**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pengaturan prasyarat untuk node hybrid
<a name="hybrid-nodes-prereqs"></a>

Untuk menggunakan Amazon EKS Hybrid Nodes, Anda harus memiliki konektivitas pribadi dari lingkungan lokal ke/dari AWS, server bare metal atau mesin virtual dengan sistem operasi yang didukung, dan aktivasi hybrid AWS IAM Roles Anywhere atau AWS Systems Manager (SSM) yang dikonfigurasi. Anda bertanggung jawab untuk mengelola prasyarat ini di seluruh siklus hidup node hybrid.
+ Konektivitas jaringan hybrid dari lingkungan lokal Anda ke/dari AWS 
+ Infrastruktur dalam bentuk mesin fisik atau virtual
+ Sistem operasi yang kompatibel dengan node hybrid
+ Penyedia kredensi IAM lokal dikonfigurasi

![\[Konektivitas jaringan node hibrida.\]](http://docs.aws.amazon.com/id_id/eks/latest/userguide/images/hybrid-prereq-diagram.png)


## Konektivitas jaringan hybrid
<a name="hybrid-nodes-prereqs-connect"></a>

Komunikasi antara bidang kontrol Amazon EKS dan node hybrid dirutekan melalui VPC dan subnet yang Anda lewati selama pembuatan cluster, yang dibangun di atas [mekanisme yang ada](https://aws.github.io/aws-eks-best-practices/networking/subnets/) di Amazon EKS untuk bidang kontrol ke jaringan node. Ada beberapa [opsi terdokumentasi](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) yang tersedia bagi Anda untuk menghubungkan lingkungan lokal Anda dengan VPC Anda AWS Site-to-Site termasuk VPN, AWS Direct Connect, atau koneksi VPN Anda sendiri. Referensikan panduan pengguna [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) dan [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) untuk informasi lebih lanjut tentang cara menggunakan solusi tersebut untuk koneksi jaringan hybrid Anda.

Untuk pengalaman yang optimal, kami menyarankan Anda memiliki konektivitas jaringan yang andal minimal 100 Mbps dan latensi pulang-pergi maksimum 200 ms untuk koneksi node hibrida ke Wilayah. AWS Ini adalah panduan umum yang mengakomodasi sebagian besar kasus penggunaan tetapi bukan persyaratan yang ketat. Persyaratan bandwidth dan latensi dapat bervariasi tergantung pada jumlah node hibrida dan karakteristik beban kerja Anda, seperti ukuran gambar aplikasi, elastisitas aplikasi, konfigurasi pemantauan dan logging, dan dependensi aplikasi untuk mengakses data yang disimpan di layanan lain. AWS Kami menyarankan Anda menguji dengan aplikasi dan lingkungan Anda sendiri sebelum menerapkan ke produksi untuk memvalidasi bahwa pengaturan jaringan Anda memenuhi persyaratan untuk beban kerja Anda.

## Konfigurasi jaringan lokal
<a name="hybrid-nodes-prereqs-onprem"></a>

Anda harus mengaktifkan akses jaringan masuk dari bidang kontrol Amazon EKS ke lingkungan lokal agar bidang kontrol Amazon EKS dapat berkomunikasi dengan node hibrid yang `kubelet` berjalan dan secara opsional dengan webhook yang berjalan di node hybrid Anda. Selain itu, Anda harus mengaktifkan akses jaringan keluar untuk node hybrid dan komponen yang berjalan di dalamnya untuk berkomunikasi dengan bidang kontrol Amazon EKS. Anda dapat mengonfigurasi komunikasi ini agar tetap sepenuhnya pribadi dengan AWS Direct Connect, AWS Site-to-Site VPN, atau koneksi VPN Anda sendiri.

Rentang Classless Inter-Domain Routing (CIDR) yang Anda gunakan untuk node lokal dan jaringan pod harus menggunakan IPv4 rentang alamat RFC-1918 atau CGNAT. Router lokal Anda harus dikonfigurasi dengan rute ke node lokal dan pod opsional. Lihat [Konfigurasi jaringan lokal](hybrid-nodes-networking.md#hybrid-nodes-networking-on-prem) untuk informasi selengkapnya tentang persyaratan jaringan lokal, termasuk daftar lengkap port dan protokol yang diperlukan yang harus diaktifkan di firewall dan lingkungan lokal.

## Konfigurasi kluster EKS
<a name="hybrid-nodes-prereqs-cluster"></a>

Untuk meminimalkan latensi, sebaiknya Anda membuat klaster Amazon EKS di AWS Wilayah yang paling dekat dengan lingkungan lokal atau edge Anda. Anda meneruskan node dan pod lokal CIDRs selama pembuatan klaster Amazon EKS melalui dua bidang API: `RemoteNodeNetwork` dan`RemotePodNetwork`. Anda mungkin perlu berdiskusi dengan tim jaringan lokal untuk mengidentifikasi node dan pod lokal. CIDRs Node CIDR dialokasikan dari jaringan lokal Anda dan pod CIDR dialokasikan dari Container Network Interface (CNI) yang Anda gunakan jika Anda menggunakan jaringan overlay untuk CNI Anda. Cilium dan Calico menggunakan jaringan overlay secara default.

Node dan pod lokal yang CIDRs Anda konfigurasikan melalui `RemotePodNetwork` bidang `RemoteNodeNetwork` dan digunakan untuk mengonfigurasi bidang kontrol Amazon EKS untuk merutekan lalu lintas melalui VPC Anda ke dan pod `kubelet` yang berjalan pada node hibrid Anda. Node dan pod lokal Anda CIDRs tidak dapat saling tumpang tindih, CIDR VPC yang Anda lewati selama pembuatan klaster, atau konfigurasi layanan IPv4 untuk klaster Amazon EKS Anda. Selain itu, Pod CIDRs harus unik untuk setiap kluster EKS sehingga router lokal Anda dapat merutekan lalu lintas.

Kami menyarankan Anda menggunakan akses endpoint publik atau pribadi untuk endpoint server API Amazon EKS Kubernetes. Jika Anda memilih “Publik dan Pribadi”, endpoint server API Amazon EKS Kubernetes akan selalu menyelesaikan ke publik IPs untuk node hybrid yang berjalan di luar VPC Anda, yang dapat mencegah node hybrid Anda bergabung dengan cluster. Saat Anda menggunakan akses titik akhir publik, titik akhir server API Kubernetes diselesaikan ke publik IPs dan komunikasi dari node hibrida ke bidang kontrol Amazon EKS akan dirutekan melalui internet. Ketika Anda memilih akses endpoint pribadi, titik akhir server Kubernetes API diselesaikan menjadi pribadi IPs dan komunikasi dari node hibrida ke bidang kontrol Amazon EKS akan dirutekan melalui tautan konektivitas pribadi Anda, dalam banyak kasus Direct Connect atau VPN. AWS AWS Site-to-Site 

## Konfigurasi VPC
<a name="hybrid-nodes-prereqs-vpc"></a>

Anda harus mengonfigurasi VPC yang Anda lewati selama pembuatan klaster Amazon EKS dengan rute dalam tabel peruteannya untuk node lokal dan jaringan pod opsional dengan gateway pribadi virtual (VGW) atau gateway transit (TGW) sebagai target. Contoh ditunjukkan di bawah ini. Ganti `REMOTE_NODE_CIDR` dan `REMOTE_POD_CIDR` dengan nilai untuk jaringan lokal Anda.


| Destinasi | Target | Deskripsi | 
| --- | --- | --- | 
|  10.226.0.0/16  |  lokal  |  Lalu lintas lokal ke rute VPC dalam VPC  | 
|  REMOTE\$1NODE\$1CIDR  |  tgw-abcdef123456  |  Node CIDR on-prem, rute lalu lintas ke TGW  | 
|  REMODE\$1POD\$1CIDR  |  tgw-abcdef123456  |  Pod CIDR on-prem, rute lalu lintas ke TGW  | 

## Konfigurasi grup keamanan
<a name="hybrid-nodes-prereqs-sg"></a>

Saat Anda membuat klaster, Amazon EKS membuat grup keamanan yang diberi nama`eks-cluster-sg-<cluster-name>-<uniqueID>`. Anda tidak dapat mengubah aturan masuk Grup Keamanan Cluster ini tetapi Anda dapat membatasi aturan keluar. Anda harus menambahkan grup keamanan tambahan ke klaster Anda untuk mengaktifkan kubelet dan webhook opsional yang berjalan pada node hybrid Anda untuk menghubungi control plane Amazon EKS. Aturan masuk yang diperlukan untuk grup keamanan tambahan ini ditunjukkan di bawah ini. Ganti `REMOTE_NODE_CIDR` dan `REMOTE_POD_CIDR` dengan nilai untuk jaringan lokal Anda.


| Nama | ID aturan grup keamanan | Versi IP | Tipe | Protokol | Rentang port | Sumber | 
| --- | --- | --- | --- | --- | --- | --- | 
|  Node on-prem masuk  |  sgr-abcdef123456  |  IPv4  |  HTTPS  |  TCP  |  443  |  REMOTE\$1NODE\$1CIDR  | 
|  Pod masuk di prem  |  sgr-abcdef654321  |  IPv4  |  HTTPS  |  TCP  |  443  |  REMOTE\$1POD\$1CIDR  | 

## Infrastruktur
<a name="hybrid-nodes-prereqs-infra"></a>

Anda harus memiliki server bare metal atau mesin virtual yang tersedia untuk digunakan sebagai node hybrid. Node hybrid bersifat agnostik terhadap infrastruktur yang mendasarinya dan mendukung arsitektur x86 dan ARM. Amazon EKS Hybrid Nodes mengikuti pendekatan “bawa infrastruktur Anda sendiri”, di mana Anda bertanggung jawab untuk menyediakan dan mengelola server bare metal atau mesin virtual yang Anda gunakan untuk node hybrid. Meskipun tidak ada persyaratan sumber daya minimum yang ketat, kami menyarankan Anda menggunakan host dengan setidaknya 1 vCPU dan 1GiB RAM untuk node hybrid.

## Sistem operasi
<a name="hybrid-nodes-prereqs-os"></a>

Bottlerocket, Amazon Linux 2023 AL2023 (), Ubuntu, dan RHEL divalidasi secara berkelanjutan untuk digunakan sebagai sistem operasi node untuk node hybrid. Bottlerocket didukung oleh di lingkungan AWS VMware vSphere saja. AL2023 tidak tercakup oleh AWS Support Plans saat dijalankan di luar Amazon EC2. AL2023 hanya dapat digunakan di lingkungan virtual lokal, lihat [Panduan Pengguna Amazon Linux 2023](https://docs.aws.amazon.com/linux/al2023/ug/outside-ec2.html) untuk informasi selengkapnya. AWS mendukung integrasi node hybrid dengan sistem operasi Ubuntu dan RHEL tetapi tidak memberikan dukungan untuk sistem operasi itu sendiri.

Anda bertanggung jawab atas penyediaan dan manajemen sistem operasi. Saat Anda menguji node hybrid untuk pertama kalinya, paling mudah menjalankan Amazon EKS Hybrid Nodes CLI (`nodeadm`) pada host yang sudah disediakan. Untuk penerapan produksi, kami menyarankan Anda menyertakan `nodeadm` gambar sistem operasi emas Anda yang dikonfigurasikan untuk dijalankan sebagai layanan systemd untuk secara otomatis bergabung dengan host ke kluster Amazon EKS saat startup host.

## Penyedia kredensi IAM lokal
<a name="hybrid-nodes-prereqs-iam"></a>

Amazon EKS Hybrid Nodes menggunakan kredenal IAM sementara yang disediakan oleh aktivasi hybrid AWS SSM atau AWS Peran IAM Anywhere untuk mengautentikasi dengan kluster Amazon EKS. Anda harus menggunakan aktivasi hibrida AWS SSM atau Peran AWS IAM Di Mana Saja dengan Amazon EKS Hybrid Nodes CLI (). `nodeadm` Kami menyarankan Anda menggunakan aktivasi hibrida AWS SSM jika Anda tidak memiliki Infrastruktur Kunci Publik (PKI) dengan Otoritas Sertifikat (CA) dan sertifikat untuk lingkungan lokal Anda. Jika Anda memiliki PKI dan sertifikat lokal, gunakan Peran AWS IAM Di Mana Saja.

Mirip dengan node [IAM role simpul Amazon EKS](create-node-role.md) untuk yang berjalan di Amazon EC2, Anda akan membuat Peran IAM Node Hybrid dengan izin yang diperlukan untuk menggabungkan node hybrid ke kluster Amazon EKS. Jika Anda menggunakan Peran AWS IAM Di Mana Saja, konfigurasikan kebijakan kepercayaan yang memungkinkan AWS IAM Roles Anywhere untuk mengambil Peran IAM Node Hybrid dan mengonfigurasi profil IAM Roles Anywhere Anda dengan Peran AWS IAM Node Hybrid sebagai peran yang dapat diasumsikan. Jika Anda menggunakan AWS SSM, konfigurasikan kebijakan kepercayaan yang memungkinkan AWS SSM untuk mengasumsikan Peran IAM Node Hybrid dan buat aktivasi hibrida dengan Peran IAM Node Hybrid. Lihat [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md) cara membuat Peran IAM Node Hybrid dengan izin yang diperlukan.

# Mempersiapkan jaringan untuk node hybrid
<a name="hybrid-nodes-networking"></a>

Topik ini memberikan gambaran umum tentang pengaturan jaringan yang harus Anda konfigurasikan sebelum membuat kluster Amazon EKS dan melampirkan node hybrid. Panduan ini mengasumsikan Anda telah memenuhi persyaratan prasyarat untuk konektivitas jaringan hybrid menggunakan VPN [AWS Site-to-Site , Direct [AWS Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html),](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html) atau solusi VPN Anda sendiri.

![\[Konektivitas jaringan node hibrida.\]](http://docs.aws.amazon.com/id_id/eks/latest/userguide/images/hybrid-prereq-diagram.png)


## Konfigurasi jaringan lokal
<a name="hybrid-nodes-networking-on-prem"></a>

### Persyaratan jaringan minimum
<a name="hybrid-nodes-networking-min-reqs"></a>

Untuk pengalaman yang optimal, kami menyarankan Anda memiliki konektivitas jaringan yang andal minimal 100 Mbps dan latensi pulang-pergi maksimum 200 ms untuk koneksi node hibrida ke Wilayah. AWS Ini adalah panduan umum yang mengakomodasi sebagian besar kasus penggunaan tetapi bukan persyaratan yang ketat. Persyaratan bandwidth dan latensi dapat bervariasi tergantung pada jumlah node hibrida dan karakteristik beban kerja Anda, seperti ukuran gambar aplikasi, elastisitas aplikasi, konfigurasi pemantauan dan logging, dan dependensi aplikasi untuk mengakses data yang disimpan di layanan lain. AWS Kami menyarankan Anda menguji dengan aplikasi dan lingkungan Anda sendiri sebelum menerapkan ke produksi untuk memvalidasi bahwa pengaturan jaringan Anda memenuhi persyaratan untuk beban kerja Anda.

### Node dan pod lokal CIDRs
<a name="hybrid-nodes-networking-on-prem-cidrs"></a>

Identifikasi node dan pod yang akan CIDRs Anda gunakan untuk node hybrid Anda dan beban kerja yang berjalan di dalamnya. Node CIDR dialokasikan dari jaringan lokal Anda dan pod CIDR dialokasikan dari Container Network Interface (CNI) jika Anda menggunakan jaringan overlay untuk CNI Anda. Anda meneruskan node CIDRs dan pod lokal CIDRs sebagai input saat membuat kluster EKS dengan bidang `RemoteNodeNetwork` dan`RemotePodNetwork`. Node lokal Anda CIDRs harus dapat dirutekan di jaringan lokal Anda. Lihat bagian berikut untuk informasi tentang routabilitas CIDR pod lokal.

Blok CIDR node dan pod lokal harus memenuhi persyaratan berikut:

1. Berada dalam salah satu rentang `IPv4` RFC-1918 berikut:`10.0.0.0/8`,, atau `172.16.0.0/12``192.168.0.0/16`, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598:. `100.64.0.0/10`

1. Tidak saling tumpang tindih, CIDR VPC untuk kluster EKS Anda, atau CIDR layanan Kubernetes Anda. `IPv4`

### Perutean jaringan pod lokal
<a name="hybrid-nodes-networking-on-prem-pod-routing"></a>

Saat menggunakan EKS Hybrid Nodes, kami biasanya menyarankan agar Pod lokal CIDRs dapat dirutekan di jaringan lokal untuk mengaktifkan komunikasi dan fungsionalitas klaster lengkap antara lingkungan cloud dan lokal.

 **Jaringan pod yang dapat dirutekan** 

Jika Anda dapat membuat jaringan pod dapat dirutekan di jaringan lokal, ikuti panduan di bawah ini.

1. Konfigurasikan `RemotePodNetwork` bidang untuk klaster EKS Anda dengan CIDR pod lokal, tabel rute VPC Anda dengan CIDR pod lokal, dan grup keamanan klaster EKS Anda dengan CIDR pod lokal Anda.

