang nama mana yang dapat ditargetkan
+ **Pembatasan sumber daya** - Batasi tipe sumber daya Kubernetes mana yang dapat digunakan
+ **Integrasi RBAC** - Memetakan proyek ke pengguna dan AWS grup Pusat Identitas IDs
Aplikasi milik satu proyek. Jika tidak ditentukan, mereka menggunakan `default` proyek, yang tidak memiliki batasan secara default. Untuk penggunaan produksi, edit `default` proyek untuk membatasi akses dan membuat proyek baru dengan batasan yang sesuai.
Untuk konfigurasi proyek dan pola RBAC, lihat. [Konfigurasikan izin Argo CD](argocd-permissions.md)
### Opsi sinkronisasi
Sempurnakan perilaku sinkronisasi dengan opsi umum:
+ `CreateNamespace=true`- Secara otomatis membuat namespace tujuan
+ `ServerSideApply=true`- Gunakan aplikasi sisi server untuk resolusi konflik yang lebih baik
+ `SkipDryRunOnMissingResource=true`- Lewati dry run saat CRDs belum ada (berguna untuk instance kro)
```
spec:
syncPolicy:
syncOptions:
- CreateNamespace=true
- ServerSideApply=true
- SkipDryRunOnMissingResource=true
```
Untuk daftar lengkap opsi sinkronisasi, lihat [dokumentasi opsi sinkronisasi CD Argo](https://argo-cd.readthedocs.io/en/stable/user-guide/sync-options/).
## Langkah selanjutnya
+ [Konfigurasikan akses repositori](argocd-configure-repositories.md)- Konfigurasikan akses repositori Git
+ [Daftarkan cluster target](argocd-register-clusters.md)- Daftarkan cluster target untuk penyebaran
+ [Buat Aplikasi](argocd-create-application.md)- Buat Aplikasi pertama Anda
+ [Pertimbangan Argo CD](argocd-considerations.md)- Pola khusus EKS, integrasi Pusat Identitas, dan konfigurasi multi-cluster
+ [Dokumentasi CD Argo - Dokumentasi](https://argo-cd.readthedocs.io/en/stable/) CD Argo yang komprehensif termasuk kait sinkronisasi, pemeriksaan kesehatan, dan pola lanjutan
# Konfigurasikan izin Argo CD
Kemampuan terkelola Argo CD terintegrasi dengan AWS Identity Center untuk otentikasi dan menggunakan peran RBAC bawaan untuk otorisasi. Topik ini menjelaskan cara mengonfigurasi izin untuk pengguna dan tim.
## Cara kerja izin dengan Argo CD
Kemampuan Argo CD menggunakan AWS Identity Center untuk otentikasi dan menyediakan tiga peran RBAC bawaan untuk otorisasi.
Saat pengguna mengakses Argo CD:
1. Mereka mengautentikasi menggunakan Pusat AWS Identitas (yang dapat berfederasi ke penyedia identitas perusahaan Anda)
1. AWS Identity Center menyediakan informasi pengguna dan grup ke Argo CD
1. Argo CD memetakan pengguna dan grup ke peran RBAC berdasarkan konfigurasi Anda
1. Pengguna hanya melihat aplikasi dan sumber daya yang mereka miliki izin untuk diakses
## Peran RBAC bawaan
Kemampuan Argo CD menyediakan tiga peran bawaan yang Anda petakan ke pengguna dan grup Pusat AWS Identitas. Ini adalah **peran cakupan global** yang mengontrol akses ke sumber daya Argo CD seperti proyek, cluster, dan repositori.
**penting**
Peran global mengontrol akses ke Argo CD itu sendiri, bukan ke sumber daya cakupan proyek seperti Aplikasi. Pengguna EDITOR dan VIEWER tidak dapat melihat atau mengelola Aplikasi secara default—mereka memerlukan peran proyek untuk mengakses sumber daya cakupan proyek. Lihat [Peran proyek dan akses cakupan proyek](#project-roles) detail tentang pemberian akses ke Aplikasi dan sumber daya cakupan proyek lainnya.
