**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat node dengan Bottlerocket yang dioptimalkan AMIs
[Bottlerocket](https://aws.amazon.com/bottlerocket/) adalah distribusi Linux open source yang disponsori dan didukung oleh. AWS Bottlerocket dibuat khusus untuk menampung beban kerja kontainer. Dengan Bottlerocket, Anda dapat meningkatkan ketersediaan penerapan kontainer dan mengurangi biaya operasional dengan mengotomatiskan pembaruan infrastruktur kontainer Anda. Bottlerocket hanya mencakup perangkat lunak penting untuk menjalankan kontainer, yang meningkatkan penggunaan sumber daya, mengurangi ancaman keamanan, dan menurunkan overhead manajemen. Bottlerocket AMI `containerd` termasuk,`kubelet`, dan IAM Authenticator. AWS [Selain grup node terkelola dan node yang dikelola sendiri, Bottlerocket juga didukung oleh Karpenter.](https://karpenter.sh/)
## Keuntungan
Menggunakan Bottlerocket dengan cluster Amazon EKS Anda memiliki keuntungan sebagai berikut:
+ **Uptime yang lebih tinggi dengan biaya operasional yang lebih rendah dan kompleksitas manajemen** yang lebih rendah — Bottlerocket memiliki jejak sumber daya yang lebih kecil, waktu boot yang lebih pendek, dan kurang rentan terhadap ancaman keamanan daripada distribusi Linux lainnya. Jejak Bottlerocket yang lebih kecil membantu mengurangi biaya dengan menggunakan lebih sedikit sumber daya penyimpanan, komputasi, dan jaringan.
+ **Peningkatan keamanan dari pembaruan OS otomatis** - Pembaruan untuk Bottlerocket diterapkan sebagai satu unit yang dapat diputar kembali, jika perlu. Ini menghilangkan risiko pembaruan yang rusak atau gagal yang dapat membuat sistem dalam keadaan tidak dapat digunakan. Dengan Bottlerocket, pembaruan keamanan dapat diterapkan secara otomatis segera setelah tersedia dengan cara yang minimal mengganggu dan dibatalkan jika terjadi kegagalan.
+ **Dukungan premium** - AWS disediakan build Bottlerocket di EC2 Amazon tercakup dalam paket AWS Support yang sama yang juga mencakup AWS layanan seperti Amazon, Amazon EKS EC2, dan Amazon ECR.
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat menggunakan Bottlerocket untuk tipe AMI Anda:
+ Bottlerocket mendukung instans EC2 `x86_64` Amazon dengan dan prosesor. `arm64`
+ Bottlerocket mendukung instans Amazon dengan EC2 . GPUs Untuk informasi selengkapnya, lihat [Gunakan akselerasi yang dioptimalkan EKS AMIs untuk instans GPU](ml-eks-optimized-ami.md).
+ Gambar bottlerocket tidak menyertakan server SSH atau shell. Anda dapat menggunakan metode out-of-band akses untuk memungkinkan SSH. Pendekatan ini memungkinkan penampung admin dan meneruskan beberapa langkah konfigurasi bootstrap dengan data pengguna. Untuk informasi lebih lanjut, lihat bagian berikut di [Bottlerocket](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md) OS di: GitHub
+ [Eksplorasi](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#exploration)
+ [Kontainer admin](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container)
+ [Pengaturan Kubernetes](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#kubernetes-settings)
+ Bottlerocket menggunakan berbagai jenis wadah:
+ Secara default, [wadah kontrol](https://github.com/bottlerocket-os/bottlerocket-control-container) diaktifkan. Container ini menjalankan [agen AWS Systems Manager](https://github.com/aws/amazon-ssm-agent) yang dapat Anda gunakan untuk menjalankan perintah atau memulai sesi shell di instance Amazon EC2 Bottlerocket. Untuk informasi selengkapnya, lihat [Menyiapkan Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html) di *Panduan Pengguna AWS Systems Manager*.
