**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 ACK 功能
本章說明如何在 Amazon EKS 叢集上建立 ACK 功能。
## 先決條件
建立 ACK 功能之前,請確定您有:
+ Amazon EKS 叢集
+ IAM 功能角色,具有 ACK 管理 AWS 資源的許可
+ 足夠的 IAM 許可,可在 EKS 叢集上建立功能資源
+ 安裝和設定適當的 CLI 工具,或存取 EKS 主控台
如需建立 IAM 功能角色的說明,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)。
**重要**
ACK 是一種基礎設施管理功能,可授予建立、修改和刪除 AWS 資源的能力。這是應謹慎控制的管理員範圍功能。有權在叢集中建立 Kubernetes 資源的任何人都可以有效透過 ACK 建立 AWS 資源,但需受 IAM 功能角色許可的約束。您提供的 IAM 功能角色會決定 ACK 可以建立和管理哪些 AWS 資源。如需建立具有最低權限許可之適當角色的指引,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)和 [EKS 功能的安全考量](capabilities-security.md)。
## 選擇您的工具
您可以使用、 AWS 管理主控台 AWS CLI 或 eksctl 建立 ACK 功能:
+ [使用主控台建立 ACK 功能](ack-create-console.md) - 使用 主控台進行引導式體驗
+ [使用 CLI 建立 ACK AWS 功能](ack-create-cli.md) - 使用 AWS CLI 進行指令碼編寫和自動化
+ [使用 eksctl 建立 ACK 功能](ack-create-eksctl.md) - 使用 eksctl 進行 Kubernetes 原生體驗
## 建立 ACK 功能時會發生什麼情況
當您建立 ACK 功能時:
1. EKS 會建立 ACK 功能服務,並將其設定為監控和管理叢集中的資源
1. 您的叢集中已安裝自訂資源定義 (CRDs)
1. 會自動為您的 IAM 功能角色建立存取項目,其中包含授予基準 Kubernetes 許可的特定功能存取項目政策 (請參閱 [EKS 功能的安全考量](capabilities-security.md))
1. 該功能假設您提供的 IAM 功能角色
1. ACK 開始在您的叢集中監看其自訂資源
1. 功能狀態從 變更為 `CREATING` `ACTIVE`
啟用後,您可以在叢集中建立 ACK 自訂資源來管理 AWS 資源。
**注意**
自動建立的存取項目包含授予 ACK 管理 AWS 資源許可`AmazonEKSACKPolicy`的 。有些參考 Kubernetes 秘密的 ACK 資源 (例如具有密碼的 RDS 資料庫) 需要額外的存取項目政策。若要進一步了解存取項目以及如何設定其他許可,請參閱 [EKS 功能的安全考量](capabilities-security.md)。
## 後續步驟
建立 ACK 功能之後:
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用 AWS 資源
+ [ACK 概念](ack-concepts.md) - 了解對帳、欄位匯出和資源採用模式
+ [設定 ACK 許可](ack-permissions.md) - 設定 IAM 許可和多帳戶模式
# 使用主控台建立 ACK 功能
本主題說明如何使用 建立 Kubernetes 專用 AWS 控制器 (ACK) 功能 AWS 管理主控台。
## 建立 ACK 功能
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 在左側導覽中,選擇 **Kubernetes (ACK) 的 AWS 控制器**。
1. 選擇**建立 Kubernetes 功能的 AWS 控制器**。
1. 對於 **IAM 功能角色**:
+ 如果您已經有 IAM 功能角色,請從下拉式清單中選取它
+ 如果您需要建立角色,請選擇**建立管理員角色**
這會在新標籤中開啟 IAM 主控台,其中包含預先填入的信任政策和 `AdministratorAccess`受管政策。您可以取消選取此政策,並視需要新增其他許可。
建立角色後,返回 EKS 主控台並自動選取角色。
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。針對生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
1. 選擇**建立**。
功能建立程序開始。
## 驗證功能是否處於作用中狀態
1. 在**功能**索引標籤上,檢視 ACK 功能狀態。
1. 等待狀態從 變更為 `CREATING` `ACTIVE`。
1. 啟用後,此功能即可使用。
如需功能狀態和故障診斷的資訊,請參閱 [使用 功能資源](working-with-capabilities.md)。
## 確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中可用的 ACK 自訂資源。
**使用主控台**
1. 在 Amazon EKS 主控台中導覽至您的叢集
1. 選擇**資源**索引標籤
1. 選擇**延伸模組**
1. 選擇 **CustomResourceDefinitions**
您應該會看到一些針對 AWS 資源列出的 CRDs。
**使用 kubectl**
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源