**ADMIN**
Akses penuh ke semua sumber daya dan pengaturan Argo CD:
+ Buat, perbarui, dan hapus Aplikasi dan ApplicationSets dalam proyek apa pun
+ Kelola konfigurasi Argo CD
+ Mendaftarkan dan mengelola cluster target penyebaran
+ Konfigurasikan akses repositori
+ Membuat dan mengelola proyek
+ Lihat semua status dan riwayat aplikasi
+ Daftar dan akses semua cluster dan repositori
**PENYUNTING**
Dapat memperbarui proyek dan mengonfigurasi peran proyek, tetapi tidak dapat mengubah pengaturan CD Argo global:
+ Perbarui proyek yang ada (tidak dapat membuat atau menghapus proyek)
+ Konfigurasikan peran dan izin proyek
+ Lihat kunci dan sertifikat GPG
+ Tidak dapat mengubah konfigurasi CD Argo global
+ Tidak dapat mengelola cluster atau repositori secara langsung
+ Tidak dapat melihat atau mengelola Aplikasi tanpa peran proyek
**PENAMPIL**
Akses hanya-baca ke sumber daya Argo CD:
+ Lihat konfigurasi proyek
+ Buat daftar semua proyek (termasuk proyek yang tidak ditetapkan oleh pengguna)
+ Lihat kunci dan sertifikat GPG
+ Tidak dapat mencantumkan cluster atau repositori
+ Tidak dapat membuat perubahan apa pun
+ Tidak dapat melihat atau mengelola Aplikasi tanpa peran proyek
**catatan**
Untuk memberikan akses kepada pengguna EDITOR atau VIEWER ke Aplikasi, ADMIN atau EDITOR harus membuat peran proyek yang memetakan grup Pusat Identitas ke izin tertentu dalam proyek.
## Peran proyek dan akses cakupan proyek
Peran global (ADMIN, EDITOR, VIEWER) mengontrol akses ke Argo CD itu sendiri. Peran proyek mengontrol akses ke sumber daya dan kemampuan dalam proyek tertentu, termasuk:
+ **Sumber Daya**: Aplikasi, ApplicationSets, kredensi repositori, kredensi cluster
+ **Kemampuan**: Akses log, akses exec ke pod aplikasi
**Memahami model izin dua tingkat**:
+ **Cakupan global**: Peran bawaan menentukan apa yang dapat dilakukan pengguna dengan proyek, cluster, repositori, dan pengaturan Argo CD
+ **Ruang lingkup proyek**: Peran proyek menentukan apa yang dapat dilakukan pengguna dengan sumber daya dan kemampuan dalam proyek tertentu
Ini berarti:
+ Pengguna ADMIN dapat mengakses semua sumber daya dan kemampuan proyek tanpa konfigurasi tambahan
+ Pengguna EDITOR dan VIEWER harus diberikan peran proyek untuk mengakses sumber daya dan kemampuan proyek
+ Pengguna EDITOR dapat membuat peran proyek untuk memberikan akses kepada diri mereka sendiri dan orang lain dalam proyek yang dapat mereka perbarui
**Contoh alur kerja**:
1. ADMIN memetakan grup Pusat Identitas ke peran EDITOR secara global
1. Admin membuat proyek untuk tim
1. EDITOR mengonfigurasi peran proyek dalam proyek tersebut untuk memberikan anggota tim akses ke sumber daya cakupan proyek
1. Anggota tim (yang mungkin memiliki peran global VIEWER) sekarang dapat melihat dan mengelola Aplikasi dalam proyek tersebut berdasarkan izin peran proyek mereka
Untuk detail tentang mengonfigurasi peran proyek, lihat[Kontrol akses berbasis proyek](#_project_based_access_control).