+ Jika kunci SSH diberikan saat membuat grup node, wadah admin diaktifkan. Sebaiknya gunakan wadah admin hanya untuk skenario pengembangan dan pengujian. Kami tidak menyarankan menggunakannya untuk lingkungan produksi. Untuk informasi selengkapnya, lihat [Kontainer admin](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container) di GitHub.
## Informasi selengkapnya
Untuk informasi selengkapnya tentang penggunaan Bottlerocket yang dioptimalkan Amazon EKS AMIs, lihat bagian berikut:
+ [Untuk detail tentang Bottlerocket, lihat Dokumentasi Bottlerocket.](https://bottlerocket.dev/en/)
+ Untuk sumber informasi versi, lihat[Ambil informasi versi AMI Bottlerocket](eks-ami-versions-bottlerocket.md).
+ Untuk menggunakan Bottlerocket dengan grup node terkelola, lihat. [Sederhanakan siklus hidup node dengan grup node terkelola](managed-node-groups.md)
+ Untuk meluncurkan node Bottlerocket yang dikelola sendiri, lihat. [Buat node Bottlerocket yang dikelola sendiri](launch-node-bottlerocket.md)
+ Untuk mengambil AMIs Bottlerocket Amazon EKS terbaru IDs yang dioptimalkan, lihat. [Ambil Bottlerocket AMI yang direkomendasikan IDs](retrieve-ami-id-bottlerocket.md)
+ Untuk detail tentang dukungan kepatuhan, lihat[Memenuhi persyaratan kepatuhan dengan Bottlerocket](bottlerocket-compliance-support.md).
# Ambil informasi versi AMI Bottlerocket
[Setiap rilis AMI Bottlerocket mencakup berbagai versi kubelet, kernel [Bottlerocket](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/), dan containerd.](https://containerd.io/) Varian AMI yang dipercepat juga mencakup berbagai versi driver NVIDIA. Anda dapat menemukan informasi versi ini di topik [OS Dokumentasi](https://bottlerocket.dev/en/os/) *Bottlerocket*. Dari halaman ini, navigasikan ke sub-topik *Informasi Versi* yang berlaku.
*Dokumentasi Bottlerocket* terkadang tertinggal dari versi yang tersedia di. GitHub Anda dapat menemukan daftar perubahan untuk versi terbaru dalam [rilis](https://github.com/bottlerocket-os/bottlerocket/releases) di GitHub.
# Ambil Bottlerocket AMI yang direkomendasikan IDs
Saat menerapkan node, Anda dapat menentukan ID untuk Amazon Machine Image (AMI) yang dioptimalkan Amazon EKS yang telah dibuat sebelumnya. Untuk mengambil ID AMI yang sesuai dengan konfigurasi yang Anda inginkan, kueri AWS Systems Manager Parameter Store API. Menggunakan API ini menghilangkan kebutuhan untuk secara manual mencari AMI Amazon EKS yang dioptimalkan IDs. Untuk informasi selengkapnya, lihat [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html). [Prinsip IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang Anda gunakan harus memiliki izin `ssm:GetParameter` IAM untuk mengambil metadata AMI Amazon EKS yang dioptimalkan.
Anda dapat mengambil ID gambar dari AMI Bottlerocket Amazon EKS terbaru yang dioptimalkan dengan perintah AWS CLI berikut, yang menggunakan sub-parameter. `image_id` Buat modifikasi berikut pada perintah sesuai kebutuhan dan kemudian jalankan perintah yang dimodifikasi:
+ Ganti *kubernetes-version* dengan versi [platform](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html) yang didukung.
+ Ganti *-flavor* dengan salah satu opsi berikut.
+ Hapus *-flavor* untuk varian tanpa GPU.
+ Gunakan *-nvidia* untuk varian berkemampuan GPU.
+ Gunakan *-fips* untuk varian yang mendukung FIPS.