1. Ada beberapa teknik yang dapat Anda gunakan untuk membuat pod lokal CIDR dapat dirutekan di jaringan lokal Anda termasuk Border Gateway Protocol (BGP), rute statis, atau solusi perutean kustom lainnya. BGP adalah solusi yang direkomendasikan karena lebih skalabel dan lebih mudah dikelola daripada solusi alternatif yang memerlukan konfigurasi rute khusus atau manual. AWS mendukung kemampuan BGP Cilium dan Calico untuk pod iklan CIDRs, lihat [Konfigurasikan CNI untuk node hybrid](hybrid-nodes-cni.md) dan untuk informasi lebih lanjut. [Pod jarak jauh yang dapat dirutekan CIDRs](hybrid-nodes-concepts-kubernetes.md#hybrid-nodes-concepts-k8s-pod-cidrs)

1. Webhook dapat berjalan pada node hybrid karena bidang kontrol EKS dapat berkomunikasi dengan alamat IP Pod yang ditetapkan ke webhooks.

1. Beban kerja yang berjalan pada node cloud dapat berkomunikasi secara langsung dengan beban kerja yang berjalan pada node hybrid di cluster EKS yang sama.

1.  AWS Layanan lain, seperti AWS Application Load Balancers dan Amazon Managed Service for Prometheus, dapat berkomunikasi dengan beban kerja yang berjalan pada node hybrid untuk menyeimbangkan lalu lintas jaringan dan mengikis metrik pod.

 **Jaringan pod yang tidak dapat dirutekan** 

Jika Anda *tidak* dapat membuat jaringan pod Anda dapat dirutekan di jaringan lokal, ikuti panduan di bawah ini.

1. Webhook tidak dapat berjalan pada node hybrid karena webhook memerlukan konektivitas dari bidang kontrol EKS ke alamat IP Pod yang ditetapkan ke webhook. Dalam hal ini, kami menyarankan Anda menjalankan webhook pada node cloud di cluster EKS yang sama dengan node hybrid Anda, lihat [Konfigurasikan webhook untuk node hybrid](hybrid-nodes-webhooks.md) untuk informasi selengkapnya.

1. Beban kerja yang berjalan pada node cloud tidak dapat berkomunikasi secara langsung dengan beban kerja yang berjalan pada node hybrid saat menggunakan VPC CNI untuk node cloud dan Cilium atau Calico untuk node hybrid.

1. Gunakan Distribusi Lalu Lintas Layanan untuk menjaga lalu lintas lokal ke zona asalnya. Untuk informasi selengkapnya tentang Distribusi Lalu Lintas Layanan, lihat[Konfigurasikan Distribusi Lalu Lintas Layanan](hybrid-nodes-webhooks.md#hybrid-nodes-mixed-service-traffic-distribution).

1. Konfigurasikan CNI Anda untuk menggunakan penyamaran jalan keluar atau terjemahan alamat jaringan (NAT) untuk lalu lintas pod karena meninggalkan host lokal Anda. Ini diaktifkan secara default di Cilium. Calico `natOutgoing` harus diatur ke`true`.

1.  AWS Layanan lain, seperti AWS Application Load Balancers dan Amazon Managed Service untuk Prometheus, tidak dapat berkomunikasi dengan beban kerja yang berjalan pada node hybrid.

### Akses diperlukan selama instalasi dan peningkatan node hybrid
<a name="hybrid-nodes-networking-access-reqs"></a>

Anda harus memiliki akses ke domain berikut selama proses instalasi di mana Anda menginstal dependensi node hybrid pada host Anda. Proses ini dapat dilakukan sekali ketika Anda sedang membangun gambar sistem operasi Anda atau dapat dilakukan pada setiap host saat runtime. Ini termasuk instalasi awal dan ketika Anda meng-upgrade versi Kubernetes dari node hybrid Anda.

Beberapa paket diinstal menggunakan manajer paket default OS. Untuk AL2023 dan RHEL, `yum` perintah ini digunakan untuk menginstal`containerd`,`ca-certificates`, `iptables` dan`amazon-ssm-agent`. Untuk Ubuntu, `apt` digunakan untuk menginstal `containerd``ca-certificates`,, dan`iptables`, dan `snap` digunakan untuk menginstal`amazon-ssm-agent`.


| Komponen | URL | Protokol | Port | 
| --- | --- | --- | --- | 
|  Artefak simpul EKS (S3)  |  https://hybrid-assets.eks.amazonaws.com  |  HTTPS  |  443  | 
|   [Titik akhir layanan EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html)   |  https://eks. *region*.amazonaws.com  |  HTTPS  |  443  | 
|   [Titik akhir layanan ECR](https://docs.aws.amazon.com/general/latest/gr/ecr.html)   |  https://api.ecr. *region*.amazonaws.com  |  HTTPS  |  443  | 
|  Titik akhir EKS ECR  |  Lihat [Lihat pendaftar gambar kontainer Amazon untuk add-on Amazon EKS](add-ons-images.md) untuk titik akhir regional.  |  HTTPS  |  443  | 
|  Titik akhir biner SSM 1   |  https://amazon-ssm - *region* .s3. *region*.amazonaws.com  |  HTTPS  |  443  | 
|   Titik [akhir layanan SSM](https://docs.aws.amazon.com/general/latest/gr/ssm.html) 1   |  https://ssm. *region*.amazonaws.com  |  HTTPS  |  443  | 
|  Titik akhir biner IAM Anywhere 2   |  https://rolesanywhere.amazonaws.com  |  HTTPS  |  443  | 
|   Titik [akhir layanan IAM Anywhere](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html) 2   |  https://rolesanywhere. *region*.amazonaws.com  |  HTTPS  |  443  | 
|  Titik akhir manajer paket Sistem Operasi  |  Endpoint Package repository bersifat khusus OS dan mungkin berbeda menurut wilayah geografis.  |  HTTPS  |  443  | 

**catatan**  
 1 Akses ke titik akhir AWS SSM hanya diperlukan jika Anda menggunakan aktivasi hibrida AWS SSM untuk penyedia kredensi IAM lokal Anda.  
 2 Akses ke titik akhir AWS IAM hanya diperlukan jika Anda menggunakan Peran IAM Di Mana Saja untuk penyedia kredensi AWS IAM lokal Anda.

### Akses diperlukan untuk operasi klaster yang sedang berlangsung
<a name="hybrid-nodes-networking-access-reqs-ongoing"></a>

Akses jaringan berikut untuk firewall lokal Anda diperlukan untuk operasi klaster yang sedang berlangsung.

**penting**  
Tergantung pada pilihan CNI Anda, Anda perlu mengkonfigurasi aturan akses jaringan tambahan untuk port CNI. Lihat dokumentasi [Cilium dan dokumentasi](https://docs.cilium.io/en/stable/operations/system_requirements/#firewall-rules) [Calico](https://docs.tigera.io/calico/latest/getting-started/kubernetes/requirements#network-requirements) untuk detailnya.


| Tipe | Protokol | Arahan | Port | Sumber | Destinasi | Penggunaan | 
| --- | --- | --- | --- | --- | --- | --- | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Node Jarak Jauh  |  Kluster EKS IPs 1   |  kubelet ke server API Kubernetes  | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Pod Jarak Jauh  |  Kluster EKS IPs 1   |  Pod ke server API Kubernetes  | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Node Jarak Jauh  |   [Titik akhir layanan SSM](https://docs.aws.amazon.com/general/latest/gr/ssm.html)   |  Aktivasi hibrida SSM menyegarkan kredenal dan detak jantung SSM setiap 5 menit  | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Node Jarak Jauh  |   [Titik akhir layanan IAM Anywhere](https://docs.aws.amazon.com/general/latest/gr/rolesanywhere.html)   |  Peran IAM Di Mana Saja penyegaran kredenal  | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Pod Jarak Jauh  |   [Titik Akhir Regional STS](https://docs.aws.amazon.com/general/latest/gr/sts.html)   |  Pod ke titik akhir STS, hanya diperlukan untuk IRSA  | 
|  HTTPS  |  TCP  |  Ke luar  |  443  |  CIDR Node Jarak Jauh  |   [Titik akhir layanan Amazon EKS Auth](https://docs.aws.amazon.com/general/latest/gr/eks.html)   |  Node ke titik akhir Amazon EKS Auth, hanya diperlukan untuk Amazon EKS Pod Identity  | 
|  HTTPS  |  TCP  |  Ke dalam  |  10250  |  Kluster EKS IPs 1   |  CIDR Node Jarak Jauh  |  Server API Kubernetes ke kubelet  | 
|  HTTPS  |  TCP  |  Ke dalam  |  Port webhook  |  Kluster EKS IPs 1   |  CIDR Pod Jarak Jauh  |  Server API Kubernetes ke webhook  | 
|  HTTPS  |  TCP, UDP  |  Masuk, Keluar  |  53  |  CIDR Pod Jarak Jauh  |  CIDR Pod Jarak Jauh  |  Pod ke CoreDNS. Jika Anda menjalankan setidaknya 1 replika CoreDNS di cloud, Anda harus mengizinkan lalu lintas DNS ke VPC tempat CoreDNS berjalan.  | 
|  Ditentukan pengguna  |  Ditentukan pengguna  |  Masuk, Keluar  |  Port aplikasi  |  CIDR Pod Jarak Jauh  |  CIDR Pod Jarak Jauh  |  Pod ke Pod  | 

**catatan**  
 1 IPs Kluster EKS. Lihat bagian berikut tentang antarmuka jaringan elastis Amazon EKS.

### Antarmuka jaringan Amazon EKS
<a name="hybrid-nodes-networking-eks-network-interfaces"></a>

Amazon EKS melampirkan antarmuka jaringan ke subnet di VPC yang Anda lewati selama pembuatan klaster untuk mengaktifkan komunikasi antara bidang kontrol EKS dan VPC Anda. Antarmuka jaringan yang dibuat Amazon EKS dapat ditemukan setelah pembuatan cluster di konsol Amazon EC2 atau dengan CLI. AWS Antarmuka jaringan asli dihapus dan antarmuka jaringan baru dibuat ketika perubahan diterapkan pada kluster EKS Anda, seperti upgrade versi Kubernetes. Anda dapat membatasi rentang IP untuk antarmuka jaringan Amazon EKS dengan menggunakan ukuran subnet terbatas untuk subnet yang Anda lewati selama pembuatan klaster, yang memudahkan konfigurasi firewall lokal Anda untuk memungkinkan inbound/outbound konektivitas ke kumpulan yang diketahui dan dibatasi ini. IPs Untuk mengontrol antarmuka jaringan subnet mana yang dibuat, Anda dapat membatasi jumlah subnet yang Anda tentukan saat membuat cluster atau Anda dapat memperbarui subnet setelah membuat cluster.

Antarmuka jaringan yang disediakan oleh Amazon EKS memiliki deskripsi formatnya. `Amazon EKS your-cluster-name ` Lihat contoh di bawah ini untuk perintah AWS CLI yang dapat Anda gunakan untuk menemukan alamat IP antarmuka jaringan yang disediakan Amazon EKS. Ganti `VPC_ID` dengan ID VPC yang Anda lewati selama pembuatan cluster.

```
aws ec2 describe-network-interfaces \
--query 'NetworkInterfaces[?(VpcId == VPC_ID && contains(Description,Amazon EKS))].PrivateIpAddress'
```

## AWS Pengaturan VPC dan subnet
<a name="hybrid-nodes-networking-vpc"></a>

Persyaratan [VPC dan subnet yang ada untuk](network-reqs.md) Amazon EKS berlaku untuk cluster dengan node hybrid. Selain itu, CIDR VPC Anda tidak dapat tumpang tindih dengan node dan pod lokal Anda. CIDRs Anda harus mengonfigurasi rute di tabel perutean VPC untuk node lokal dan pod opsional. CIDRs Rute ini harus diatur untuk mengarahkan lalu lintas ke gateway yang Anda gunakan untuk konektivitas jaringan hybrid Anda, yang biasanya merupakan gateway pribadi virtual (VGW) atau gateway transit (TGW). Jika Anda menggunakan TGW atau VGW untuk menghubungkan VPC dengan lingkungan lokal, Anda harus membuat lampiran TGW atau VGW untuk VPC Anda. VPC Anda harus memiliki nama host DNS dan dukungan resolusi DNS.

Langkah-langkah berikut menggunakan AWS CLI. Anda juga dapat membuat sumber daya ini di Konsol Manajemen AWS atau dengan antarmuka lain seperti AWS CloudFormation, AWS CDK, atau Terraform.

### Langkah 1: Buat VPC
<a name="_step_1_create_vpc"></a>

1. Jalankan perintah berikut untuk membuat VPC. Ganti VPC\$1CIDR dengan rentang CIDR yaitu RFC 1918 (pribadi), CGNAT (RFC 6598), atau non-RFC 1918/non-CGNAT (publik) (misalnya, 10.0.0.0/16). IPv4 Catatan: Resolusi DNS, yang merupakan persyaratan EKS, diaktifkan untuk VPC secara default.

   ```
   aws ec2 create-vpc --cidr-block VPC_CIDR
   ```

1. Aktifkan nama host DNS untuk VPC Anda. Catatan, resolusi DNS diaktifkan untuk VPC secara default. Ganti `VPC_ID` dengan ID VPC yang Anda buat pada langkah sebelumnya.

   ```
   aws ec2 modify-vpc-attribute --vpc-id VPC_ID --enable-dns-hostnames
   ```

### Langkah 2: Buat subnet
<a name="_step_2_create_subnets"></a>

Buat setidaknya 2 subnet. Amazon EKS menggunakan subnet ini untuk antarmuka jaringan cluster. Untuk informasi selengkapnya, lihat [Persyaratan dan pertimbangan Subnet](network-reqs.md#network-requirements-subnets).

1. Anda dapat menemukan zona ketersediaan untuk AWS Wilayah dengan perintah berikut. Ganti `us-west-2` dengan wilayah Anda.

   ```
   aws ec2 describe-availability-zones \
        --query 'AvailabilityZones[?(RegionName == us-west-2)].ZoneName'
   ```

1. Buat subnet. Ganti `VPC_ID` dengan ID VPC. Ganti `SUBNET_CIDR` dengan blok CIDR untuk subnet Anda (misalnya 10.0.1.0/24). Ganti `AZ` dengan zona ketersediaan tempat subnet akan dibuat (misalnya us-west-2a). Subnet yang Anda buat harus berada di setidaknya 2 zona ketersediaan yang berbeda.

   ```
   aws ec2 create-subnet \
       --vpc-id VPC_ID \
       --cidr-block SUBNET_CIDR \
       --availability-zone AZ
   ```

### (Opsional) Langkah 3: Lampirkan VPC dengan Amazon VPC Transit Gateway (TGW) AWS atau gateway pribadi virtual Direct Connect (VGW)
<a name="optional_step_3_attach_vpc_with_amazon_vpc_transit_gateway_tgw_or_shared_aws_direct_connect_virtual_private_gateway_vgw"></a>

Jika Anda menggunakan TGW atau VGW, lampirkan VPC Anda ke TGW atau VGW. [Untuk informasi selengkapnya, lihat [lampiran VPC Amazon di Gateway Transit VPC Amazon atau asosiasi gateway pribadi virtual Direct AWS Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html).](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html#VPNGateway)

 **Transit Gateway** 

Jalankan perintah berikut untuk melampirkan Transit Gateway. Ganti `VPC_ID` dengan ID VPC. Ganti `SUBNET_ID1` dan `SUBNET_ID2` dengan subnet yang Anda buat pada langkah sebelumnya. IDs Ganti `TGW_ID` dengan ID TGW Anda.

```
aws ec2 create-transit-gateway-vpc-attachment \
    --vpc-id VPC_ID \
    --subnet-ids SUBNET_ID1 SUBNET_ID2 \
    --transit-gateway-id TGW_ID
```

 **Gerbang Pribadi Virtual** 

Jalankan perintah berikut untuk melampirkan Transit Gateway. Ganti `VPN_ID` dengan ID VGW Anda. Ganti `VPC_ID` dengan ID VPC.

```
aws ec2 attach-vpn-gateway \
    --vpn-gateway-id VPN_ID \
    --vpc-id VPC_ID
```

### (Opsional) Langkah 4: Buat tabel rute
<a name="_optional_step_4_create_route_table"></a>

Anda dapat memodifikasi tabel rute utama untuk VPC atau Anda dapat membuat tabel rute khusus. Langkah-langkah berikut membuat tabel rute kustom dengan rute ke node dan pod CIDRs lokal. Untuk informasi selengkapnya, lihat [Tabel rute subnet](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-route-tables.html). Ganti `VPC_ID` dengan ID VPC.

```
aws ec2 create-route-table --vpc-id VPC_ID
```

### Langkah 5: Buat rute untuk node dan pod lokal
<a name="_step_5_create_routes_for_on_premises_nodes_and_pods"></a>

Buat rute dalam tabel rute untuk setiap node jarak jauh lokal Anda. Anda dapat memodifikasi tabel rute utama untuk VPC atau menggunakan tabel rute khusus yang Anda buat di langkah sebelumnya.