# 使用 CLI 建立 ACK AWS 功能
本主題說明如何使用 CLI 建立 AWS Controllers for Kubernetes (ACK) AWS 功能。
## 先決條件
+ ** AWS CLI** – 版本 `2.12.3` 或更新版本。若要檢查您的版本,請執行 `aws --version`。如需詳細資訊,請參閱《 AWS 命令列界面使用者指南》中的[安裝](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)。
+ ** `kubectl` **:命令列工具,適用於使用 Kubernetes 叢集。如需詳細資訊,請參閱[設定 `kubectl` 和 `eksctl`](install-kubectl.md)。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
將 `AdministratorAccess`受管政策連接至角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。對於生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
## 步驟 2:建立 ACK 功能
在叢集上建立 ACK 功能資源。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--delete-propagation-policy RETAIN
```
命令會立即傳回,但當 EKS 建立所需的功能基礎設施和元件時,功能需要一些時間才會變成作用中。EKS 會在建立叢集時,在叢集中安裝與此功能相關的 Kubernetes 自訂資源定義。
**注意**
如果您收到叢集不存在或您沒有許可的錯誤,請驗證:
叢集名稱正確
您的 AWS CLI 已設定為正確的區域
您擁有必要的 IAM 許可
## 步驟 3:確認功能處於作用中狀態
等待 功能變成作用中。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--query 'capability.status' \
--output text
```
當狀態顯示 時,此功能已就緒`ACTIVE`。在狀態為 之前,請勿繼續下一個步驟`ACTIVE`。
您也可以檢視完整的功能詳細資訊:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
```
## 步驟 4:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 ACK 自訂資源:
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源
# 使用 eksctl 建立 ACK 功能
本主題說明如何使用 eksctl 建立 AWS Controllers for Kubernetes (ACK) 功能。
**注意**
下列步驟需要 eksctl 版本 `0.220.0` 或更新版本。若要檢查您的版本,請執行 `eksctl version`。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
將 `AdministratorAccess`受管政策連接至角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。對於生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
**重要**
此政策使用 授予 S3 儲存貯體管理的許可`"Resource": "*"`,允許對所有 S3 儲存貯體執行操作。
對於生產用途:\$1 將 `Resource` 欄位限制為特定儲存貯體 ARNs或名稱模式 \$1 使用 IAM 條件索引鍵來限制資源標籤的存取 \$1 僅授予使用案例所需的最低許可
如需其他服務 AWS ,請參閱 [設定 ACK 許可](ack-permissions.md)。
將政策連接到角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):policy/ACKS3Policy
```
## 步驟 2:建立 ACK 功能
使用 eksctl 建立 ACK 功能。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
eksctl create capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--ack-service-controllers s3
```
**注意**
`--ack-service-controllers` 旗標為選用。如果省略,ACK 會啟用所有可用的控制器。為了獲得更好的效能和安全性,請考慮僅啟用您需要的控制器。您可以指定多個控制器: `--ack-service-controllers s3,rds,dynamodb`
命令會立即傳回,但 功能需要一些時間才會變成作用中。
## 步驟 3:確認功能處於作用中狀態
檢查功能狀態:
```
eksctl get capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack
```
當狀態顯示 時,此功能已就緒`ACTIVE`。
## 步驟 4:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 ACK 自訂資源:
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源