+ Ganti *architecture* dengan salah satu opsi berikut.
+ Gunakan *x86\$164* untuk instance `x86` berbasis.
+ Gunakan *arm64* untuk instance ARM.
+ Ganti *region-code* dengan [AWS Wilayah yang didukung Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) yang Anda inginkan ID AMI.
```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-kubernetes-version-flavor/architecture/latest/image_id \
--region region-code --query "Parameter.Value" --output text
```
Berikut adalah contoh perintah setelah penggantian placeholder dibuat.
```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-1.31/x86_64/latest/image_id \
--region us-west-2 --query "Parameter.Value" --output text
```
Contoh output adalah sebagai berikut.
```
ami-1234567890abcdef0
```
# Memenuhi persyaratan kepatuhan dengan Bottlerocket
Bottlerocket mematuhi rekomendasi yang ditentukan oleh berbagai organisasi:
+ Ada [Tolok Ukur CIS](https://www.cisecurity.org/benchmark/bottlerocket) yang didefinisikan untuk Bottlerocket. Dalam konfigurasi default, gambar Bottlerocket memiliki sebagian besar kontrol yang diperlukan oleh profil konfigurasi CIS Level 1. Anda dapat menerapkan kontrol yang diperlukan untuk profil konfigurasi CIS Level 2. Untuk informasi lebih lanjut, lihat [Memvalidasi Amazon EKS Bottlerocket AMI yang dioptimalkan terhadap Tolok Ukur CIS di blog](https://aws.amazon.com/blogs/containers/validating-amazon-eks-optimized-bottlerocket-ami-against-the-cis-benchmark). AWS
+ Set fitur yang dioptimalkan dan permukaan serangan yang dikurangi berarti bahwa instance Bottlerocket memerlukan lebih sedikit konfigurasi untuk memenuhi persyaratan PCI DSS. [Tolok Ukur CIS untuk Bottlerocket](https://www.cisecurity.org/benchmark/bottlerocket) adalah sumber yang sangat baik untuk panduan pengerasan, dan mendukung persyaratan Anda untuk standar konfigurasi yang aman di bawah persyaratan PCI DSS 2.2. Anda juga dapat memanfaatkan [Fluent Bit](https://opensearch.org/blog/technical-post/2022/07/bottlerocket-k8s-fluent-bit/) untuk mendukung persyaratan Anda untuk pencatatan audit tingkat sistem operasi berdasarkan persyaratan PCI DSS 10.2. AWS menerbitkan instans Bottlerocket baru (ditambal) secara berkala untuk membantu Anda memenuhi persyaratan PCI DSS 6.2 (untuk v3.2.1) dan persyaratan 6.3.3 (untuk v4.0).
+ Bottlerocket adalah fitur yang memenuhi syarat HIPAA yang diizinkan untuk digunakan dengan beban kerja yang diatur untuk Amazon dan Amazon EKS. EC2 Untuk informasi selengkapnya, lihat [Referensi Layanan yang Memenuhi Syarat HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/).
+ Bottlerocket tersedia yang AMIs telah dikonfigurasi sebelumnya untuk menggunakan modul kriptografi tervalidasi FIPS 140-3. Ini termasuk Modul Kriptografi Amazon Linux 2023 Kernel Crypto API dan Modul Kriptografi AWS-LC. Lihat informasi yang lebih lengkap di [Buat FIPS node pekerja Anda siap dengan Bottlerocket FIPS AMIs](bottlerocket-fips-amis.md).
# Buat FIPS node pekerja Anda siap dengan Bottlerocket FIPS AMIs
Federal Information Processing Standard (FIPS) Publikasi 140-3 adalah standar pemerintah Amerika Serikat dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Bottlerocket membuatnya lebih mudah untuk mematuhi FIPS dengan menawarkan AMIs dengan kernel FIPS.