Contoh di bawah ini menunjukkan cara membuat rute untuk node dan pod CIDRs lokal Anda. Dalam contoh, gateway transit (TGW) digunakan untuk menghubungkan VPC dengan lingkungan lokal. Jika Anda memiliki beberapa node dan pod lokal CIDRs, ulangi langkah-langkah untuk setiap CIDR.
+ Jika Anda menggunakan gateway internet atau virtual private gateway (VGW) ganti `--transit-gateway-id` dengan. `--gateway-id`
+ Ganti `RT_ID` dengan ID tabel rute yang Anda buat pada langkah sebelumnya.
+ Ganti `REMOTE_NODE_CIDR` dengan rentang CIDR yang akan Anda gunakan untuk node hybrid Anda.
+ Ganti `REMOTE_POD_CIDR` dengan rentang CIDR yang akan Anda gunakan untuk pod yang berjalan pada node hybrid. Rentang pod CIDR sesuai dengan konfigurasi Container Networking Interface (CNI), yang paling sering menggunakan jaringan overlay lokal. Untuk informasi selengkapnya, lihat [Konfigurasikan CNI untuk node hybrid](hybrid-nodes-cni.md).
+ Ganti `TGW_ID` dengan ID TGW Anda.

 **Jaringan simpul jarak jauh** 

```
aws ec2 create-route \
    --route-table-id RT_ID \
    --destination-cidr-block REMOTE_NODE_CIDR \
    --transit-gateway-id TGW_ID
```

 **Jaringan Pod jarak jauh** 

```
aws ec2 create-route \
    --route-table-id RT_ID \
    --destination-cidr-block REMOTE_POD_CIDR \
    --transit-gateway-id TGW_ID
```

### (Opsional) Langkah 6: Kaitkan subnet dengan tabel rute
<a name="_optional_step_6_associate_subnets_with_route_table"></a>

Jika Anda membuat tabel rute kustom pada langkah sebelumnya, kaitkan setiap subnet yang Anda buat pada langkah sebelumnya dengan tabel rute kustom Anda. Jika Anda memodifikasi tabel rute utama VPC, subnet secara otomatis dikaitkan dengan tabel rute utama VPC dan Anda dapat melewati langkah ini.

Jalankan perintah berikut untuk setiap subnet yang Anda buat di langkah sebelumnya. Ganti `RT_ID` dengan tabel rute yang Anda buat pada langkah sebelumnya. Ganti `SUBNET_ID` dengan ID subnet.

```
aws ec2 associate-route-table --route-table-id RT_ID --subnet-id SUBNET_ID
```

## Konfigurasi grup keamanan cluster
<a name="hybrid-nodes-networking-cluster-sg"></a>

Akses berikut untuk grup keamanan klaster EKS Anda diperlukan untuk operasi klaster yang sedang berlangsung. Amazon EKS secara otomatis membuat aturan grup keamanan **masuk** yang diperlukan untuk node hibrid saat Anda membuat atau memperbarui klaster Anda dengan node jarak jauh dan jaringan pod yang dikonfigurasi. Karena grup keamanan mengizinkan semua lalu lintas **keluar** secara default, Amazon EKS tidak secara otomatis memodifikasi aturan **keluar** grup keamanan klaster untuk node hibrida. Jika Anda ingin menyesuaikan grup keamanan klaster, Anda dapat membatasi lalu lintas ke aturan dalam tabel berikut.


| Tipe | Protokol | Arahan | Port | Sumber | Destinasi | Penggunaan | 
| --- | --- | --- | --- | --- | --- | --- | 
|  HTTPS  |  TCP  |  Ke dalam  |  443  |  CIDR Node Jarak Jauh  |  N/A  |  Kubelet ke Kubernetes API server  | 
|  HTTPS  |  TCP  |  Ke dalam  |  443  |  CIDR Pod Jarak Jauh  |  N/A  |  Pod yang membutuhkan akses ke server API K8s saat CNI tidak menggunakan NAT untuk lalu lintas pod.  | 
|  HTTPS  |  TCP  |  Ke luar  |  10250  |  N/A  |  CIDR Node Jarak Jauh  |  Server API Kubernetes ke Kubelet  | 
|  HTTPS  |  TCP  |  Ke luar  |  Port webhook  |  N/A  |  CIDR Pod Jarak Jauh  |  Kubernetes API server ke webhook (jika menjalankan webhook pada node hybrid)  | 

**penting**  
 **Batas aturan grup keamanan**: Grup keamanan Amazon EC2 memiliki maksimum 60 aturan masuk secara default. Aturan masuk grup keamanan mungkin tidak berlaku jika grup keamanan klaster Anda mendekati batas ini. Dalam hal ini, mungkin diperlukan untuk menambahkan aturan masuk yang hilang secara manual.  
 **Tanggung jawab pembersihan CIDR**: Jika Anda menghapus node jarak jauh atau jaringan pod dari kluster EKS, EKS tidak secara otomatis menghapus aturan grup keamanan yang sesuai. Anda bertanggung jawab untuk menghapus node jarak jauh atau jaringan pod yang tidak digunakan secara manual dari aturan grup keamanan Anda.

Untuk informasi selengkapnya tentang grup keamanan klaster yang dibuat Amazon EKS, lihat[Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md).

### (Opsional) Konfigurasi grup keamanan manual
<a name="_optional_manual_security_group_configuration"></a>

Jika Anda perlu membuat grup keamanan tambahan atau memodifikasi aturan yang dibuat secara otomatis, Anda dapat menggunakan perintah berikut sebagai referensi. Secara default, perintah di bawah ini membuat grup keamanan yang memungkinkan semua akses keluar. Anda dapat membatasi akses keluar untuk menyertakan hanya aturan di atas. Jika Anda mempertimbangkan untuk membatasi aturan keluar, sebaiknya Anda menguji secara menyeluruh semua aplikasi dan konektivitas pod sebelum menerapkan aturan yang diubah ke cluster produksi.
+ Pada perintah pertama, ganti `SG_NAME` dengan nama untuk grup keamanan Anda
+ Pada perintah pertama, ganti `VPC_ID` dengan ID VPC yang Anda buat pada langkah sebelumnya
+ Pada perintah kedua, ganti `SG_ID` dengan ID grup keamanan yang Anda buat di perintah pertama
+ Pada perintah kedua, ganti `REMOTE_NODE_CIDR` dan `REMOTE_POD_CIDR` dengan nilai untuk node hybrid dan jaringan lokal Anda.

```
aws ec2 create-security-group \
    --group-name SG_NAME \
    --description "security group for hybrid nodes" \
    --vpc-id VPC_ID
```

```
aws ec2 authorize-security-group-ingress \
    --group-id SG_ID \
    --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 443, "ToPort": 443, "IpRanges": [{"CidrIp": "REMOTE_NODE_CIDR"}, {"CidrIp": "REMOTE_POD_CIDR"}]}]'
```

# Siapkan sistem operasi untuk node hybrid
<a name="hybrid-nodes-os"></a>

Bottlerocket, Amazon Linux 2023 AL2 (023), Ubuntu, dan RHEL divalidasi secara berkelanjutan untuk digunakan sebagai sistem operasi node untuk node hibrida. Bottlerocket didukung oleh di lingkungan AWS VMware vSphere saja. AL2023 tidak tercakup oleh AWS Support Plans saat dijalankan di luar Amazon EC2. AL2023 hanya dapat digunakan di lingkungan virtual lokal, lihat [Panduan Pengguna Amazon Linux 2023](https://docs.aws.amazon.com/linux/al2023/ug/outside-ec2.html) untuk informasi selengkapnya. AWS mendukung integrasi node hybrid dengan sistem operasi Ubuntu dan RHEL tetapi tidak memberikan dukungan untuk sistem operasi itu sendiri.

Anda bertanggung jawab atas penyediaan dan manajemen sistem operasi. Saat Anda menguji node hybrid untuk pertama kalinya, paling mudah menjalankan Amazon EKS Hybrid Nodes CLI (`nodeadm`) pada host yang sudah disediakan. Untuk penerapan produksi, kami menyarankan Anda menyertakan `nodeadm` gambar sistem operasi yang dikonfigurasi untuk dijalankan sebagai layanan systemd untuk secara otomatis bergabung dengan host ke kluster Amazon EKS saat startup host. Jika Anda menggunakan Bottlerocket sebagai sistem operasi node Anda di vSphere, Anda tidak perlu menggunakan `nodeadm` karena Bottlerocket sudah berisi dependensi yang diperlukan untuk node hybrid dan secara otomatis akan terhubung ke cluster yang Anda konfigurasikan saat startup host.

## Kompatibilitas versi
<a name="_version_compatibility"></a>

Tabel di bawah ini mewakili versi sistem operasi yang kompatibel dan divalidasi untuk digunakan sebagai sistem operasi node untuk node hybrid. Jika Anda menggunakan varian atau versi sistem operasi lain yang tidak termasuk dalam tabel ini, maka kompatibilitas node hybrid dengan varian atau versi sistem operasi Anda tidak tercakup oleh AWS Support. Node hybrid bersifat agnostik terhadap infrastruktur yang mendasarinya dan mendukung arsitektur x86 dan ARM.


| Sistem Operasi | Versi | 
| --- | --- | 
|  Amazon Linux  |  Amazon Linux 2023 (AL2023)  | 
|  Bottlerocket  |  v1.37.0 dan VMware varian di atasnya yang menjalankan Kubernetes v1.28 dan di atasnya  | 
|  Ubuntu  |  Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04  | 
|  Linux Red Hat Enterprise  |  RHEL 8, RHEL 9  | 

## Pertimbangan sistem operasi
<a name="_operating_system_considerations"></a>

### Umum
<a name="_general"></a>
+ Amazon EKS Hybrid Nodes CLI (`nodeadm`) dapat digunakan untuk menyederhanakan instalasi dan konfigurasi komponen dan dependensi node hybrid. Anda dapat menjalankan `nodeadm install` proses selama pipeline build image sistem operasi atau saat runtime di setiap host lokal. Untuk informasi selengkapnya tentang komponen yang `nodeadm` diinstal, lihat. [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md)
+ Jika Anda menggunakan proxy di lingkungan lokal untuk menjangkau internet, ada konfigurasi sistem operasi tambahan yang diperlukan untuk proses penginstalan dan pemutakhiran guna mengonfigurasi manajer paket Anda agar menggunakan proxy. Lihat [Konfigurasikan proxy untuk node hybrid](hybrid-nodes-proxy.md) untuk instruksi.

### Bottlerocket
<a name="_bottlerocket"></a>
+ Langkah-langkah dan alat untuk menghubungkan node Bottlerocket berbeda dari langkah-langkah untuk sistem operasi lain dan dibahas secara terpisah[Hubungkan node hybrid dengan Bottlerocket](hybrid-nodes-bottlerocket.md), bukan langkah-langkah masuk. [Connect node hybrid](hybrid-nodes-join.md)
+ Langkah-langkah untuk Bottlerocket tidak menggunakan alat CLI node hybrid,. `nodeadm`
+ Hanya VMware varian Bottlerocket versi v1.37.0 ke atas yang didukung dengan EKS Hybrid Nodes. VMware varian Bottlerocket tersedia untuk Kubernetes versi v1.28 ke atas. [Varian Bottlerocket lainnya](https://bottlerocket.dev/en/os/1.36.x/concepts/variants) tidak didukung sebagai sistem operasi node hybrid. CATATAN: VMware varian Bottlerocket hanya tersedia untuk arsitektur x86\$164.

### Kontainer
<a name="_containerd"></a>
+ Containerd adalah runtime container Kubernetes standar dan merupakan dependensi untuk node hybrid, serta semua tipe komputasi node Amazon EKS. Amazon EKS Hybrid Nodes CLI (`nodeadm`) mencoba menginstal containerd selama proses berlangsung. `nodeadm install` Anda dapat mengonfigurasi instalasi containerd `nodeadm install` saat runtime dengan `--containerd-source` opsi baris perintah. Opsi yang valid adalah`none`,`distro`, dan`docker`. Jika Anda menggunakan RHEL, `distro` ini bukan opsi yang valid dan Anda dapat mengonfigurasi `nodeadm` untuk menginstal build containerd dari repo Docker atau Anda dapat menginstal containerd secara manual. Saat menggunakan AL2 023 atau Ubuntu, `nodeadm` default untuk menginstal containerd dari distribusi sistem operasi. Jika Anda tidak ingin nodeadm menginstal containerd, gunakan opsi. `--containerd-source none`

### Ubuntu
<a name="_ubuntu"></a>
+ [Jika Anda menggunakan Ubuntu 24.04, Anda mungkin perlu memperbarui versi containerd atau mengubah konfigurasi AppArmor Anda untuk mengadopsi perbaikan yang memungkinkan pod dihentikan dengan benar, lihat Ubuntu \$12065423.](https://bugs.launchpad.net/ubuntu/+source/containerd-app/\+bug/2065423) Diperlukan reboot untuk menerapkan perubahan pada AppArmor profil. Versi terbaru Ubuntu 24.04 memiliki versi containerd yang diperbarui di manajer paketnya dengan perbaikan (containerd versi 1.7.19\$1).

### LENGAN
<a name="_arm"></a>
+ Jika Anda menggunakan perangkat keras ARM, prosesor yang sesuai dengan ARMv8 .2 dengan Ekstensi Kriptografi (ARMv8.2\$1crypto) diperlukan untuk menjalankan add-on EKS kube-proxy versi 1.31 ke atas. Semua sistem Raspberry Pi sebelum Raspberry Pi 5, serta prosesor berbasis Cortex-A72, tidak memenuhi persyaratan ini. Sebagai solusinya, Anda dapat terus menggunakan add-on EKS kube-proxy versi 1.30 hingga mencapai akhir dukungan yang diperluas pada bulan Juli 2026, lihat kalender rilis [Kubernetes, atau menggunakan gambar kube-proxy kustom](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html) dari hulu.
+ Pesan kesalahan berikut di log kube-proxy menunjukkan ketidakcocokan ini:

```
Fatal glibc error: This version of Amazon Linux requires a newer ARM64 processor compliant with at least ARM architecture 8.2-a with Cryptographic extensions. On EC2 this is Graviton 2 or later.
```

## Membangun gambar sistem operasi
<a name="_building_operating_system_images"></a>

Amazon EKS menyediakan [contoh template Packer](https://github.com/aws/eks-hybrid/tree/main/example/packer) yang dapat Anda gunakan untuk membuat gambar sistem operasi yang menyertakan `nodeadm` dan mengonfigurasinya agar berjalan saat startup host. Proses ini disarankan untuk menghindari penarikan dependensi node hybrid secara individual pada setiap host dan untuk mengotomatiskan proses bootstrap node hybrid. Anda dapat menggunakan contoh template Packer dengan gambar ISO Ubuntu 22.04, Ubuntu 24.04, RHEL 8 atau RHEL 9 dan dapat menampilkan gambar dengan format ini: OVA, Qcow2, atau mentah.

### Prasyarat
<a name="_prerequisites"></a>

Sebelum menggunakan contoh template Packer, Anda harus memiliki yang berikut diinstal pada mesin dari tempat Anda menjalankan Packer.
+ Packer versi 1.11.0 atau lebih tinggi. Untuk petunjuk tentang menginstal Packer, lihat [Install Packer](https://developer.hashicorp.com/packer/tutorials/docker-get-started/get-started-install-cli) di dokumentasi Packer.
+ Jika membangun OVAs, VMware vSphere plugin 1.4.0 atau lebih tinggi
+ Jika membangun `Qcow2` atau gambar mentah, plugin QEMU versi 1.x

### Tetapkan Variabel Lingkungan
<a name="_set_environment_variables"></a>

Sebelum menjalankan build Packer, atur variabel lingkungan berikut pada mesin dari tempat Anda menjalankan Packer.

 **Umum** 

Variabel lingkungan berikut harus diatur untuk membangun gambar dengan semua sistem operasi dan format output.


| Variabel Lingkungan | Jenis | Deskripsi | 
| --- | --- | --- | 
|  PKR\$1SSH\$1PASSWORD  |  String  |  Packer menggunakan `ssh_password` variabel `ssh_username` dan ke SSH ke dalam mesin yang dibuat saat penyediaan. Ini harus sesuai dengan kata sandi yang digunakan untuk membuat pengguna awal dalam file kickstart atau data pengguna OS masing-masing. Default ditetapkan sebagai “builder” atau “ubuntu” tergantung pada OS. Saat mengatur kata sandi Anda, pastikan untuk mengubahnya dalam `user-data` file yang sesuai `ks.cfg` atau agar sesuai.  | 
|  ISO\$1URL  |  String  |  URL ISO yang akan digunakan. Bisa berupa tautan web untuk diunduh dari server, atau jalur absolut ke file lokal  | 
|  ISO\$1CHECKSUM  |  String  |  Checksum terkait untuk ISO yang disediakan.  | 
|  CREDENTIAL\$1PROVIDER  |  String  |  Penyedia kredensyal untuk node hibrida. Nilai yang valid adalah `ssm` (default) untuk aktivasi hibrida SSM dan `iam` untuk Peran IAM Di Mana Saja  | 
|  K8S\$1VERSION  |  String  |  Versi Kubernetes untuk node hybrid (misalnya). `1.31` Untuk versi Kubernetes yang didukung, lihat versi yang didukung [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html).  | 
|  NODEADM\$1ARCH  |  String  |  Arsitektur untuk`nodeadm install`. Pilih `amd` atau`arm`.  | 

 **RHEL** 

Jika Anda menggunakan RHEL, variabel lingkungan berikut harus diatur.


| Variabel Lingkungan | Jenis | Deskripsi | 
| --- | --- | --- | 
|  RH\$1NAMA PENGGUNA  |  String  |  Nama pengguna manajer langganan RHEL  | 
|  RH\$1KATA SANDI  |  String  |  Kata sandi pengelola langganan RHEL  | 
|  RHEL\$1VERSION  |  String  |  Versi Rhel iso sedang digunakan. Nilai-nilai yang valid adalah `8` atau `9`.  | 

 **Ubuntu** 

Tidak ada variabel lingkungan khusus Ubuntu yang diperlukan.

