本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AMS SSP AWS Fargate 在 AMS 帳戶中佈建 Amazon EKS
<a name="amz-eks"></a>

使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 Amazon EKS on AWS Fargate 功能。 AWS Fargate 是一種技術，可為容器提供隨需、大小正確的運算容量 （若要了解容器，請參閱[什麼是容器？](https://aws.amazon.com/what-are-containers))。使用 AWS Fargate，您不再需要佈建、設定或擴展虛擬機器群組來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展節點群組，或最佳化叢集壓縮。

Amazon Elastic Kubernetes Service (Amazon EKS) AWS Fargate 使用 Kubernetes 提供的 AWS 上游可擴展模型建置的控制器來整合 Kubernetes 與 。這些控制器作為 Amazon EKS 受管 Kubernetes 控制平面的一部分執行，並負責將原生 Kubernetes Pod 排程到 Fargate。Fargate 控制器包括新的排程器，除了數個變換與驗證許可控制器之外，也會隨著預設 Kubernetes 排程器執行。當您啟動符合在 Fargate 上執行之條件的 Pod 時，在叢集中執行的 Fargate 控制器便會辨識、更新及將 Pod 排程至 Fargate。

若要進一步了解，請參閱 [Amazon EKS on AWS Fargate Now Generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) 和 [Amazon EKS 安全最佳實務指南](https://aws.github.io/aws-eks-best-practices/security/docs/) （包括「建議」，例如「檢閱和撤銷不必要的匿名存取」等）。

**提示**  
AMS 具有變更類型：部署 \$1 進階堆疊元件 \$1 身分和存取管理 (IAM) \$1 建立 OpenID Connect 提供者 (ct-30ecvfi3tq4k3)，可與 Amazon EKS 搭配使用。如需範例，請參閱 [ Identity and Access Management (IAM) \$1 Create OpenID Connect Provider](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html)。

## AWS Managed Services 常見問答集 AWS Fargate 中的 Amazon EKS
<a name="set-amz-eks-faqs"></a>

**問：如何在我的 AMS 帳戶中請求存取 Fargate 上的 Amazon EKS？**

透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 （受管自動化） (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶。
+ `customer_eks_fargate_console_role`.

  在帳戶中佈建之後，您必須在聯合解決方案中加入角色。
+ 這些服務角色授予 Amazon EKS on Fargate 代表您呼叫其他 AWS 服務的許可：
  + `customer_eks_pod_execution_role`
  + `customer_eks_cluster_service_role`

**問：在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 有哪些限制？**
+ AMS 不支援建立[受管](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html)或[自我管理](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)的 EC2 節點群組。如果您需要使用 EC2 工作者節點，請聯絡您的 AMS Cloud Service Delivery Manager (CSDM) 或 Cloud Architect (CA)。
+ AMS 不包含 Trend Micro 或預先設定的容器映像網路安全元件。您需要管理自己的映像掃描服務，以在部署之前偵測惡意容器映像。
+ 由於 CloudFormation 相互依存性，不支援 EKSCTL。
+ 在叢集建立期間，您有停用叢集控制平面記錄的許可。如需詳細資訊，請參閱 [Amazon EKS 控制平面記錄](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)。我們建議您在建立叢集時啟用所有重要的 API、身分驗證和稽核記錄。
+ 在叢集建立期間，Amazon EKS 叢集的叢集端點存取預設為公有；如需詳細資訊，請參閱 [Amazon EKS 叢集端點存取控制](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html)。建議您將 Amazon EKS 端點設定為私有。如果公有存取需要端點，則最佳實務是僅針對特定 CIDR 範圍將其設定為公有。
+ AMS 沒有強制和限制用於部署至 Amazon EKS Fargate 容器之映像的方法。您可以從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此，部署可能在該帳戶上執行惡意活動的公有映像會有風險。
+ AMS 不支援透過雲端開發套件 (CDK) 或 CloudFormation Ingest 部署 EKS 叢集。
+ 您必須使用 [ct-3pc215bnwb6p7 部署 \$1 進階堆疊元件 \$1 安全群組 \$1 在資訊清單檔案中建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html)和參考，以建立輸入。這是因為角色`customer-eks-alb-ingress-controller-role`未獲授權建立安全群組。

**問：在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 的先決條件或相依性是什麼？**

若要使用 服務，必須設定下列相依性：
+ 如需驗證服務，必須安裝 KUBECTL 和 aws-iam-authenticator；如需詳細資訊，請參閱[管理叢集身分驗證](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)。
+ Kubernetes 倚賴稱為「服務帳戶」的概念。為了在 EKS 上利用 kubernetes 叢集內的服務帳戶功能，必須使用下列輸入進行管理 \$1 其他 \$1 更新 RFC：
  + 【必要】 Amazon EKS 叢集名稱
  + 【必要】 將部署服務帳戶 (SA) 的 Amazon EKS 叢集命名空間。
  + 【必要】 Amazon EKS 叢集 SA 名稱。
  + 【必要】 要關聯的 IAM 政策名稱和許可/文件。
  + 【必要】 正在請求的 IAM 角色名稱。
  + 【選用】 OpenID Connect 提供者 URL。如需詳細資訊，請參閱
    +  [ 在叢集上啟用服務帳戶的 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
    +  [ 為服務帳戶介紹精細的 IAM 角色](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ 我們建議設定和監控 Config 規則
  + 公有叢集端點
  + 停用 API 記錄

  您有責任監控和修復這些 Config 規則。

如果您想要部署 [ALB 傳入控制器](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html)，請提交管理 \$1 其他 \$1 其他更新 RFC，以佈建要與 ALB 傳入控制器 Pod 搭配使用的必要 IAM 角色。建立要與 ALB 傳入控制器建立關聯的 IAM 資源 （請在 RFC 中包含這些資源） 需要下列輸入：
+ 【必要】 Amazon EKS 叢集名稱
+ 【選用】 OpenID Connect 提供者 URL
+ 【選用】 Amazon EKS 叢集命名空間，其中將部署應用程式負載平衡器 (ALB) 輸入控制器服務。【預設：kube-system】
+ 【選用】 Amazon EKS 叢集服務帳戶 (SA) 名稱。【預設：aws-load-balancer-controller】

如果您想要在叢集中啟用信封秘密加密 （我們建議），請在 RFC 的描述欄位中提供您要使用的 KMS 金鑰 IDs，以新增服務 （管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct)。若要進一步了解信封加密，請參閱 [ Amazon EKS 使用 AWS KMS 新增秘密的信封加密](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/)。