Ini telah AMIs dikonfigurasi sebelumnya untuk menggunakan modul kriptografi tervalidasi FIPS 140-3. Ini termasuk Modul Kriptografi Amazon Linux 2023 Kernel Crypto API dan Modul Kriptografi AWS-LC.
Menggunakan Bottlerocket FIPS AMIs membuat node pekerja Anda “FIPS siap” tetapi tidak secara otomatis “FIPS-compliant”. Untuk informasi lebih lanjut, lihat [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
## Pertimbangan-pertimbangan
+ Jika klaster Anda menggunakan subnet terisolasi, titik akhir Amazon ECR FIPS mungkin tidak dapat diakses. Hal ini dapat menyebabkan node bootstrap gagal. Pastikan konfigurasi jaringan Anda memungkinkan akses ke titik akhir FIPS yang diperlukan. *Untuk informasi selengkapnya, lihat [Mengakses sumber daya melalui titik akhir VPC sumber daya di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html). AWS PrivateLink *
+ Jika klaster Anda menggunakan subnet dengan [PrivateLink](vpc-interface-endpoints.md), penarikan gambar akan gagal karena titik akhir Amazon ECR FIPS tidak tersedia. PrivateLink
## Buat grup node terkelola dengan AMI FIPS Bottlerocket
Bottlerocket FIPS AMI hadir dalam empat varian untuk mendukung beban kerja Anda:
+ `BOTTLEROCKET_x86_64_FIPS`
+ `BOTTLEROCKET_ARM_64_FIPS`
+ `BOTTLEROCKET_x86_64_NVIDIA_FIPS`
+ `BOTTLEROCKET_ARM_64_NVIDIA_FIPS`
Untuk membuat grup node terkelola dengan AMI FIPS Bottlerocket, pilih tipe AMI yang berlaku selama proses pembuatan. Untuk informasi selengkapnya, lihat [Buat grup node terkelola untuk klaster Anda](create-managed-node-group.md).
Untuk informasi selengkapnya tentang memilih varian berkemampuan FIPS, lihat. [Ambil Bottlerocket AMI yang direkomendasikan IDs](retrieve-ami-id-bottlerocket.md)
## Nonaktifkan titik akhir FIPS untuk Wilayah yang tidak didukung AWS
Bottlerocket FIPS AMIs didukung langsung di Amerika Serikat, termasuk Wilayah (AS). AWS GovCloud Untuk AWS Wilayah di mana AMIs tersedia tetapi tidak didukung secara langsung, Anda masih dapat menggunakan AMIs dengan membuat grup node terkelola dengan templat peluncuran.
Bottlerocket FIPS AMI bergantung pada titik akhir Amazon ECR FIPS selama bootstrap, yang umumnya tidak tersedia di luar Amerika Serikat. Untuk menggunakan AMI untuk kernel FIPS di AWS Wilayah yang tidak memiliki titik akhir Amazon ECR FIPS, lakukan langkah-langkah berikut untuk menonaktifkan titik akhir FIPS:
1. Buat file konfigurasi baru dengan konten berikut atau gabungkan konten ke dalam file konfigurasi yang ada.
```
[default]
use_fips_endpoint=false
```
1. Encode konten file sebagai format Base64.
1. Di template peluncuran Anda`UserData`, tambahkan string yang dikodekan berikut menggunakan format TOLL:
```
[settings.aws]
config = ""
```
Untuk pengaturan lainnya, lihat [Deskripsi](https://github.com/bottlerocket-os/bottlerocket?tab=readme-ov-file#description-of-settings) pengaturan Bottlerocket aktif. GitHub
Berikut adalah contoh `UserData` dalam template peluncuran:
```
[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = ""
cluster-certificate = ""
cluster-name = ""
...
```
Untuk informasi selengkapnya tentang membuat template peluncuran dengan data pengguna, lihat[Sesuaikan node terkelola dengan templat peluncuran](launch-templates.md).