 **vSphere** 

Jika Anda sedang membangun OVA VMware vSphere, variabel lingkungan berikut harus diatur.


| Variabel Lingkungan | Jenis | Deskripsi | 
| --- | --- | --- | 
|  VSPHERE\$1SERVER  |  String  |  Alamat server vSphere  | 
|  VSPHERE\$1USER  |  String  |  Nama pengguna vSphere  | 
|  VSPHERE\$1PASSWORD  |  String  |  Kata sandi vSphere  | 
|  VSPHERE\$1DATACENTER  |  String  |  Nama pusat data vSphere  | 
|  VSPHERE\$1CLUSTER  |  String  |  Nama cluster vSphere  | 
|  VSPHERE\$1DATASTORE  |  String  |  vSphere nama datastore  | 
|  VSPHERE\$1NETWORK  |  String  |  nama jaringan vSphere  | 
|  VSPHERE\$1OUTPUT\$1FOLDER  |  String  |  folder output vSphere untuk template  | 

 **QEMU** 


| Variabel Lingkungan | Jenis | Deskripsi | 
| --- | --- | --- | 
|  FORMAT PACKER\$1OUTPUT\$1  |  String  |  Format output untuk pembangun QEMU. Nilai yang valid adalah `qcow2` dan `raw`.  | 

 **Validasi template** 

Sebelum menjalankan build, validasi template Anda dengan perintah berikut setelah menyetel variabel lingkungan. Ganti `template.pkr.hcl` jika Anda menggunakan nama yang berbeda untuk template Anda.

```
packer validate template.pkr.hcl
```

### Membangun gambar
<a name="_build_images"></a>

Bangun gambar Anda dengan perintah berikut dan gunakan `-only` bendera untuk menentukan target dan sistem operasi untuk gambar Anda. Ganti `template.pkr.hcl` jika Anda menggunakan nama yang berbeda untuk template Anda.

 **vSphere OVAs** 

**catatan**  
Jika Anda menggunakan RHEL dengan vSphere, Anda perlu mengonversi file kickstart ke gambar OEMDRV dan meneruskannya sebagai ISO untuk boot. Untuk informasi lebih lanjut, lihat [Packer Readme](https://github.com/aws/eks-hybrid/tree/main/example/packer#utilizing-rhel-with-vsphere) di EKS Hybrid Nodes GitHub Repository.

 **Ubuntu 22.04 OVA** 

```
packer build -only=general-build.vsphere-iso.ubuntu22 template.pkr.hcl
```

 **Ubuntu 24.04 OVA** 

```
packer build -only=general-build.vsphere-iso.ubuntu24 template.pkr.hcl
```

 **RHEL 8 TELUR** 

```
packer build -only=general-build.vsphere-iso.rhel8 template.pkr.hcl
```

 **RHEL 9 TELUR** 

```
packer build -only=general-build.vsphere-iso.rhel9 template.pkr.hcl
```

 **QEMU** 

**catatan**  
Jika Anda membuat gambar untuk CPU host tertentu yang tidak cocok dengan host pembangun Anda, lihat dokumentasi [QEMU](https://www.qemu.org/docs/master/system/qemu-cpu-models.html) untuk nama yang cocok dengan CPU host Anda dan gunakan `-cpu` tanda dengan nama CPU host saat Anda menjalankan perintah berikut.

 **Ubuntu 22.04 Qcow2/Mentah** 

```
packer build -only=general-build.qemu.ubuntu22 template.pkr.hcl
```

 **Ubuntu 24.04 Qcow2/Mentah** 

```
packer build -only=general-build.qemu.ubuntu24 template.pkr.hcl
```

 **RHEL 8 Qcow2/Mentah** 

```
packer build -only=general-build.qemu.rhel8 template.pkr.hcl
```

 **RHEL 9 Qcow2/Mentah** 

```
packer build -only=general-build.qemu.rhel9 template.pkr.hcl
```

### Lewati konfigurasi nodeadm melalui data pengguna
<a name="_pass_nodeadm_configuration_through_user_data"></a>

Anda dapat meneruskan konfigurasi untuk `nodeadm` data pengguna Anda melalui cloud-init untuk mengonfigurasi dan secara otomatis menghubungkan node hybrid ke kluster EKS Anda saat startup host. Di bawah ini adalah contoh bagaimana untuk mencapai ini ketika menggunakan VMware vSphere sebagai infrastruktur untuk node hybrid Anda.

1. Instal `govc` CLI mengikuti instruksi di [govc](https://github.com/vmware/govmomi/blob/main/govc/README.md) readme on. GitHub

1. Setelah menjalankan build Packer di bagian sebelumnya dan menyediakan template Anda, Anda dapat mengkloning template Anda untuk membuat beberapa node berbeda menggunakan berikut ini. Anda harus mengkloning template untuk setiap VM baru yang Anda buat yang akan digunakan untuk node hybrid. Ganti variabel dalam perintah di bawah ini dengan nilai untuk lingkungan Anda. Perintah `VM_NAME` di bawah ini digunakan sebagai Anda `NODE_NAME` ketika Anda menyuntikkan nama untuk Anda VMs melalui `metadata.yaml` file Anda.

   ```
   govc vm.clone -vm "/PATH/TO/TEMPLATE" -ds="YOUR_DATASTORE" \
       -on=false -template=false -folder=/FOLDER/TO/SAVE/VM "VM_NAME"
   ```

1. Setelah mengkloning template untuk masing-masing yang baru Anda VMs, buat `userdata.yaml` dan `metadata.yaml` untuk Anda VMs. Anda VMs dapat berbagi hal yang sama `userdata.yaml` `metadata.yaml` dan dan Anda akan mengisinya berdasarkan per VM dalam langkah-langkah di bawah ini. `nodeadm`Konfigurasi dibuat dan didefinisikan di `write_files` bagian Anda`userdata.yaml`. Contoh di bawah ini menggunakan aktivasi hibrida AWS SSM sebagai penyedia kredensi lokal untuk node hibrid. Untuk informasi lebih lanjut tentang `nodeadm` konfigurasi, lihat[`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md).

    **userdata.yaml:** 

   ```
   #cloud-config
   users:
     - name: # username for login. Use 'builder' for RHEL or 'ubuntu' for Ubuntu.
       passwd: # password to login. Default is 'builder' for RHEL.
       groups: [adm, cdrom, dip, plugdev, lxd, sudo]
       lock-passwd: false
       sudo: ALL=(ALL) NOPASSWD:ALL
       shell: /bin/bash
   
   write_files:
     - path: /usr/local/bin/nodeConfig.yaml
       permissions: '0644'
       content: |
         apiVersion: node.eks.aws/v1alpha1
         kind: NodeConfig
         spec:
             cluster:
                 name: # Cluster Name
                 region: # AWS region
             hybrid:
                 ssm:
                     activationCode: # Your ssm activation code
                     activationId: # Your ssm activation id
   
   runcmd:
     - /usr/local/bin/nodeadm init -c file:///usr/local/bin/nodeConfig.yaml >> /var/log/nodeadm-init.log 2>&1
   ```

    **metadata.yaml:** 

   Buat `metadata.yaml` untuk lingkungan Anda. Simpan format `"$NODE_NAME"` variabel dalam file karena ini akan diisi dengan nilai pada langkah berikutnya.

   ```
   instance-id: "$NODE_NAME"
   local-hostname: "$NODE_NAME"
   network:
     version: 2
     ethernets:
       nics:
         match:
           name: ens*
         dhcp4: yes
   ```

1. Tambahkan `userdata.yaml` dan `metadata.yaml` file sebagai `gzip+base64` string dengan perintah berikut. Perintah berikut harus dijalankan untuk masing-masing yang VMs Anda buat. Ganti `VM_NAME` dengan nama VM yang Anda perbarui.

   ```
   export NODE_NAME="VM_NAME"
   export USER_DATA=$(gzip -c9 <userdata.yaml | base64)
   
   govc vm.change -dc="YOUR_DATASTORE" -vm "$NODE_NAME" -e guestinfo.userdata="${USER_DATA}"
   govc vm.change -dc="YOUR_DATASTORE" -vm "$NODE_NAME" -e guestinfo.userdata.encoding=gzip+base64
   
   envsubst '$NODE_NAME' < metadata.yaml > metadata.yaml.tmp
   export METADATA=$(gzip -c9 <metadata.yaml.tmp | base64)
   
   govc vm.change -dc="YOUR_DATASTORE" -vm "$NODE_NAME" -e guestinfo.metadata="${METADATA}"
   govc vm.change -dc="YOUR_DATASTORE" -vm "$NODE_NAME" -e guestinfo.metadata.encoding=gzip+base64
   ```

1. Nyalakan yang baru Anda VMs, yang akan secara otomatis terhubung ke cluster EKS yang Anda konfigurasikan.

   ```
   govc vm.power -on "${NODE_NAME}"
   ```

# Siapkan kredensil untuk node hybrid
<a name="hybrid-nodes-creds"></a>

Amazon EKS Hybrid Nodes menggunakan kredenal IAM sementara yang disediakan oleh aktivasi hybrid AWS SSM atau AWS Peran IAM Anywhere untuk mengautentikasi dengan kluster Amazon EKS. Anda harus menggunakan aktivasi hibrida AWS SSM atau Peran AWS IAM Di Mana Saja dengan Amazon EKS Hybrid Nodes CLI (). `nodeadm` Anda tidak boleh menggunakan aktivasi hibrida AWS SSM dan Peran AWS IAM Di Mana Saja. Kami menyarankan Anda menggunakan aktivasi hibrida AWS SSM jika Anda tidak memiliki Infrastruktur Kunci Publik (PKI) dengan Otoritas Sertifikat (CA) dan sertifikat untuk lingkungan lokal Anda. Jika Anda memiliki PKI dan sertifikat lokal, gunakan Peran AWS IAM Di Mana Saja.

## Peran IAM Node Hibrida
<a name="hybrid-nodes-role"></a>

Sebelum Anda dapat menghubungkan node hybrid ke cluster Amazon EKS Anda, Anda harus membuat peran IAM yang akan digunakan dengan aktivasi hibrida AWS SSM atau Peran AWS IAM Anywhere untuk kredenal node hybrid Anda. Setelah pembuatan klaster, Anda akan menggunakan peran ini dengan entri akses Amazon EKS atau `aws-auth` ConfigMap entri untuk memetakan peran IAM ke Kubernetes Role-Based Access Control (RBAC). Untuk informasi lebih lanjut tentang mengaitkan peran IAM Hybrid Nodes dengan Kubernetes RBAC, lihat. [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md)

Peran IAM Hybrid Nodes harus memiliki izin berikut.
+ Izin `nodeadm` untuk menggunakan `eks:DescribeCluster` tindakan untuk mengumpulkan informasi tentang cluster tempat Anda ingin menghubungkan node hibrida. Jika Anda tidak mengaktifkan `eks:DescribeCluster` tindakan, maka Anda harus meneruskan endpoint Kubernetes API, cluster CA bundle, dan service IPv4 CIDR dalam konfigurasi node yang Anda berikan ke perintah. `nodeadm init`
+ Izin `nodeadm` untuk menggunakan `eks:ListAccessEntries` tindakan untuk mencantumkan entri akses pada klaster yang ingin Anda sambungkan node hibrid. Jika Anda tidak mengaktifkan `eks:ListAccessEntries` tindakan, maka Anda harus melewati `--skip cluster-access-validation` bendera saat menjalankan `nodeadm init` perintah.
+ [Izin untuk kubelet untuk menggunakan image container dari Amazon Elastic Container Registry (Amazon ECR) seperti yang didefinisikan dalam kebijakan Amazon. EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)
+ Jika menggunakan AWS SSM, izin `nodeadm init` untuk menggunakan aktivasi hibrida AWS SSM seperti yang ditentukan dalam kebijakan. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)
+ Jika menggunakan AWS SSM, izin untuk menggunakan `ssm:DeregisterManagedInstance` tindakan dan `ssm:DescribeInstanceInformation` tindakan `nodeadm uninstall` untuk membatalkan pendaftaran instance.
+ (Opsional) Izin untuk Amazon EKS Pod Identity Agent untuk menggunakan `eks-auth:AssumeRoleForPodIdentity` action tersebut guna mengambil kredensial Pod.

## Siapkan AWS aktivasi hibrida SSM
<a name="hybrid-nodes-ssm"></a>

Sebelum menyiapkan aktivasi hybrid AWS SSM, Anda harus memiliki peran IAM Hybrid Nodes yang dibuat dan dikonfigurasi. Untuk informasi selengkapnya, lihat [Buat peran IAM Hybrid Nodes](#hybrid-nodes-create-role). Ikuti petunjuk di [Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) di Panduan Pengguna AWS Systems Manager untuk membuat aktivasi hibrida AWS SSM untuk node hybrid Anda. Kode Aktivasi dan ID yang Anda terima digunakan `nodeadm` saat Anda mendaftarkan host Anda sebagai node hibrida dengan kluster Amazon EKS Anda. Anda dapat kembali ke langkah ini di lain waktu setelah Anda membuat dan menyiapkan kluster Amazon EKS Anda untuk node hibrida.

**penting**  
Systems Manager akan segera mengembalikan Kode Aktivasi dan ID ke konsol atau jendela perintah, tergantung pada bagaimana Anda membuat aktivasi. Salin informasi ini dan simpan di tempat yang aman. Jika Anda menavigasi keluar dari konsol atau menutup jendela perintah, Anda mungkin kehilangan informasi ini. Jika Anda kehilangannya, Anda harus membuat aktivasi baru.

Secara default, aktivasi hibrida AWS SSM aktif selama 24 jam. Anda juga dapat menentukan `--expiration-date` kapan Anda membuat aktivasi hibrida dalam format stempel waktu, seperti. `2024-08-01T00:00:00` Saat Anda menggunakan AWS SSM sebagai penyedia kredensi Anda, nama node untuk node hibrida Anda tidak dapat dikonfigurasi, dan dibuat secara otomatis oleh SSM. AWS Anda dapat melihat dan mengelola Instans Terkelola AWS SSM di konsol AWS Systems Manager di bawah Fleet Manager. Anda dapat mendaftarkan hingga 1.000 [node standar yang diaktifkan hibrida](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) per akun per AWS Wilayah tanpa biaya tambahan. Namun, mendaftarkan lebih dari 1.000 node hybrid mengharuskan Anda mengaktifkan tingkat instance lanjutan. Ada biaya untuk menggunakan tingkat instans lanjutan yang tidak termasuk dalam harga [Amazon EKS](https://aws.amazon.com/eks/pricing/) Hybrid Nodes. Untuk informasi selengkapnya, lihat [Harga AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).

Lihat contoh di bawah ini untuk cara membuat aktivasi hybrid AWS SSM dengan peran IAM Hybrid Nodes Anda. Saat Anda menggunakan aktivasi hibrida AWS SSM untuk kredensil node hybrid Anda, nama-nama node hibrida Anda akan memiliki format `mi-012345678abcdefgh` dan kredenal sementara yang disediakan oleh SSM berlaku selama 1 jam. AWS Anda tidak dapat mengubah nama node atau durasi kredensi saat menggunakan AWS SSM sebagai penyedia kredensi Anda. Kredensi sementara secara otomatis diputar oleh AWS SSM dan rotasi tidak memengaruhi status node atau aplikasi Anda.

Kami menyarankan Anda menggunakan satu aktivasi hibrida AWS SSM per kluster EKS untuk cakupan `ssm:DeregisterManagedInstance` izin AWS SSM dari peran IAM Hybrid Nodes agar hanya dapat membatalkan pendaftaran instance yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam contoh di halaman ini, tag dengan ARN cluster EKS digunakan, yang dapat digunakan untuk memetakan aktivasi hibrida AWS SSM Anda ke cluster EKS. Sebagai alternatif, Anda dapat menggunakan tag dan metode pilihan Anda untuk melingkupi izin AWS SSM berdasarkan batasan dan persyaratan izin Anda. `REGISTRATION_LIMIT`Opsi dalam perintah di bawah ini adalah bilangan bulat yang digunakan untuk membatasi jumlah mesin yang dapat menggunakan aktivasi hibrida AWS SSM (misalnya) `10`

```
aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT
```

Tinjau instruksi tentang [Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) untuk informasi lebih lanjut tentang pengaturan konfigurasi yang tersedia untuk aktivasi hibrida AWS SSM.