## Konfigurasikan pemetaan peran
Peta pengguna dan grup Pusat AWS Identitas ke peran CD Argo saat membuat atau memperbarui kemampuan.
**Contoh pemetaan peran**:
```
{
"rbacRoleMapping": {
"ADMIN": ["AdminGroup", "alice@example.com"],
"EDITOR": ["DeveloperGroup", "DevOpsTeam"],
"VIEWER": ["ReadOnlyGroup", "bob@example.com"]
}
}
```
**catatan**
Nama peran peka huruf besar/kecil dan harus huruf besar (ADMIN, EDITOR, VIEWER).
**penting**
Integrasi Kemampuan EKS dengan AWS Identity Center mendukung hingga 1.000 identitas per kemampuan Argo CD. Identitas dapat berupa pengguna atau grup.
**Perbarui pemetaan peran**:
```
aws eks update-capability \
--region us-east-1 \
--cluster-name cluster \
--capability-name capname \
--endpoint "https://eks.ap-northeast-2.amazonaws.com" \
--role-arn "arn:aws:iam::[.replaceable]111122223333:role/[.replaceable]`EKSCapabilityRole`" \
--configuration '{
"argoCd": {
"rbacRoleMappings": {
"addOrUpdateRoleMappings": [
{
"role": "ADMIN",
"identities": [
{ "id": "686103e0-f051-7068-b225-e6392b959d9e", "type": "SSO_USER" }
]
}
]
}
}
}'
```
## Penggunaan akun admin
Akun admin dirancang untuk penyiapan awal dan tugas administratif seperti mendaftarkan cluster dan mengkonfigurasi repositori.
**Kapan akun admin sesuai**:
+ Pengaturan dan konfigurasi kemampuan awal
+ Pengembangan solo atau demonstrasi cepat
+ Tugas administratif (pendaftaran cluster, konfigurasi repositori, pembuatan proyek)
**Praktik terbaik untuk akun admin**:
+ Jangan komit token akun ke kontrol versi
+ Putar token segera jika terpapar
+ Batasi penggunaan token akun untuk pengaturan dan tugas administratif
+ Atur waktu kedaluwarsa pendek (maksimum 12 jam)
+ Hanya 5 token akun yang dapat dibuat pada waktu tertentu
**Kapan menggunakan akses berbasis proyek** sebagai gantinya:
+ Lingkungan pengembangan bersama dengan banyak pengguna
+ Lingkungan apa pun yang menyerupai produksi
+ Bila Anda membutuhkan jejak audit tentang siapa yang melakukan tindakan
+ Ketika Anda perlu menegakkan pembatasan sumber daya atau batas akses
Untuk lingkungan produksi dan skenario multi-pengguna, gunakan kontrol akses berbasis proyek dengan peran RBAC khusus yang dipetakan ke grup Pusat Identitas. AWS
## Kontrol akses berbasis proyek
Gunakan Argo CD Projects (AppProject) untuk menyediakan kontrol akses halus dan isolasi sumber daya untuk tim.
**penting**
Sebelum menetapkan pengguna atau grup ke peran khusus proyek, Anda harus terlebih dahulu memetakannya ke peran CD Argo global (ADMIN, EDITOR, atau VIEWER) dalam konfigurasi kemampuan. Pengguna tidak dapat mengakses Argo CD tanpa pemetaan peran global, meskipun mereka ditugaskan ke peran proyek.
Pertimbangkan untuk memetakan pengguna ke peran VIEWER secara global, lalu berikan izin tambahan melalui peran khusus proyek. Ini memberikan akses dasar sambil memungkinkan kontrol berbutir halus di tingkat proyek.
