**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 创建 ACK 功能
本章节旨在介绍如何在 Amazon EKS 集群上创建 ACK 功能。
## 先决条件
创建 ACK 功能之前,确保满足以下条件:
+ Amazon EKS 集群
+ 具有允许 ACK 管理 AWS 资源的权限的 IAM 功能角色
+ 可在 EKS 集群上创建功能资源的充足 IAM 权限
+ 已安装和配置相应的 CLI 工具,或可访问 EKS 控制台
有关如何创建 IAM 功能角色的说明,请参阅 [Amazon EKS 功能 IAM 角色](capability-role.md)。
**重要**
ACK 是一种基础设施管理功能,可创建、修改和删除 AWS 资源。这是一项管理员范围的功能,应谨慎控制。任何具有在您的集群中创建 Kubernetes 资源权限的用户,都可以通过 ACK 有效地创建 AWS 资源,但需具有 IAM 功能角色权限。您提供的 IAM 功能角色决定 ACK 可以创建和管理哪些 AWS 资源。有关创建具备最低权限的合适角色的操作指引,请参阅 [Amazon EKS 功能 IAM 角色](capability-role.md)和 [EKS 功能的安全注意事项](capabilities-security.md)。
## 选择工具
您可以使用AWS 管理控制台、AWS CLI 或 eksctl 创建 ACK 功能:
+ [使用控制台创建 ACK 功能](ack-create-console.md):使用控制台获得引导式体验
+ [使用 AWS CLI 创建 ACK 功能](ack-create-cli.md):使用 AWS CLI 进行脚本编写和自动化
+ [使用 eksctl 创建 ACK 功能](ack-create-eksctl.md):使用 eksctl 获得 Kubernetes 原生体验
## 在创建 ACK 功能时会执行的操作
创建 ACK 功能时:
1. EKS 会创建 ACK 功能服务,并配置该服务来监控和管理集群内的资源
1. 自定义资源定义(CRD)将被安装到集群中
1. 系统会自动为您的 IAM 功能角色创建一个访问条目,该条目带有特定于功能的访问条目策略,这些策略会授予基本的 Kubernetes 权限(请参阅 [EKS 功能的安全注意事项](capabilities-security.md))
1. 该功能会代入您提供的 IAM 功能角色
1. ACK 开始监视集群中的自定义资源
1. 功能状态从 `CREATING` 更改为 `ACTIVE`
激活后,您可以在集群中创建 ACK 自定义资源,来管理 AWS 资源。
**注意**
自动创建的访问条目包括授予 ACK 管理 AWS 资源的权限的 `AmazonEKSACKPolicy`。一些引用 Kubernetes 密钥的 ACK 资源(例如带有密码的 RDS 数据库)需要额外的访问条目策略。要了解有关访问条目以及如何配置其他权限的更多信息,请参阅 [EKS 功能的安全注意事项](capabilities-security.md)。
## 后续步骤
创建 ACK 功能后:
+ [ACK 概念](ack-concepts.md):了解 ACK 概念并开始使用 AWS 资源
+ [ACK 概念](ack-concepts.md):了解协调、字段导出和资源采用模式
+ [配置 ACK 权限](ack-permissions.md):配置 IAM 权限和多账户模式
# 使用控制台创建 ACK 功能
本主题将介绍如何使用 AWS 管理控制台创建 AWS Controllers for Kubernetes(ACK)功能。
## 创建 ACK 功能
1. 从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 选择集群名称,打开集群详细信息页面。
1. 选择**功能**选项卡。
1. 在左侧导航栏中,选择 **AWS Controllers for Kubernetes(ACK)**。
1. 选择**创建 AWS Controllers for Kubernetes 功能**。
1. 对于 **IAM 功能角色**:
+ 如果已有 IAM 功能角色,请从下拉列表中选择该角色
+ 如果您需要创建一个新角色,请选择**创建管理员角色**
这将在新选项卡中打开 IAM 控制台,其中包含预先填充的信任策略和 `AdministratorAccess` 托管式策略。您可以根据需要取消选择此策略并添加其他权限。
创建角色后,返回 EKS 控制台,系统将自动选择该角色。
**重要**
建议的 `AdministratorAccess` 策略授予了广泛权限,旨在简化入门流程。对于生产用途,请将其替换为自定义策略,该策略仅授予您计划通过 ACK 管理的特定 AWS 服务所需的权限。有关创建最低权限策略的指导,请参阅[配置 ACK 权限](ack-permissions.md)和 [EKS 功能的安全注意事项](capabilities-security.md)。
1. 选择**创建**。
功能创建过程随即开始。
## 验证功能是否处于活动状态
1. 在**功能**选项卡上,查看 ACK 功能状态。
1. 等待状态从 `CREATING` 更改为 `ACTIVE`。
1. 变为活动状态后,该功能即可使用。
有关功能状态和问题排查的信息,请参阅[使用功能资源](working-with-capabilities.md)。
## 验证自定义资源是否可用
功能激活后,验证 ACK 自定义资源是否已在集群中可用。
**使用控制台**
1. 在 Amazon EKS 控制台中导航至集群
1. 选择**资源**选项卡
1. 选择**扩展**
1. 选择 **CustomResourceDefinitions**
您应该会看到列出的多个用于 AWS 资源的 CRD。
**使用 kubectl**
```
kubectl api-resources | grep services.k8s.aws
```
您应该会看到列出的多个用于 AWS 资源的 API。
**注意**
AWS Controllers for Kubernetes 功能将为各种 AWS 资源安装大量 CRD。
## 后续步骤
+ [ACK 概念](ack-concepts.md):了解 ACK 概念并开始使用
+ [配置 ACK 权限](ack-permissions.md):为其他 AWS 服务配置 IAM 权限
+ [使用功能资源](working-with-capabilities.md):管理 ACK 功能资源
# 使用 AWS CLI 创建 ACK 功能
本主题将介绍如何使用 AWS CLI 创建 AWS Controllers for Kubernetes(ACK)功能。
## 先决条件
+ **AWS CLI**:版本 `2.12.3` 或更高版本。要检查版本,请运行 `aws --version`。有关更多信息,请参阅《AWS 命令行界面用户指南》中的[安装](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)。
+ **`kubectl`**:用于与 Kubernetes 集群结合使用的命令行工具。有关更多信息,请参阅 [设置 `kubectl` 和 `eksctl`](install-kubectl.md)。