## Siapkan Peran AWS IAM Di Mana Saja
<a name="hybrid-nodes-iam-roles-anywhere"></a>

Ikuti petunjuk di [Memulai Peran IAM Di Mana Saja](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) di Panduan Pengguna IAM Roles Anywhere untuk menyiapkan jangkar kepercayaan dan profil yang akan Anda gunakan untuk kredenal IAM sementara untuk peran IAM Hybrid Nodes Anda. Saat Anda membuat profil, Anda dapat membuatnya tanpa menambahkan peran apa pun. Anda dapat membuat profil ini, kembali ke langkah-langkah ini untuk membuat peran IAM Hybrid Nodes Anda, dan kemudian menambahkan peran Anda ke profil Anda setelah dibuat. Anda dapat menggunakan AWS CloudFormation langkah-langkah selanjutnya di halaman ini untuk menyelesaikan penyiapan IAM Roles Anywhere Anda untuk node hybrid.

Saat Anda menambahkan peran IAM Hybrid Nodes ke profil Anda, pilih **Terima nama sesi peran kustom di panel Nama** **sesi peran kustom** di bagian bawah halaman **Edit profil** di konsol AWS IAM Roles Anywhere. Ini sesuai dengan bidang [acceptRoleSessionNama](https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html#rolesanywhere-CreateProfile-request-acceptRoleSessionName) `CreateProfile` API. Ini memungkinkan Anda untuk memberikan nama node khusus untuk node hybrid Anda dalam konfigurasi yang Anda berikan `nodeadm` selama proses bootstrap. Meneruskan nama node kustom selama `nodeadm init` proses diperlukan. Anda dapat memperbarui profil Anda untuk menerima nama sesi peran khusus setelah membuat profil Anda.

Anda dapat mengonfigurasi durasi validitas kredensi dengan AWS IAM Roles Anywhere melalui bidang DurationSeconds pada profil IAM Roles [Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-create-session#credentials-object) Anda. AWS Durasi default adalah 1 jam dengan maksimal 12 jam. `MaxSessionDuration`Pengaturan pada peran IAM Hybrid Nodes Anda harus lebih besar dari `durationSeconds` pengaturan pada profil AWS IAM Roles Anywhere Anda. Untuk informasi selengkapnya`MaxSessionDuration`, lihat [dokumentasi UpdateRole API](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateRole.html).

Sertifikat dan kunci per mesin yang Anda hasilkan dari otoritas sertifikat (CA) Anda harus ditempatkan di `/etc/iam/pki` direktori pada setiap node hibrida dengan nama file `server.pem` untuk sertifikat dan `server.key` untuk kunci.

## Buat peran IAM Hybrid Nodes
<a name="hybrid-nodes-create-role"></a>

Untuk menjalankan langkah-langkah di bagian ini, prinsipal IAM yang menggunakan AWS konsol atau AWS CLI harus memiliki izin berikut.
+  `iam:CreatePolicy` 
+  `iam:CreateRole` 
+  `iam:AttachRolePolicy` 
+ Jika menggunakan Peran AWS IAM Di Mana Saja
  +  `rolesanywhere:CreateTrustAnchor` 
  +  `rolesanywhere:CreateProfile` 
  +  `iam:PassRole` 

### AWS CloudFormation
<a name="hybrid-nodes-creds-cloudformation"></a>

Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat [Menginstal atau memperbarui ke versi terakhir AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

 **Langkah-langkah untuk aktivasi hibrida AWS SSM** 

 CloudFormation Tumpukan membuat Peran IAM Hybrid Nodes dengan izin yang diuraikan di atas. CloudFormation Template tidak membuat aktivasi hibrida AWS SSM.

1. Unduh CloudFormation template AWS SSM untuk node hybrid:

   ```
   curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
   ```

1. Buat `cfn-ssm-parameters.json` dengan opsi berikut:

   1. Ganti `ROLE_NAME` dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan `AmazonEKSHybridNodesRole` sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.

   1. Ganti `TAG_KEY` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, `TAG_KEY` default ke. `EKSClusterARN`

   1. Ganti `TAG_VALUE` dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default `TAG_KEY` dari`EKSClusterARN`, maka berikan ARN cluster EKS Anda sebagai ARN. `TAG_VALUE` Kluster EKS ARNs memiliki format` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.

      ```
      {
        "Parameters": {
          "RoleName": "ROLE_NAME",
          "SSMDeregisterConditionTagKey": "TAG_KEY",
          "SSMDeregisterConditionTagValue": "TAG_VALUE"
        }
      }
      ```

1. Menyebarkan CloudFormation tumpukan. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan.

   ```
   aws cloudformation deploy \
       --stack-name STACK_NAME \
       --template-file hybrid-ssm-cfn.yaml \
       --parameter-overrides file://cfn-ssm-parameters.json \
       --capabilities CAPABILITY_NAMED_IAM
   ```

 **Langkah-langkah untuk Peran AWS IAM Di Mana Saja** 

 CloudFormation Tumpukan membuat jangkar kepercayaan AWS IAM Roles Anywhere dengan certificate authority (CA) yang Anda konfigurasikan, membuat profil AWS IAM Roles Anywhere, dan membuat peran IAM Hybrid Nodes dengan izin yang diuraikan sebelumnya.

1. Untuk mengatur otoritas sertifikat (CA)

   1. Untuk menggunakan sumber daya CA AWS Pribadi, buka [konsol AWS Private Certificate Authority](https://console.aws.amazon.com/acm-pca/home). Ikuti petunjuk di [Panduan Pengguna CA AWS Pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

   1. Untuk menggunakan CA eksternal, ikuti instruksi yang diberikan oleh CA. Anda memberikan badan sertifikat di langkah selanjutnya.

   1. Sertifikat yang dikeluarkan dari publik CAs tidak dapat digunakan sebagai jangkar kepercayaan.

1. Unduh CloudFormation template AWS IAM Roles Anywhere untuk node hybrid

   ```
   curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
   ```

1. Buat `cfn-iamra-parameters.json` dengan opsi berikut:

   1. Ganti `ROLE_NAME` dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan `AmazonEKSHybridNodesRole` sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.

   1. Ganti `CERT_ATTRIBUTE` dengan atribut sertifikat per-mesin yang secara unik mengidentifikasi host Anda. Atribut certificate yang Anda gunakan harus cocok dengan nodeName yang Anda gunakan untuk `nodeadm` konfigurasi saat Anda menghubungkan node hybrid ke cluster Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md). Secara default, CloudFormation template menggunakan `${aws:PrincipalTag/x509Subject/CN}` sebagai`CERT_ATTRIBUTE`, yang sesuai dengan bidang CN sertifikat per-mesin Anda. Anda bisa lolos `$(aws:PrincipalTag/x509SAN/Name/CN}` sebagai milik Anda`CERT_ATTRIBUTE`.

   1. Ganti `CA_CERT_BODY` dengan badan sertifikat CA Anda tanpa jeda baris. `CA_CERT_BODY`Harus dalam format Privacy Enhanced Mail (PEM). Jika Anda memiliki sertifikat CA dalam format PEM, hapus jeda baris dan MULAI SERTIFIKAT dan AKHIR SERTIFIKAT sebelum menempatkan badan sertifikat CA di `cfn-iamra-parameters.json` file Anda.

      ```
      {
        "Parameters": {
          "RoleName": "ROLE_NAME",
          "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
          "CABundleCert": "CA_CERT_BODY"
        }
      }
      ```

1. Menyebarkan CloudFormation template. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan.

   ```
   aws cloudformation deploy \
       --stack-name STACK_NAME \
       --template-file hybrid-ira-cfn.yaml \
       --parameter-overrides file://cfn-iamra-parameters.json
       --capabilities CAPABILITY_NAMED_IAM
   ```

### AWS CLI
<a name="hybrid-nodes-creds-awscli"></a>

Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat [Menginstal atau memperbarui ke versi terakhir AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

 **Buat EKS Jelaskan Kebijakan Cluster** 

1. Buat file bernama `eks-describe-cluster-policy.json` dengan konten berikut:

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "eks:DescribeCluster"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. Buat kebijakan dengan perintah berikut:

   ```
   aws iam create-policy \
       --policy-name EKSDescribeClusterPolicy \
       --policy-document file://eks-describe-cluster-policy.json
   ```

 **Langkah-langkah untuk aktivasi hibrida AWS SSM** 

1. Buat file bernama `eks-hybrid-ssm-policy.json` dengan isi berikut ini. Kebijakan tersebut memberikan izin untuk dua tindakan `ssm:DescribeInstanceInformation` dan`ssm:DeregisterManagedInstance`. Kebijakan ini membatasi `ssm:DeregisterManagedInstance` izin untuk instans terkelola AWS SSM yang terkait dengan aktivasi hibrida AWS SSM Anda berdasarkan tag sumber daya yang Anda tentukan dalam kebijakan kepercayaan Anda.

   1. Ganti `AWS_REGION` dengan AWS Region untuk aktivasi hybrid AWS SSM Anda.

   1. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.

   1. Ganti `TAG_KEY` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, `TAG_KEY` default ke. `EKSClusterARN`

   1. Ganti `TAG_VALUE` dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default `TAG_KEY` dari`EKSClusterARN`, maka berikan ARN cluster EKS Anda sebagai ARN. `TAG_VALUE` Kluster EKS ARNs memiliki format` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "ssm:DescribeInstanceInformation",
                  "Resource": "*"
              },
              {
                  "Effect": "Allow",
                  "Action": "ssm:DeregisterManagedInstance",
                  "Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
                  "Condition": {
                      "StringEquals": {
                          "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                      }
                  }
              }
          ]
      }
      ```

1. Buat kebijakan dengan perintah berikut

   ```
   aws iam create-policy \
       --policy-name EKSHybridSSMPolicy \
       --policy-document file://eks-hybrid-ssm-policy.json
   ```

1. Buat file bernama `eks-hybrid-ssm-trust.json`. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"123456789012"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
               }
            }
         }
      ]
   }
   ```

1. Buat peran dengan perintah berikut.

   ```
   aws iam create-role \
       --role-name AmazonEKSHybridNodesRole \
       --assume-role-policy-document file://eks-hybrid-ssm-trust.json
   ```

1. Lampirkan `EKSDescribeClusterPolicy` dan yang `EKSHybridSSMPolicy` Anda buat di langkah sebelumnya. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
   ```

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
   ```

1. Lampirkan `AmazonEC2ContainerRegistryPullOnly` dan kebijakan yang `AmazonSSMManagedInstanceCore` AWS dikelola.

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
   ```

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

 **Langkah-langkah untuk Peran AWS IAM Di Mana Saja** 

Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) untuk instruksi.

1. Buat file bernama `eks-hybrid-iamra-trust.json`. Ganti `TRUST_ANCHOR ARN` dengan ARN dari jangkar kepercayaan yang Anda buat di langkah-langkahnya. [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan kepercayaan harus sesuai dengan yang `nodeName` Anda tetapkan dalam `nodeadm` konfigurasi Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md).

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "rolesanywhere.amazonaws.com"
               },
               "Action": [
                   "sts:TagSession",
                   "sts:SetSourceIdentity"
               ],
               "Condition": {
                   "StringEquals": {
                       "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "rolesanywhere.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
                       "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                   }
               }
           }
       ]
   }
   ```

1. Buat peran dengan perintah berikut.

   ```
   aws iam create-role \
       --role-name AmazonEKSHybridNodesRole \
       --assume-role-policy-document file://eks-hybrid-iamra-trust.json
   ```

1. Lampirkan yang `EKSDescribeClusterPolicy` Anda buat di langkah sebelumnya. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
   ```

1. Lampirkan kebijakan `AmazonEC2ContainerRegistryPullOnly` AWS terkelola

   ```
   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
   ```

### Konsol Manajemen AWS
<a name="hybrid-nodes-creds-console"></a>

 **Buat EKS Jelaskan Kebijakan Cluster** 

1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home) 

1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.

1. Pada halaman **Kebijakan**, pilih **Buat kebijakan**.

1. Pada halaman Tentukan izin, di panel Pilih layanan, pilih EKS.

   1. Filter tindakan untuk **DescribeCluster**dan pilih tindakan **DescribeCluster**Baca.

   1. Pilih **Berikutnya**.

1. Pada halaman **Review dan buat**

   1. Masukkan **nama Kebijakan** untuk kebijakan Anda seperti`EKSDescribeClusterPolicy`.

   1. Pilih **Buat kebijakan**.

 **Langkah-langkah untuk aktivasi hibrida AWS SSM** 

1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home) 

1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.

1. Pada **halaman Kebijakan**, pilih **Buat kebijakan**.

1. Pada halaman **Tentukan izin**, di navigasi kanan atas **editor Kebijakan**, pilih **JSON**. Tempel cuplikan berikut. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda. Ganti `TAG_KEY` dan `TAG_VALUE` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda.