Proyek menyediakan:
+ **Pembatasan sumber**: Batasi repositori Git mana yang dapat digunakan
+ **Pembatasan tujuan**: Batasi cluster dan ruang nama mana yang dapat ditargetkan
+ **Pembatasan sumber daya**: Batasi tipe sumber daya Kubernetes mana yang dapat digunakan
+ **Integrasi RBAC**: Memetakan proyek ke grup Pusat AWS Identitas atau peran CD Argo
**Contoh proyek untuk isolasi tim**:
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a
namespace: argocd
spec:
description: Team A applications
# Required: Specify which namespaces this project watches for Applications
sourceNamespaces:
- argocd
# Source restrictions
sourceRepos:
- https://github.com/myorg/team-a-apps
# Destination restrictions
destinations:
- namespace: team-a-*
server: arn:aws:eks:us-west-2:111122223333:cluster/production
# Resource restrictions
clusterResourceWhitelist:
- group: ''
kind: Namespace
namespaceResourceWhitelist:
- group: 'apps'
kind: Deployment
- group: ''
kind: Service
- group: ''
kind: ConfigMap
```
### Ruang nama sumber
Saat menggunakan kemampuan CD EKS Argo, `spec.sourceNamespaces` bidang ini diperlukan dalam AppProject definisi. Bidang ini menentukan namespace mana yang dapat berisi Aplikasi atau referensi proyek ApplicationSets ini.
**penting**
Kemampuan EKS Argo CD hanya mendukung satu namespace untuk Aplikasi dan ApplicationSets —namespace yang Anda tentukan saat membuat kemampuan (biasanya). `argocd` Ini berbeda dari CD Argo open source yang mendukung beberapa ruang nama.
**AppProject konfigurasi**
Semua AppProjects harus menyertakan namespace yang dikonfigurasi kemampuan di: `sourceNamespaces`
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a-project
namespace: argocd
spec:
description: Applications for Team A
# Required: Specify the capability's configured namespace (configuration.argoCd.namespace)
sourceNamespaces:
- argocd # Must match your capability's namespace configuration
# Source repositories this project can deploy from
sourceRepos:
- 'https://github.com/my-org/team-a-*'
# Destination restrictions
destinations:
- namespace: 'team-a-*'
server: arn:aws:eks:us-west-2:111122223333:cluster/my-cluster
```
**catatan**
Jika Anda menghilangkan namespace kemampuan dari`sourceNamespaces`, Aplikasi atau ApplicationSets dalam namespace itu tidak dapat mereferensikan proyek ini, yang mengakibatkan kegagalan penerapan.
**Tetapkan pengguna ke proyek**:
Peran proyek memberi pengguna EDITOR dan VIEWER akses ke sumber daya proyek (Aplikasi, ApplicationSets, repositori, dan kredensi cluster) dan kemampuan (log, exec). Tanpa peran proyek, pengguna ini tidak dapat mengakses sumber daya ini bahkan jika mereka memiliki akses peran global.
Pengguna ADMIN memiliki akses ke semua Aplikasi tanpa memerlukan peran proyek.
**Contoh: Memberikan akses Aplikasi ke anggota tim**
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a
namespace: argocd
spec:
# ... project configuration ...
sourceNamespaces:
- argocd
# Project roles grant Application-level access
roles:
- name: developer
description: Team A developers - can manage Applications
policies:
- p, proj:team-a:developer, applications, *, team-a/*, allow
- p, proj:team-a:developer, clusters, get, *, allow # See cluster names in UI
groups:
- 686103e0-f051-7068-b225-e6392b959d9e # Identity Center group ID
- name: viewer
description: Team A viewers - read-only Application access
policies:
- p, proj:team-a:viewer, applications, get, team-a/*, allow
- p, proj:team-a:viewer, clusters, get, *, allow # See cluster names in UI
groups:
- 786203e0-f051-7068-b225-e6392b959d9f # Identity Center group ID
```
**catatan**
Sertakan `clusters, get, *, allow` dalam peran proyek untuk memungkinkan pengguna melihat nama cluster di UI. Tanpa izin ini, cluster tujuan ditampilkan sebagai “tidak diketahui”.
**Memahami kebijakan peran proyek**:
Format kebijakan adalah: `p, proj::, , ,