## 步骤 1:创建 IAM 功能角色
创建信任策略文件:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
创建 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
将 `AdministratorAccess` 托管式策略附加到角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建议的 `AdministratorAccess` 策略授予了广泛权限,旨在简化入门流程。对于生产用途,请将其替换为自定义策略,该策略仅授予您计划通过 ACK 管理的特定 AWS 服务所需的权限。有关创建最低权限策略的指导,请参阅[配置 ACK 权限](ack-permissions.md)和 [EKS 功能的安全注意事项](capabilities-security.md)。
## 步骤 2:创建 ACK 功能
在集群上创建 ACK 功能资源。将 *region-code* 替换为您的集群所在的 AWS 区域,并将 *my-cluster* 替换为您的集群的名称。
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--delete-propagation-policy RETAIN
```
命令会立即返回,但是由于 EKS 正在创建所需的功能基础设施和组件,该功能需要一些时间才能变为活动状态。在创建集群时,EKS 将在集群中安装与此功能相关的 Kubernetes 自定义资源定义。
**注意**
如果收到集群不存在或您没有权限的错误消息,请验证:
集群名称是否正确
AWS CLI 是否针对正确的区域进行配置
您是否拥有所需的 IAM 权限
## 步骤 3:验证功能是否处于活动状态
等待功能变为活动状态。将 *region-code* 替换为您的集群所在的 AWS 区域,并将 *my-cluster* 替换为您的集群的名称。
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--query 'capability.status' \
--output text
```
当状态显示为 `ACTIVE` 时,表示功能已准备就绪。在该状态变为 `ACTIVE` 之前,请勿继续执行下一步。
您也可以查看完整功能详细信息:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
```
## 步骤 4:验证自定义资源是否可用
功能激活后,验证 ACK 自定义资源是否已在集群中可用:
```
kubectl api-resources | grep services.k8s.aws
```
您应该会看到列出的多个用于 AWS 资源的 API。
**注意**
AWS Controllers for Kubernetes 功能将为各种 AWS 资源安装大量 CRD。
## 后续步骤
+ [ACK 概念](ack-concepts.md):了解 ACK 概念并开始使用
+ [配置 ACK 权限](ack-permissions.md):为其他 AWS 服务配置 IAM 权限
+ [使用功能资源](working-with-capabilities.md):管理 ACK 功能资源
# 使用 eksctl 创建 ACK 功能
本主题将介绍如何使用 eksctl 创建 AWS Controllers for Kubernetes(ACK)功能。
**注意**
以下步骤需要 eksctl 版本 `0.220.0` 或更高版本。要检查版本,请运行 `eksctl version`。
## 步骤 1:创建 IAM 功能角色
创建信任策略文件:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
创建 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
将 `AdministratorAccess` 托管式策略附加到角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建议的 `AdministratorAccess` 策略授予了广泛权限,旨在简化入门流程。对于生产用途,请将其替换为自定义策略,该策略仅授予您计划通过 ACK 管理的特定 AWS 服务所需的权限。有关创建最低权限策略的指导,请参阅[配置 ACK 权限](ack-permissions.md)和 [EKS 功能的安全注意事项](capabilities-security.md)。
**重要**
此策略通过 `"Resource": "*"` 授予 S3 存储桶管理权限,允许对所有 S3 存储桶进行操作。
用于生产用途:\$1 将 `Resource` 字段限制为特定的存储桶 ARN 或名称模式 \$1 使用 IAM 条件键通过资源标签限制访问权限 \$1 仅授予使用案例所需的最低权限
有关其他 AWS 服务,请参阅[配置 ACK 权限](ack-permissions.md)。
将该策略附加到角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):policy/ACKS3Policy
```
## 步骤 2:创建 ACK 功能
使用 eksctl 创建 ACK 功能。将 *region-code* 替换为您的集群所在的 AWS 区域,并将 *my-cluster* 替换为您的集群的名称。
```
eksctl create capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--ack-service-controllers s3
```
**注意**
`--ack-service-controllers` 标记是可选的。如果省略,ACK 将启用所有可用的控制器。为了获得更好的性能和安全性,请考虑仅启用所需的控制器。您可以指定多个控制器,例如:`--ack-service-controllers s3,rds,dynamodb`
命令会立即返回,但该功能需要一些时间才能变为活动状态。
## 步骤 3:验证功能是否处于活动状态
检查功能状态:
```
eksctl get capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack
```
当状态显示为 `ACTIVE` 时,表示功能已准备就绪。
## 步骤 4:验证自定义资源是否可用
功能激活后,验证 ACK 自定义资源是否已在集群中可用:
```
kubectl api-resources | grep services.k8s.aws
```
您应该会看到列出的多个用于 AWS 资源的 API。
**注意**
AWS Controllers for Kubernetes 功能将为各种 AWS 资源安装大量 CRD。
## 后续步骤
+ [ACK 概念](ack-concepts.md):了解 ACK 概念并开始使用
+ [配置 ACK 权限](ack-permissions.md):为其他 AWS 服务配置 IAM 权限
+ [使用功能资源](working-with-capabilities.md):管理 ACK 功能资源