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "ssm:DescribeInstanceInformation",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "ssm:DeregisterManagedInstance",
               "Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
               "Condition": {
                   "StringEquals": {
                       "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                   }
               }
           }
       ]
   }
   ```

   1. Pilih **Berikutnya**.

1. Pada halaman **Review dan Create**.

   1. Masukkan nama **Kebijakan** untuk kebijakan Anda seperti `EKSHybridSSMPolicy` 

   1. Pilih **Buat Kebijakan**.

1. Di panel navigasi sebelah kiri, pilih **Peran**.

1. Pada halaman **Peran**, pilih **Buat peran**.

1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:

   1. Di bagian Jenis **entitas tepercaya**, pilih **Kebijakan kepercayaan khusus**. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Sid":"",
               "Effect":"Allow",
               "Principal":{
                  "Service":"ssm.amazonaws.com"
               },
               "Action":"sts:AssumeRole",
               "Condition":{
                  "StringEquals":{
                     "aws:SourceAccount":"123456789012"
                  },
                  "ArnEquals":{
                     "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
                  }
               }
            }
         ]
      }
      ```

   1. Pilih Berikutnya.

1. Pada halaman **Tambahkan izin**, lampirkan kebijakan khusus atau lakukan hal berikut:

   1. Di kotak **Filter kebijakan**, masukkan`EKSDescribeClusterPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

   1. Di kotak **Filter kebijakan**, masukkan`EKSHybridSSMPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

   1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEC2ContainerRegistryPullOnly`. Pilih kotak centang di sebelah kiri `AmazonEC2ContainerRegistryPullOnly` dalam hasil pencarian.

   1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonSSMManagedInstanceCore`. Pilih kotak centang di sebelah kiri `AmazonSSMManagedInstanceCore` dalam hasil pencarian.

   1. Pilih **Berikutnya**.

1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:

   1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSHybridNodesRole`.

   1. Untuk **Deskripsi**, ganti teks saat ini dengan teks deskriptif seperti`Amazon EKS - Hybrid Nodes role`.

   1. Pilih **Buat peran**.

 **Langkah-langkah untuk Peran AWS IAM Di Mana Saja** 

Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) untuk instruksi.

1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home) 

1. Di panel navigasi sebelah kiri, pilih **Peran**.

1. Pada halaman **Peran**, pilih **Buat peran**.

1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:

   1. Di **bagian Jenis entitas tepercaya**, pilih **Kebijakan kepercayaan khusus**. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti `TRUST_ANCHOR ARN` dengan ARN dari jangkar kepercayaan yang Anda buat di langkah-langkahnya. [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan trust harus sesuai dengan NodeName yang Anda tetapkan dalam konfigurasi nodeadm Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md).

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "rolesanywhere.amazonaws.com"
                  },
                  "Action": [
                      "sts:TagSession",
                      "sts:SetSourceIdentity"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                      },
                      "ArnEquals": {
                          "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                      }
                  }
              },
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "rolesanywhere.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
                          "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                      },
                      "ArnEquals": {
                          "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                      }
                  }
              }
          ]
      }
      ```

   1. Pilih Berikutnya.

1. Pada halaman **Tambahkan izin**, lampirkan kebijakan khusus atau lakukan hal berikut:

   1. Di kotak **Filter kebijakan**, masukkan`EKSDescribeClusterPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

   1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEC2ContainerRegistryPullOnly`. Pilih kotak centang di sebelah kiri `AmazonEC2ContainerRegistryPullOnly` dalam hasil pencarian.

   1. Pilih **Berikutnya**.

1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:

   1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSHybridNodesRole`.

   1. Untuk **Deskripsi**, ganti teks saat ini dengan teks deskriptif seperti`Amazon EKS - Hybrid Nodes role`.

   1. Pilih **Buat peran**.

# Buat klaster Amazon EKS dengan node hybrid
<a name="hybrid-nodes-cluster-create"></a>

Topik ini memberikan ikhtisar opsi yang tersedia dan menjelaskan apa yang harus dipertimbangkan saat Anda membuat klaster Amazon EKS berkemampuan node hibrida. EKS Hybrid Nodes memiliki dukungan [versi Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html) yang sama dengan cluster Amazon EKS dengan node cloud, termasuk dukungan standar dan diperpanjang.

Jika Anda tidak berencana menggunakan EKS Hybrid Nodes, lihat dokumentasi klaster Amazon EKS utama yang membuat di[Buat kluster Amazon EKS](create-cluster.md).

## Prasyarat
<a name="hybrid-nodes-cluster-create-prep"></a>
+ [Pengaturan prasyarat untuk node hybrid](hybrid-nodes-prereqs.md)Selesai. Sebelum Anda membuat klaster berkemampuan node hibrid, node lokal dan pod Anda harus diidentifikasi secara opsional CIDRs , VPC dan subnet Anda dibuat sesuai dengan persyaratan EKS, dan persyaratan node hibrid, dan grup keamanan Anda dengan aturan masuk untuk pod lokal dan opsional Anda. CIDRs Untuk informasi lebih lanjut tentang prasyarat ini, lihat. [Mempersiapkan jaringan untuk node hybrid](hybrid-nodes-networking.md)
+ Versi terbaru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda. Untuk memeriksa versi Anda saat ini, gunakan`aws --version`. Package manager seperti yum, apt-get, atau Homebrew untuk macOS seringkali merupakan beberapa versi di belakang versi terbaru CLI. AWS Untuk menginstal versi terbaru, lihat [Menginstal atau memperbarui ke versi terakhir CLI dan Mengkonfigurasi pengaturan untuk AWSAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) [di Panduan Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) Antarmuka Baris AWS Perintah.
+ [Prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles#iam-term-principal) dengan izin untuk membuat peran IAM dan melampirkan kebijakan, serta membuat dan mendeskripsikan kluster EKS

## Pertimbangan-pertimbangan
<a name="hybrid-nodes-cluster-create-consider"></a>
+ Cluster Anda harus menggunakan salah satu `API` atau `API_AND_CONFIG_MAP` untuk mode otentikasi cluster.
+ Cluster Anda harus menggunakan keluarga IPv4 alamat.
+ Cluster Anda harus menggunakan konektivitas titik akhir klaster Publik atau Pribadi. Cluster Anda tidak dapat menggunakan konektivitas endpoint klaster “Publik dan Pribadi”, karena endpoint server Amazon EKS Kubernetes API akan menyelesaikan ke publik IPs untuk node hybrid yang berjalan di luar VPC Anda.
+ Otentikasi OIDC didukung untuk kluster EKS dengan node hybrid.
+ Anda dapat menambahkan, mengubah, atau menghapus konfigurasi node hybrid dari cluster yang ada. Untuk informasi selengkapnya, lihat [Aktifkan node hibrid pada kluster Amazon EKS yang ada atau ubah konfigurasi](hybrid-nodes-cluster-update.md).

## Langkah 1: Buat peran IAM cluster
<a name="hybrid-nodes-cluster-create-iam"></a>

Jika Anda sudah memiliki peran IAM cluster, atau Anda akan membuat cluster Anda dengan `eksctl` atau AWS CloudFormation, maka Anda dapat melewati langkah ini. Secara default, `eksctl` dan AWS CloudFormation template membuat peran IAM cluster untuk Anda.

1. Jalankan perintah berikut untuk membuat file JSON kebijakan kepercayaan IAM.

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "eks.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

1. Buat peran IAM cluster Amazon EKS. Jika perlu, kata pengantar eks-cluster-role-trust -policy.json dengan jalur di komputer Anda tempat Anda menulis file di langkah sebelumnya. Perintah tersebut mengaitkan kebijakan kepercayaan yang Anda buat pada langkah sebelumnya dengan peran tersebut. Untuk membuat peran IAM, [prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles#iam-term-principal) yang membuat peran harus diberi `iam:CreateRole` tindakan (izin).

   ```
   aws iam create-role \
       --role-name myAmazonEKSClusterRole \
       --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"
   ```

1. Anda dapat menetapkan kebijakan terkelola Amazon EKS atau membuat kebijakan kustom Anda sendiri. Untuk izin minimum yang harus Anda gunakan dalam kebijakan kustom Anda, lihat[IAM role simpul Amazon EKS](create-node-role.md). Lampirkan kebijakan terkelola Amazon EKS yang diberi nama `AmazonEKSClusterPolicy` ke peran tersebut. Untuk melampirkan kebijakan IAM ke kepala sekolah [IAM, prinsipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles#iam-term-principal) yang melampirkan kebijakan harus diberikan salah satu tindakan IAM berikut (izin): atau. `iam:AttachUserPolicy` `iam:AttachRolePolicy`

   ```
   aws iam attach-role-policy \
       --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
       --role-name myAmazonEKSClusterRole
   ```

## Langkah 2: Buat cluster berkemampuan node hybrid
<a name="hybrid-nodes-cluster-create-cluster"></a>

Anda dapat membuat cluster dengan menggunakan:
+  [eksctl](#hybrid-nodes-cluster-create-eksctl) 
+  [AWS CloudFormation](#hybrid-nodes-cluster-create-cfn) 
+  [AWS CLI](#hybrid-nodes-cluster-create-cli) 
+  [Konsol Manajemen AWS](#hybrid-nodes-cluster-create-console) 

### Buat cluster berkemampuan node hybrid - eksctl
<a name="hybrid-nodes-cluster-create-eksctl"></a>

Anda perlu menginstal versi terbaru dari alat baris `eksctl` perintah. Untuk menginstal atau memperbarui`eksctl`, lihat [Instalasi](https://eksctl.io/installation) dalam `eksctl` dokumentasi.

1. Buat `cluster-config.yaml` untuk menentukan cluster Amazon IPv4 EKS berkemampuan node hybrid. Buat penggantian berikut di Anda`cluster-config.yaml`. Untuk daftar lengkap pengaturan, lihat dokumentasi [eksctl](https://eksctl.io/getting-started/).

   1. Ganti `CLUSTER_NAME` dengan nama untuk cluster Anda. Nama hanya dapat berisi karakter alfanumerik (peka huruf besar/kecil) dan tanda hubung. Itu harus dimulai dengan karakter alfanumerik dan tidak boleh lebih dari 100 karakter. Nama harus unik di dalam AWS Wilayah dan AWS akun tempat Anda membuat klaster.

   1. Ganti `AWS_REGION` dengan AWS Region tempat Anda ingin membuat cluster Anda.

   1. Ganti `K8S_VERSION` dengan [versi yang didukung Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html).

   1. Ganti `CREDS_PROVIDER` dengan `ssm` atau `ira` berdasarkan penyedia kredensi yang Anda konfigurasikan dalam langkah-langkahnya. [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md)

   1. Ganti `CA_BUNDLE_CERT` jika penyedia kredensi Anda disetel ke`ira`, yang menggunakan AWS IAM Roles Anywhere sebagai penyedia kredensi. CA\$1BUNDLE\$1CERT adalah badan sertifikat otoritas sertifikat (CA) dan tergantung pada pilihan CA Anda. Sertifikat harus dalam format Privacy Enhanced Mail (PEM).

   1. Ganti `GATEWAY_ID` dengan ID gateway pribadi virtual atau gateway transit Anda untuk dilampirkan ke VPC Anda.

   1. Ganti `REMOTE_NODE_CIDRS` dengan simpul lokal CIDR untuk node hibrid Anda.

   1. Ganti `REMOTE_POD_CIDRS` dengan pod CIDR lokal untuk beban kerja yang berjalan pada node hybrid atau hapus baris dari konfigurasi Anda jika Anda tidak menjalankan webhook pada node hybrid. Anda harus mengonfigurasi `REMOTE_POD_CIDRS` jika CNI Anda tidak menggunakan Network Address Translation (NAT) atau menyamar untuk alamat IP pod saat lalu lintas pod meninggalkan host lokal Anda. Anda harus mengonfigurasi `REMOTE_POD_CIDRS` jika Anda menjalankan webhook pada node hybrid, lihat [Konfigurasikan webhook untuk node hybrid](hybrid-nodes-webhooks.md) untuk informasi lebih lanjut.

   1. Blok CIDR node dan pod lokal Anda harus memenuhi persyaratan berikut:

      1. Berada dalam salah satu rentang IPv4 RFC-1918:`10.0.0.0/8`,, atau `172.16.0.0/12``192.168.0.0/16`, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598:. `100.64.0.0/10`

      1. Tidak tumpang tindih satu sama lain, `VPC CIDR` untuk klaster Anda, atau CIDR layanan Kubernetes Anda IPv4 

         ```
         apiVersion: eksctl.io/v1alpha5
         kind: ClusterConfig
         
         metadata:
           name: CLUSTER_NAME
           region: AWS_REGION
           version: "K8S_VERSION"
         
         remoteNetworkConfig:
           iam:
             provider: CREDS_PROVIDER # default SSM, can also be set to IRA
             # caBundleCert: CA_BUNDLE_CERT
           vpcGatewayID: GATEWAY_ID
           remoteNodeNetworks:
           - cidrs: ["REMOTE_NODE_CIDRS"]
           remotePodNetworks:
           - cidrs: ["REMOTE_POD_CIDRS"]
         ```

1. Jalankan perintah berikut:

   ```
   eksctl create cluster -f cluster-config.yaml
   ```

   Penyediaan klaster memerlukan waktu beberapa menit. Saat cluster sedang dibuat, beberapa baris output muncul. Baris terakhir output mirip dengan baris contoh berikut.

   ```
   [✓]  EKS cluster "CLUSTER_NAME" in "REGION" region is ready
   ```

1. Lanjutkan dengan [Langkah 3: Perbarui kubeconfig](#hybrid-nodes-cluster-create-kubeconfig).

### Buat cluster berkemampuan node hybrid - AWS CloudFormation
<a name="hybrid-nodes-cluster-create-cfn"></a>

 CloudFormation Tumpukan membuat peran IAM kluster EKS dan cluster EKS dengan `RemoteNodeNetwork` dan `RemotePodNetwork` Anda tentukan. Ubah CloudFormation template Jika Anda perlu menyesuaikan pengaturan untuk kluster EKS Anda yang tidak terekspos di CloudFormation template.

1. Unduh CloudFormation template.

   ```
   curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-eks-cfn.yaml'
   ```

1. Buat `cfn-eks-parameters.json` dan tentukan konfigurasi Anda untuk setiap nilai.

   1.  `CLUSTER_NAME`: nama cluster EKS yang akan dibuat

   1.  `CLUSTER_ROLE_NAME`: nama peran IAM cluster EKS yang akan dibuat. Default dalam template adalah “EKSClusterPeran”.

   1.  `SUBNET1_ID`: ID subnet pertama yang Anda buat dalam langkah-langkah prasyarat

   1.  `SUBNET2_ID`: ID subnet kedua yang Anda buat dalam langkah-langkah prasyarat

   1.  `SG_ID`: ID grup keamanan yang Anda buat dalam langkah-langkah prasyarat

   1.  `REMOTE_NODE_CIDRS`: simpul lokal CIDR untuk node hybrid Anda

   1.  `REMOTE_POD_CIDRS`: pod CIDR lokal untuk beban kerja yang berjalan pada node hybrid. Anda harus mengonfigurasi `REMOTE_POD_CIDRS` jika CNI Anda tidak menggunakan Network Address Translation (NAT) atau menyamar untuk alamat IP pod saat lalu lintas pod meninggalkan host lokal Anda. Anda harus mengonfigurasi `REMOTE_POD_CIDRS` jika Anda menjalankan webhook pada node hybrid, lihat [Konfigurasikan webhook untuk node hybrid](hybrid-nodes-webhooks.md) untuk informasi lebih lanjut.

   1. Blok CIDR node dan pod lokal Anda harus memenuhi persyaratan berikut:

      1. Berada dalam salah satu rentang IPv4 RFC-1918:`10.0.0.0/8`,, atau `172.16.0.0/12``192.168.0.0/16`, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598:. `100.64.0.0/10`

      1. Tidak tumpang tindih satu sama lain, `VPC CIDR` untuk klaster Anda, atau CIDR layanan Kubernetes Anda. IPv4 

   1.  `CLUSTER_AUTH`: mode otentikasi cluster untuk cluster Anda. Nilai yang valid adalah `API` dan `API_AND_CONFIG_MAP`. Default dalam template adalah`API_AND_CONFIG_MAP`.

   1.  `CLUSTER_ENDPOINT`: konektivitas titik akhir cluster untuk cluster Anda. Nilai yang valid adalah “Publik” dan “Pribadi”. Default dalam template adalah Private, yang berarti Anda hanya akan dapat terhubung ke endpoint API Kubernetes dari dalam VPC Anda.

   1.  `K8S_VERSION`: versi Kubernetes yang akan digunakan untuk klaster Anda. Lihat [versi yang didukung Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html).

      ```
      {
        "Parameters": {
          "ClusterName": "CLUSTER_NAME",
          "ClusterRoleName": "CLUSTER_ROLE_NAME",
          "SubnetId1": "SUBNET1_ID",
          "SubnetId2": "SUBNET2_ID",
          "SecurityGroupId" "SG_ID",
          "RemoteNodeCIDR": "REMOTE_NODE_CIDRS",
          "RemotePodCIDR": "REMOTE_POD_CIDRS",
          "ClusterAuthMode": "CLUSTER_AUTH",
          "ClusterEndpointConnectivity": "CLUSTER_ENDPOINT",
          "K8sVersion": "K8S_VERSION"
        }
       }
      ```

1. Menyebarkan CloudFormation tumpukan. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan dan `AWS_REGION` dengan AWS Wilayah Anda di mana cluster akan dibuat.

   ```
   aws cloudformation deploy \
       --stack-name STACK_NAME \
       --region AWS_REGION \
       --template-file hybrid-eks-cfn.yaml \
       --parameter-overrides file://cfn-eks-parameters.json \
       --capabilities CAPABILITY_NAMED_IAM
   ```

   Penyediaan klaster memerlukan waktu beberapa menit. Anda dapat memeriksa status tumpukan Anda dengan perintah berikut. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan dan `AWS_REGION` dengan AWS Wilayah Anda di mana cluster akan dibuat.

   ```
   aws cloudformation describe-stacks \
       --stack-name STACK_NAME \
       --region AWS_REGION \
       --query 'Stacks[].StackStatus'
   ```

1. Lanjutkan dengan [Langkah 3: Perbarui kubeconfig](#hybrid-nodes-cluster-create-kubeconfig).

### Buat cluster berkemampuan node hybrid - CLI AWS
<a name="hybrid-nodes-cluster-create-cli"></a>

1. Jalankan perintah berikut untuk membuat cluster EKS berkemampuan node hybrid. Sebelum menjalankan perintah, ganti yang berikut ini dengan pengaturan Anda. Untuk daftar lengkap pengaturan, lihat [Buat kluster Amazon EKS](create-cluster.md) dokumentasi.

   1.  `CLUSTER_NAME`: nama cluster EKS yang akan dibuat

   1.  `AWS_REGION`: AWS Wilayah tempat cluster akan dibuat.

   1.  `K8S_VERSION`: versi Kubernetes yang akan digunakan untuk klaster Anda. Lihat versi yang didukung Amazon EKS.

   1.  `ROLE_ARN`: peran klaster Amazon EKS yang Anda konfigurasikan untuk cluster Anda. Lihat peran IAM klaster Amazon EKS untuk informasi selengkapnya.

   1.  `SUBNET1_ID`: ID subnet pertama yang Anda buat dalam langkah-langkah prasyarat

   1.  `SUBNET2_ID`: ID subnet kedua yang Anda buat dalam langkah-langkah prasyarat

   1.  `SG_ID`: ID grup keamanan yang Anda buat dalam langkah-langkah prasyarat

   1. Anda dapat menggunakan `API` dan `API_AND_CONFIG_MAP` untuk mode otentikasi akses cluster Anda. Pada perintah di bawah ini, mode otentikasi akses cluster diatur ke`API_AND_CONFIG_MAP`.

   1. Anda dapat menggunakan `endpointPrivateAccess` parameter `endpointPublicAccess` dan untuk mengaktifkan atau menonaktifkan akses publik dan pribadi ke titik akhir server Kubernetes API klaster Anda. Dalam perintah di bawah `endpointPublicAccess` ini diatur ke false dan `endpointPrivateAccess` diatur ke true.

   1.  `REMOTE_NODE_CIDRS`: simpul lokal CIDR untuk node hybrid Anda.

   1.  `REMOTE_POD_CIDRS`(opsional): CIDR pod lokal untuk beban kerja yang berjalan pada node hybrid.

   1. Blok CIDR node dan pod lokal Anda harus memenuhi persyaratan berikut:

      1. Berada dalam salah satu rentang IPv4 RFC-1918:`10.0.0.0/8`,, atau `172.16.0.0/12``192.168.0.0/16`, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598:. `100.64.0.0/10`

      1. Tidak tumpang tindih satu sama lain, `VPC CIDR` untuk cluster Amazon EKS Anda, atau CIDR layanan Kubernetes Anda. IPv4 

         ```
         aws eks create-cluster \
             --name CLUSTER_NAME \
             --region AWS_REGION \
             --kubernetes-version K8S_VERSION \
             --role-arn ROLE_ARN \
             --resources-vpc-config subnetIds=SUBNET1_ID,SUBNET2_ID,securityGroupIds=SG_ID,endpointPrivateAccess=true,endpointPublicAccess=false \
             --access-config authenticationMode=API_AND_CONFIG_MAP \
             --remote-network-config '{"remoteNodeNetworks":[{"cidrs":["REMOTE_NODE_CIDRS"]}],"remotePodNetworks":[{"cidrs":["REMOTE_POD_CIDRS"]}]}'
         ```

1. Dibutuhkan beberapa menit untuk menyediakan cluster. Anda dapat melakukan kueri status klaster Anda dengan perintah berikut. Ganti `CLUSTER_NAME` dengan nama cluster yang Anda buat dan `AWS_REGION` dengan AWS Wilayah tempat cluster dibuat. Jangan lanjutkan ke langkah berikutnya sampai output yang dikembalikan`ACTIVE`.

   ```
   aws eks describe-cluster \
       --name CLUSTER_NAME \
       --region AWS_REGION \
       --query "cluster.status"
   ```

1. Lanjutkan dengan [Langkah 3: Perbarui kubeconfig](#hybrid-nodes-cluster-create-kubeconfig).

### Buat cluster berkemampuan node hybrid - Konsol Manajemen AWS
<a name="hybrid-nodes-cluster-create-console"></a>

1. Buka konsol Amazon EKS di konsol [Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih Add cluster dan kemudian pilih Create.

1. Pada halaman Configure cluster, masukkan bidang-bidang berikut:

   1.  **Nama** — Nama untuk klaster Anda. Nama hanya dapat berisi karakter alfanumerik (peka huruf besar/kecil), tanda hubung, dan garis bawah. Itu harus dimulai dengan karakter alfanumerik dan tidak boleh lebih dari 100 karakter. Nama harus unik di dalam AWS Wilayah dan AWS akun tempat Anda membuat klaster.

   1.  Peran **IAM Cluster — Pilih peran** IAM klaster Amazon EKS yang Anda buat untuk memungkinkan bidang kontrol Kubernetes mengelola AWS sumber daya atas nama Anda.

   1.  **Versi Kubernetes** — Versi Kubernetes untuk digunakan untuk klaster Anda. Sebaiknya pilih versi terbaru, kecuali jika Anda memerlukan versi sebelumnya.

   1.  **Kebijakan peningkatan** - Pilih Extended atau Standard.

      1.  **Diperpanjang:** Opsi ini mendukung versi Kubernetes selama 26 bulan setelah tanggal rilis. Periode dukungan yang diperpanjang memiliki biaya per jam tambahan yang dimulai setelah periode dukungan standar berakhir. Ketika dukungan diperpanjang berakhir, cluster Anda akan otomatis ditingkatkan ke versi berikutnya.

      1.  **Standar:** Opsi ini mendukung versi Kubernetes selama 14 bulan setelah tanggal rilis. Tidak ada biaya tambahan. Ketika dukungan standar berakhir, cluster Anda akan otomatis ditingkatkan ke versi berikutnya.

   1.  **Akses cluster** - pilih untuk mengizinkan atau melarang akses administrator cluster dan pilih mode otentikasi. Mode otentikasi berikut didukung untuk cluster berkemampuan node hybrid.

      1.  **EKS API**: Cluster akan mencari prinsip IAM yang diautentikasi hanya dari entri akses EKS. APIs

      1.  **EKS API dan ConfigMap**: Cluster akan mendapatkan prinsipal IAM yang diautentikasi dari entri akses EKS dan. APIs `aws-auth` ConfigMap

   1.  **Enkripsi rahasia** — (Opsional) Pilih untuk mengaktifkan enkripsi rahasia rahasia Kubernetes menggunakan kunci KMS. Anda juga dapat mengaktifkan ini setelah Anda membuat cluster Anda. Sebelum Anda mengaktifkan kemampuan ini, pastikan Anda terbiasa dengan informasi di dalamnya[Enkripsi rahasia Kubernetes dengan KMS di cluster yang ada](enable-kms.md).

   1.  **ARC zonal shift** - Jika diaktifkan, EKS akan mendaftarkan cluster Anda dengan ARC zonal shift untuk memungkinkan Anda menggunakan zonal shift untuk mengalihkan lalu lintas aplikasi dari AZ.

   1.  **Tanda** — (Opsional) Tambahkan tanda apapun ke klaster Anda. Untuk informasi selengkapnya, lihat [Mengatur sumber daya Amazon EKS dengan tag](eks-using-tags.md).

   1. Setelah selesai dengan halaman ini, pilih **Berikutnya**.

1. Pada halaman **Tentukan jaringan**, pilih nilai untuk kolom berikut:

   1.  **VPC — Pilih VPC** yang sudah ada yang memenuhi dan persyaratan [Lihat persyaratan jaringan Amazon EKS untuk VPC dan subnet](network-reqs.md) [Amazon EKS](hybrid-nodes-prereqs.md) Hybrid Nodes. Sebelum memilih VPC, sebaiknya Anda memahami semua persyaratan dan pertimbangan dalam persyaratan jaringan View Amazon EKS untuk VPC, subnet, dan node hybrid. Anda tidak dapat mengubah VPC mana yang ingin Anda gunakan setelah pembuatan cluster. Jika tidak VPCs terdaftar, maka Anda harus membuatnya terlebih dahulu. Untuk informasi selengkapnya, lihat [Buat VPC Amazon untuk kluster Amazon EKS Anda](creating-a-vpc.md) dan [persyaratan jaringan Amazon EKS Hybrid Nodes](hybrid-nodes-prereqs.md).

   1.  **Subnet** — Secara default, semua subnet yang tersedia di VPC yang ditentukan di bidang sebelumnya telah dipilih sebelumnya. Anda harus memilih setidaknya dua.

   1.  **Grup keamanan** — (Opsional) Tentukan satu atau beberapa grup keamanan yang ingin Anda kaitkan Amazon EKS ke antarmuka jaringan yang dibuatnya. Setidaknya salah satu grup keamanan yang Anda tentukan harus memiliki aturan masuk untuk node lokal dan pod opsional. CIDRs Lihat [persyaratan jaringan Amazon EKS Hybrid Nodes](hybrid-nodes-networking.md) untuk informasi selengkapnya. Apakah Anda memilih grup keamanan atau tidak, Amazon EKS membuat grup keamanan yang memungkinkan komunikasi antara cluster dan VPC Anda. Amazon EKS mengaitkan grup keamanan ini, dan apa pun yang Anda pilih, ke antarmuka jaringan yang dibuatnya. Untuk informasi selengkapnya tentang grup keamanan klaster yang dibuat Amazon EKS, lihat [Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md) Anda dapat mengubah aturan di grup keamanan klaster yang dibuat Amazon EKS.

   1.  **Pilih keluarga alamat IP cluster** — Anda harus memilih klaster IPv4 berkemampuan node hibrida.

   1. **(Opsional) Pilih **Konfigurasi rentang alamat IP Layanan Kubernetes dan tentukan rentang** Layanan. IPv4 **

   1.  **Pilih Konfigurasi jaringan jarak jauh untuk mengaktifkan node hibrid** dan tentukan node dan pod lokal Anda CIDRs untuk node hybrid.

   1. Anda harus mengonfigurasi CIDR pod jarak jauh jika CNI Anda tidak menggunakan Network Address Translation (NAT) atau menyamar untuk alamat IP pod saat lalu lintas pod meninggalkan host lokal Anda. Anda harus mengkonfigurasi pod jarak jauh CIDR jika Anda menjalankan webhook pada node hybrid.

   1. Blok CIDR node dan pod lokal Anda harus memenuhi persyaratan berikut:

      1. Berada dalam salah satu rentang IPv4 RFC-1918:`10.0.0.0/8`,, atau `172.16.0.0/12``192.168.0.0/16`, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598:. `100.64.0.0/10`

      1. Tidak tumpang tindih satu sama lain, `VPC CIDR` untuk klaster Anda, atau CIDR layanan Kubernetes Anda IPv4 

   1. Untuk **akses endpoint Cluster**, pilih opsi. Setelah cluster Anda dibuat, Anda dapat mengubah opsi ini. Untuk cluster berkemampuan node hybrid, Anda harus memilih Publik atau Pribadi. Sebelum memilih opsi non-default, pastikan untuk membiasakan diri dengan opsi dan implikasinya. Untuk informasi selengkapnya, lihat [Titik akhir server API kluster](cluster-endpoint.md).

   1. Setelah selesai dengan halaman ini, pilih **Berikutnya**.

1. (Opsional) Pada halaman **Konfigurasi** observabilitas, pilih opsi pencatatan bidang Metrik dan Kontrol mana yang akan diaktifkan. Secara default, setiap jenis log dimatikan.

   1. Untuk informasi selengkapnya tentang opsi metrik Prometheus, lihat. [Pantau metrik klaster Anda dengan Prometheus](prometheus.md)

   1. Untuk informasi selengkapnya tentang opsi pencatatan kontrol EKS, lihat[Kirim log pesawat kontrol ke CloudWatch Log](control-plane-logs.md).

   1. Setelah selesai dengan halaman ini, pilih **Berikutnya**.

1. Pada halaman **Pilih add-on**, pilih add-on yang ingin Anda tambahkan ke cluster Anda.

   1. Anda dapat memilih add-on **Amazon EKS dan add-on AWS ** **Marketplace** sebanyak yang Anda butuhkan. Add-on Amazon EKS yang tidak kompatibel dengan node hybrid ditandai dengan “Tidak kompatibel dengan Hybrid Nodes” dan add-on memiliki aturan anti-afinitas untuk mencegahnya berjalan pada node hybrid. Lihat Mengonfigurasi add-on untuk node hybrid untuk informasi selengkapnya. Jika add-on ** AWS Marketplace** yang ingin Anda instal tidak terdaftar, Anda dapat mencari **add-on AWS Marketplace** yang tersedia dengan memasukkan teks di kotak pencarian. Anda juga dapat mencari berdasarkan **kategori**, **vendor**, atau **model harga** dan kemudian memilih add-on dari hasil pencarian.

   1. Beberapa add-on, seperti CoreDNS dan kube-proxy, diinstal secara default. Jika Anda menonaktifkan salah satu add-on default, ini dapat memengaruhi kemampuan Anda untuk menjalankan aplikasi Kubernetes.

   1. Setelah selesai dengan halaman ini, pilih`Next`.

1. Pada halaman **Konfigurasi pengaturan add-on yang dipilih**, pilih versi yang ingin Anda instal.

   1. Anda selalu dapat memperbarui ke versi yang lebih baru setelah pembuatan cluster. Anda dapat memperbarui konfigurasi setiap add-on setelah pembuatan cluster. Untuk informasi selengkapnya tentang mengonfigurasi add-on, lihat. [Perbarui add-on Amazon EKS](updating-an-add-on.md) Untuk versi add-on yang kompatibel dengan node hybrid, lihat[Konfigurasikan add-on untuk node hybrid](hybrid-nodes-add-ons.md).

   1. Setelah selesai dengan halaman ini, pilih Berikutnya.

1. Pada halaman **Tinjau dan buat**, tinjau informasi yang Anda masukkan atau pilih pada halaman sebelumnya. Jika Anda perlu melakukan perubahan, pilih **Edit**. Saat Anda puas, pilih **Buat**. Bidang **Status** menunjukkan **CREATING** saat cluster disediakan. Penyediaan klaster memerlukan waktu beberapa menit.

1. Lanjutkan dengan [Langkah 3: Perbarui kubeconfig](#hybrid-nodes-cluster-create-kubeconfig).

## Langkah 3: Perbarui kubeconfig
<a name="hybrid-nodes-cluster-create-kubeconfig"></a>

Jika Anda membuat cluster Anda menggunakan`eksctl`, maka Anda dapat melewati langkah ini. Ini karena `eksctl` sudah menyelesaikan langkah ini untuk Anda. Aktifkan `kubectl` untuk berkomunikasi dengan cluster Anda dengan menambahkan konteks baru ke file `kubectl` konfigurasi. Untuk informasi selengkapnya tentang cara membuat dan memperbarui file, lihat[Connect kubectl ke kluster EKS dengan membuat file kubeconfig](create-kubeconfig.md).

```
aws eks update-kubeconfig --name CLUSTER_NAME --region AWS_REGION
```

Contoh output adalah sebagai berikut.

```
Added new context arn:aws: eks:AWS_REGION:111122223333:cluster/CLUSTER_NAME to /home/username/.kube/config
```

Konfirmasikan komunikasi dengan cluster Anda dengan menjalankan perintah berikut.

```
kubectl get svc
```

Contoh output adalah sebagai berikut.

```
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   28h
```

## Langkah 4: Pengaturan cluster
<a name="_step_4_cluster_setup"></a>

Sebagai langkah selanjutnya, lihat [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md) untuk mengaktifkan akses untuk node hybrid Anda untuk bergabung dengan cluster Anda.

# Aktifkan node hibrid pada kluster Amazon EKS yang ada atau ubah konfigurasi
<a name="hybrid-nodes-cluster-update"></a>

Topik ini memberikan ikhtisar opsi yang tersedia dan menjelaskan apa yang harus dipertimbangkan saat Anda menambahkan, mengubah, atau menghapus konfigurasi node hibrida untuk klaster Amazon EKS.

Untuk mengaktifkan klaster Amazon EKS menggunakan node hibrid, tambahkan rentang CIDR alamat IP dari node lokal Anda dan jaringan pod opsional dalam konfigurasi. `RemoteNetworkConfig` EKS menggunakan daftar ini CIDRs untuk mengaktifkan konektivitas antara kluster dan jaringan lokal Anda. Untuk daftar lengkap opsi saat memperbarui konfigurasi cluster Anda, lihat [UpdateClusterConfig](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateClusterConfig.html)di *Referensi API Amazon EKS*.

Anda dapat melakukan salah satu tindakan berikut ke konfigurasi jaringan EKS Hybrid Nodes dalam sebuah cluster:
+  [Tambahkan konfigurasi jaringan jarak jauh untuk mengaktifkan EKS Hybrid Nodes di cluster yang ada.](#hybrid-nodes-cluster-enable-existing) 
+  [Tambahkan, ubah, atau hapus jaringan node jarak jauh atau jaringan pod jarak jauh di cluster yang ada.](#hybrid-nodes-cluster-update-config) 
+  [Hapus semua rentang CIDR jaringan node jarak jauh untuk menonaktifkan EKS Hybrid Nodes di cluster yang ada.](#hybrid-nodes-cluster-disable) 

## Prasyarat
<a name="hybrid-nodes-cluster-enable-prep"></a>
+ Sebelum mengaktifkan kluster Amazon EKS untuk node hibrida, pastikan lingkungan Anda memenuhi persyaratan yang diuraikan di[Pengaturan prasyarat untuk node hybrid](hybrid-nodes-prereqs.md), dan dirinci di[Mempersiapkan jaringan untuk node hybrid](hybrid-nodes-networking.md),[Siapkan sistem operasi untuk node hybrid](hybrid-nodes-os.md), dan. [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md)
+ Cluster Anda harus menggunakan keluarga IPv4 alamat.
+ Cluster Anda harus menggunakan salah satu `API` atau `API_AND_CONFIG_MAP` untuk mode otentikasi cluster. Proses untuk memodifikasi mode otentikasi cluster dijelaskan di. [Ubah mode otentikasi untuk menggunakan entri akses](setting-up-access-entries.md)
+ Kami menyarankan Anda menggunakan akses endpoint publik atau pribadi untuk endpoint server API Amazon EKS Kubernetes, tetapi tidak keduanya. Jika Anda memilih “Publik dan Pribadi”, endpoint server API Amazon EKS Kubernetes akan selalu menyelesaikan ke publik IPs untuk node hybrid yang berjalan di luar VPC Anda, yang dapat mencegah node hybrid Anda bergabung dengan cluster. Proses untuk memodifikasi akses jaringan ke cluster Anda dijelaskan di[Titik akhir server API kluster](cluster-endpoint.md).
+ Versi terbaru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda. Untuk memeriksa versi Anda saat ini, gunakan`aws --version`. Package manager seperti yum, apt-get, atau Homebrew untuk macOS seringkali merupakan beberapa versi di belakang versi terbaru CLI. AWS Untuk menginstal versi terbaru, lihat [Menginstal atau memperbarui ke versi terbaru CLI dan Mengkonfigurasi pengaturan untuk AWSAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) [di Panduan Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) Antarmuka Baris AWS Perintah.
+ [Prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles#iam-term-principal) dengan izin untuk menelepon [UpdateClusterConfig](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateClusterConfig.html)kluster Amazon EKS Anda.
+ Perbarui add-on ke versi yang kompatibel dengan node hybrid. Untuk versi add-on yang kompatibel dengan node hybrid, lihat[Konfigurasikan add-on untuk node hybrid](hybrid-nodes-add-ons.md).
+ Jika Anda menjalankan add-on yang tidak kompatibel dengan node hybrid, pastikan bahwa add-on [DaemonSet](https://kubernetes.io/docs/concepts/workloads/controllers/daemonset/)atau [Deployment](https://kubernetes.io/docs/concepts/workloads/controllers/deployment/) memiliki aturan afinitas berikut untuk mencegah penyebaran ke node hybrid. Tambahkan aturan afinitas berikut jika belum ada.

  ```
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: eks.amazonaws.com/compute-type
            operator: NotIn
            values:
            - hybrid
  ```

## Pertimbangan-pertimbangan
<a name="hybrid-nodes-cluster-enable-consider"></a>

Objek `remoteNetworkConfig` JSON memiliki perilaku berikut selama pembaruan:
+ Setiap bagian konfigurasi yang ada yang tidak Anda tentukan tidak berubah. Jika Anda tidak menentukan salah satu dari `remoteNodeNetworks` atau`remotePodNetworks`, bagian itu akan tetap sama.
+ Jika Anda memodifikasi `remotePodNetworks` daftar `remoteNodeNetworks` atau daftar CIDRs, Anda harus menentukan daftar lengkap CIDRs yang Anda inginkan dalam konfigurasi akhir Anda. Saat Anda menentukan perubahan ke daftar `remoteNodeNetworks` atau `remotePodNetworks` CIDR, EKS menggantikan daftar asli selama pembaruan.
+ Blok CIDR node dan pod lokal Anda harus memenuhi persyaratan berikut:

  1. Berada dalam salah satu rentang IPv4 RFC-1918:10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16, atau dalam rentang CGNAT yang ditentukan oleh RFC 6598: `100.64.0.0/10` 

  1. Tidak saling tumpang tindih, semua CIDRs VPC untuk cluster Amazon EKS Anda, atau CIDR layanan IPv4 Kubernetes Anda.

## Aktifkan node hybrid pada cluster yang ada
<a name="hybrid-nodes-cluster-enable-existing"></a>

Anda dapat mengaktifkan EKS Hybrid Nodes di cluster yang ada dengan menggunakan:
+  [AWS CloudFormation](#hybrid-nodes-cluster-enable-cfn) 
+  [AWS CLI](#hybrid-nodes-cluster-enable-cli) 
+  [Konsol Manajemen AWS](#hybrid-nodes-cluster-enable-console) 

### Aktifkan Node Hibrid EKS di cluster yang ada - AWS CloudFormation
<a name="hybrid-nodes-cluster-enable-cfn"></a>

1. Untuk mengaktifkan EKS Hybrid Nodes di cluster Anda, tambahkan `RemoteNodeNetwork` dan (opsional) `RemotePodNetwork` ke CloudFormation template Anda dan perbarui tumpukan. Perhatikan bahwa `RemoteNodeNetwork` adalah daftar dengan maksimum satu `Cidrs` item dan `Cidrs` adalah daftar beberapa rentang IP CIDR.

   ```
   RemoteNetworkConfig:
     RemoteNodeNetworks:
       - Cidrs: [RemoteNodeCIDR]
     RemotePodNetworks:
       - Cidrs: [RemotePodCIDR]
   ```

1. Lanjutkan ke [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md).

### Aktifkan Node Hibrid EKS di cluster yang ada - AWS CLI
<a name="hybrid-nodes-cluster-enable-cli"></a>

1. Jalankan perintah berikut `RemoteNetworkConfig` untuk mengaktifkan EKS Hybrid Nodes untuk kluster EKS Anda. Sebelum menjalankan perintah, ganti yang berikut ini dengan pengaturan Anda. Untuk daftar lengkap pengaturan, lihat [UpdateClusterConfig](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateClusterConfig.html)di *Referensi API Amazon EKS*.

   1.  `CLUSTER_NAME`: nama cluster EKS untuk diperbarui.

   1.  `AWS_REGION`: AWS Wilayah tempat cluster EKS berjalan.

   1.  `REMOTE_NODE_CIDRS`: simpul lokal CIDR untuk node hybrid Anda.

   1.  `REMOTE_POD_CIDRS`(opsional): CIDR pod lokal untuk beban kerja yang berjalan pada node hybrid.

      ```
      aws eks update-cluster-config \
          --name CLUSTER_NAME \
          --region AWS_REGION \
          --remote-network-config '{"remoteNodeNetworks":[{"cidrs":["REMOTE_NODE_CIDRS"]}],"remotePodNetworks":[{"cidrs":["REMOTE_POD_CIDRS"]}]}'
      ```

1. Dibutuhkan beberapa menit untuk memperbarui cluster. Anda dapat melakukan kueri status klaster Anda dengan perintah berikut. Ganti `CLUSTER_NAME` dengan nama cluster yang Anda modifikasi dan `AWS_REGION` dengan AWS Wilayah tempat cluster berjalan. Jangan lanjutkan ke langkah berikutnya sampai output yang dikembalikan`ACTIVE`.

   ```
   aws eks describe-cluster \
       --name CLUSTER_NAME \
       --region AWS_REGION \
       --query "cluster.status"
   ```

1. Lanjutkan ke [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md).

### Aktifkan Node Hibrid EKS di cluster yang ada - Konsol Manajemen AWS
<a name="hybrid-nodes-cluster-enable-console"></a>

1. Buka konsol Amazon EKS di konsol [Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih nama klaster untuk menampilkan informasi klaster Anda.

1. Pilih tab **Jaringan** dan pilih **Kelola**.

1. Di dropdown, pilih Jaringan **jarak jauh**.

1.  **Pilih Konfigurasi jaringan jarak jauh untuk mengaktifkan node hibrid** dan tentukan node dan pod lokal Anda CIDRs untuk node hybrid.

1. Pilih **Simpan perubahan** untuk menyelesaikan. Tunggu status klaster kembali ke **Aktif**.

1. Lanjutkan ke [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md).

## Perbarui konfigurasi node hybrid di cluster yang ada
<a name="hybrid-nodes-cluster-update-config"></a>

Anda dapat memodifikasi `remoteNetworkConfig` di cluster hybrid yang ada dengan menggunakan salah satu dari berikut ini:
+  [AWS CloudFormation](#hybrid-nodes-cluster-update-cfn) 
+  [AWS CLI](#hybrid-nodes-cluster-update-cli) 
+  [Konsol Manajemen AWS](#hybrid-nodes-cluster-update-console) 

### Perbarui konfigurasi hybrid di cluster yang ada - AWS CloudFormation
<a name="hybrid-nodes-cluster-update-cfn"></a>

1. Perbarui CloudFormation template Anda dengan nilai CIDR jaringan baru.

   ```
   RemoteNetworkConfig:
     RemoteNodeNetworks:
       - Cidrs: [NEW_REMOTE_NODE_CIDRS]
     RemotePodNetworks:
       - Cidrs: [NEW_REMOTE_POD_CIDRS]
   ```
**catatan**  
Saat memperbarui `RemoteNodeNetworks` atau daftar `RemotePodNetworks` CIDR, sertakan semua CIDRs (baru dan yang sudah ada). EKS menggantikan seluruh daftar selama pembaruan. Menghilangkan bidang ini dari permintaan pembaruan mempertahankan konfigurasi yang ada.

1. Perbarui CloudFormation tumpukan Anda dengan template yang dimodifikasi dan tunggu pembaruan tumpukan selesai.

### Perbarui konfigurasi hybrid di cluster yang ada - AWS CLI
<a name="hybrid-nodes-cluster-update-cli"></a>

1. Untuk memodifikasi jaringan jarak jauh CIDRs, jalankan perintah berikut. Ganti nilai dengan pengaturan Anda:

   ```
   aws eks update-cluster-config
   --name CLUSTER_NAME
   --region AWS_REGION
   --remote-network-config '{"remoteNodeNetworks":[{"cidrs":["NEW_REMOTE_NODE_CIDRS"]}],"remotePodNetworks":[{"cidrs":["NEW_REMOTE_POD_CIDRS"]}]}'
   ```
**catatan**  
Saat memperbarui `remoteNodeNetworks` atau daftar `remotePodNetworks` CIDR, sertakan semua CIDRs (baru dan yang sudah ada). EKS menggantikan seluruh daftar selama pembaruan. Menghilangkan bidang ini dari permintaan pembaruan mempertahankan konfigurasi yang ada.

1. Tunggu status cluster kembali ke ACTIVE sebelum melanjutkan.

### Perbarui konfigurasi hybrid di cluster yang ada - Konsol Manajemen AWS
<a name="hybrid-nodes-cluster-update-console"></a>

1. Buka konsol Amazon EKS di konsol [Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih nama klaster untuk menampilkan informasi klaster Anda.

1. Pilih tab **Jaringan** dan pilih **Kelola**.

1. Di dropdown, pilih Jaringan **jarak jauh**.

1. Perbarui bagian CIDRs bawah `Remote node networks` dan `Remote pod networks - Optional` sesuai kebutuhan.

1. Pilih **Simpan perubahan** dan tunggu status klaster kembali ke **Aktif**.

## Nonaktifkan node Hybrid di cluster yang ada
<a name="hybrid-nodes-cluster-disable"></a>

Anda dapat menonaktifkan EKS Hybrid Nodes di cluster yang ada dengan menggunakan:
+  [AWS CloudFormation](#hybrid-nodes-cluster-disable-cfn) 
+  [AWS CLI](#hybrid-nodes-cluster-disable-cli) 
+  [Konsol Manajemen AWS](#hybrid-nodes-cluster-disable-console) 

### Nonaktifkan EKS Hybrid Nodes di cluster yang ada - AWS CloudFormation
<a name="hybrid-nodes-cluster-disable-cfn"></a>

1. Untuk menonaktifkan EKS Hybrid Nodes di cluster Anda, atur `RemoteNodeNetworks` dan `RemotePodNetworks` kosongkan array di CloudFormation template Anda dan perbarui tumpukan.

   ```
   RemoteNetworkConfig:
     RemoteNodeNetworks: []
     RemotePodNetworks: []
   ```

### Nonaktifkan EKS Hybrid Nodes di cluster yang ada - AWS CLI
<a name="hybrid-nodes-cluster-disable-cli"></a>

1. Jalankan perintah berikut untuk menghapus `RemoteNetworkConfig` dari kluster EKS Anda. Sebelum menjalankan perintah, ganti yang berikut ini dengan pengaturan Anda. Untuk daftar lengkap pengaturan, lihat [UpdateClusterConfig](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateClusterConfig.html)di *Referensi API Amazon EKS*.

   1.  `CLUSTER_NAME`: nama cluster EKS untuk diperbarui.

   1.  `AWS_REGION`: AWS Wilayah tempat cluster EKS berjalan.

      ```
      aws eks update-cluster-config \
          --name CLUSTER_NAME \
          --region AWS_REGION \
          --remote-network-config '{"remoteNodeNetworks":[],"remotePodNetworks":[]}'
      ```

1. Dibutuhkan beberapa menit untuk memperbarui cluster. Anda dapat melakukan kueri status klaster Anda dengan perintah berikut. Ganti `CLUSTER_NAME` dengan nama cluster yang Anda modifikasi dan `AWS_REGION` dengan AWS Wilayah tempat cluster berjalan. Jangan lanjutkan ke langkah berikutnya sampai output yang dikembalikan`ACTIVE`.

   ```
   aws eks describe-cluster \
       --name CLUSTER_NAME \
       --region AWS_REGION \
       --query "cluster.status"
   ```

### Nonaktifkan EKS Hybrid Nodes di cluster yang ada - Konsol Manajemen AWS
<a name="hybrid-nodes-cluster-disable-console"></a>

1. Buka konsol Amazon EKS di konsol [Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih nama klaster untuk menampilkan informasi klaster Anda.

1. Pilih tab **Jaringan** dan pilih **Kelola**.

1. Di dropdown, pilih Jaringan **jarak jauh**.

1. Pilih **Konfigurasi jaringan jarak jauh untuk mengaktifkan node hibrida** dan menghapus semua bagian CIDRs bawah `Remote node networks` dan`Remote pod networks - Optional`.

1. Pilih **Simpan perubahan** untuk menyelesaikan. Tunggu status klaster kembali ke **Aktif**.

# Mempersiapkan akses cluster untuk node hybrid
<a name="hybrid-nodes-cluster-prep"></a>

Sebelum menghubungkan node hybrid ke cluster Amazon EKS Anda, Anda harus mengaktifkan Peran IAM Hybrid Nodes Anda dengan izin Kubernetes untuk bergabung dengan cluster. Lihat [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md) untuk informasi tentang cara membuat peran IAM Hybrid Nodes. Amazon EKS mendukung dua cara untuk mengaitkan prinsipal IAM dengan Kubernetes Role-Based Access Control (RBAC), entri akses Amazon EKS, dan entri akses. `aws-auth` ConfigMap Untuk informasi selengkapnya tentang manajemen akses Amazon EKS, lihat[Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](grant-k8s-access.md).

Gunakan prosedur di bawah ini untuk mengaitkan peran IAM Hybrid Nodes Anda dengan izin Kubernetes. Untuk menggunakan entri akses Amazon EKS, klaster Anda harus dibuat dengan mode `API_AND_CONFIG_MAP` autentikasi `API` atau. Untuk menggunakan `aws-auth` ConfigMap, cluster Anda harus dibuat dengan mode `API_AND_CONFIG_MAP` otentikasi. Mode otentikasi `CONFIG_MAP` -only tidak didukung untuk cluster Amazon EKS yang mendukung node hybrid.

## Menggunakan entri akses Amazon EKS untuk peran IAM Hybrid Nodes
<a name="_using_amazon_eks_access_entries_for_hybrid_nodes_iam_role"></a>

Ada jenis entri akses Amazon EKS untuk node hybrid bernama HYBRID\$1LINUX yang dapat digunakan dengan peran IAM. Dengan jenis entri akses ini, nama pengguna secara otomatis diatur ke system:node: \$1\$1SessionName\$1\$1. Untuk informasi selengkapnya tentang membuat entri akses, lihat[Buat entri akses](creating-access-entries.md).

### AWS CLI
<a name="shared_aws_cli"></a>

1. Anda harus menginstal dan mengonfigurasi AWS CLI versi terbaru di perangkat Anda. Untuk memeriksa versi Anda saat ini, gunakan`aws --version`. Package manager seperti yum, apt-get, atau Homebrew untuk macOS seringkali merupakan beberapa versi di belakang versi terbaru CLI. AWS Untuk menginstal versi terbaru, lihat Menginstal dan Konfigurasi cepat dengan aws configure di Panduan Pengguna Antarmuka Baris AWS Perintah.

1. Buat entri akses Anda dengan perintah berikut. Ganti CLUSTER\$1NAME dengan nama cluster Anda dan HYBRID\$1NODES\$1ROLE\$1ARN dengan ARN dari peran yang Anda buat dalam langkah-langkah untuk. [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md)

   ```
   aws eks create-access-entry --cluster-name CLUSTER_NAME \
       --principal-arn HYBRID_NODES_ROLE_ARN \
       --type HYBRID_LINUX
   ```

### Konsol Manajemen AWS
<a name="hybrid-nodes-cluster-prep-console"></a>

1. Buka konsol Amazon EKS di konsol [Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Pilih nama cluster berkemampuan node hybrid Anda.

1. Pilih tab **Access**.

1. Pilih **Buat entri akses**.

1. Untuk **prinsipal IAM**, pilih peran IAM Hybrid Nodes yang Anda buat di langkah-langkahnya. [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md)

1. Untuk **Type**, pilih **Hybrid Linux**.

1. (Opsional) Untuk **Tag**, tetapkan label ke entri akses. Misalnya, untuk membuatnya lebih mudah untuk menemukan semua sumber daya dengan tag yang sama.

1. Pilih **Lewati untuk meninjau dan membuat**. Anda tidak dapat menambahkan kebijakan ke entri akses Hybrid Linux atau mengubah cakupan aksesnya.

1. Tinjau konfigurasi untuk entri akses Anda. Jika ada yang terlihat salah, pilih **Sebelumnya** untuk kembali melalui langkah-langkah dan memperbaiki kesalahan. Jika konfigurasi sudah benar, pilih **Buat**.

## Menggunakan aws-auth ConfigMap untuk peran IAM Hybrid Nodes
<a name="_using_aws_auth_configmap_for_hybrid_nodes_iam_role"></a>

Dalam langkah-langkah berikut, Anda akan membuat atau memperbarui `aws-auth` ConfigMap dengan ARN dari Peran IAM Hybrid Nodes yang Anda buat dalam langkah-langkah untuk. [Siapkan kredensil untuk node hybrid](hybrid-nodes-creds.md)

1. Periksa untuk melihat apakah Anda memiliki yang ada `aws-auth` ConfigMap untuk cluster Anda. Perhatikan bahwa jika Anda menggunakan `kubeconfig` file tertentu, gunakan `--kubeconfig` bendera.

   ```
   kubectl describe configmap -n kube-system aws-auth
   ```

1. Jika Anda ditampilkan `aws-auth` ConfigMap, maka perbarui sesuai kebutuhan.

   1. Buka ConfigMap untuk mengedit.

      ```
      kubectl edit -n kube-system configmap/aws-auth
      ```

   1. Tambahkan `mapRoles` entri baru sesuai kebutuhan. Ganti `HYBRID_NODES_ROLE_ARN` dengan ARN peran IAM Hybrid Nodes Anda. Catatan, `{{SessionName}}` adalah format template yang benar untuk disimpan di ConfigMap. Jangan menggantinya dengan nilai lain.

      ```
      data:
        mapRoles: |
        - groups:
          - system:bootstrappers
          - system:nodes
          rolearn: HYBRID_NODES_ROLE_ARN
          username: system:node:{{SessionName}}
      ```

   1. Simpan file dan keluar dari editor teks Anda.

1. Jika tidak ada yang ada `aws-auth` ConfigMap untuk cluster Anda, buat dengan perintah berikut. Ganti `HYBRID_NODES_ROLE_ARN` dengan ARN peran IAM Hybrid Nodes Anda. Perhatikan bahwa itu `{{SessionName}}` adalah format template yang benar untuk disimpan di ConfigMap. Jangan menggantinya dengan nilai lain.

   ```
   kubectl apply -f=/dev/stdin <<-EOF
   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: aws-auth
     namespace: kube-system
   data:
     mapRoles: |
     - groups:
       - system:bootstrappers
       - system:nodes
       rolearn: HYBRID_NODES_ROLE_ARN
       username: system:node:{{SessionName}}
   EOF
   ```