**Unterstützung für die Verbesserung dieser Seite beitragen**
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie Knoten mit optimiertem Bottlerocket AMIs
[Bottlerocket](https://aws.amazon.com/bottlerocket/) ist eine Open-Source-Linux-Distribution, die von gesponsert und unterstützt wird. AWS Bottlerocket wurde speziell für das Hosting von Container-Workloads entwickelt. Mit Bottlerocket können Sie die Verfügbarkeit von containerisierten Bereitstellungen verbessern und die Betriebskosten senken, indem Sie Aktualisierungen Ihrer Container-Infrastruktur automatisieren. Bottlerocket enthält ausschließlich die für den Betrieb von Containern erforderliche Software. Dies führt zu einer verbesserten Ressourcennutzung, einer Reduzierung von Sicherheitsrisiken und einem geringeren Verwaltungsaufwand. Das Bottlerocket AMI umfasst`containerd`,`kubelet`, und AWS IAM Authenticator. Neben verwalteten Knotengruppen und selbstverwalteten Knoten wird Bottlerocket auch von [Karpenter](https://karpenter.sh/) unterstützt.
## Vorteile
Die Verwendung von Bottlerocket mit Ihrem Amazon-EKS-Cluster hat die folgenden Vorteile:
+ **Höhere Verfügbarkeit bei geringeren Betriebskosten und weniger Verwaltungsaufwand** – Bottlerocket benötigt weniger Ressourcen, hat kürzere Startzeiten und ist weniger anfällig für Sicherheitsbedrohungen als andere Linux-Verteilungen. Der geringere Ressourcenbedarf von Bottlerocket trägt zur Kostensenkung bei, da weniger Speicher-, Rechen- und Netzwerkressourcen benötigt werden.
+ **Verbesserte Sicherheit durch automatische Betriebssystemupdates** – Updates für Bottlerocket werden als eine Einheit installiert, die bei Bedarf rückgängig gemacht werden kann. Dadurch wird das Risiko beschädigter oder fehlgeschlagener Updates vermieden, die das System in einen unbrauchbaren Zustand versetzen können. Mit Bottlerocket können Sicherheitsaktualisierungen automatisch angewendet werden, sobald sie verfügbar sind, und das mit minimaler Unterbrechung. Bei Ausfällen können sie zurückgesetzt werden.
+ **Premium-Support** — AWS sofern Versionen von Bottlerocket auf Amazon EC2 verfügbar sind, fallen unter dieselben AWS Support-Pläne, die auch AWS Services wie Amazon EC2, Amazon EKS und Amazon ECR abdecken.
## Überlegungen
Beachten Sie bei der Verwendung von Bottlerocket für Ihren AMI-Typ Folgendes:
+ Bottlerocket unterstützt EC2 Amazon-Instances mit `x86_64` und Prozessoren. `arm64`
+ Bottlerocket unterstützt EC2 Amazon-Instances mit. GPUs Weitere Informationen finden Sie unter [Verwenden Sie EKS-optimierte beschleunigte AMIs GPU-Instanzen](ml-eks-optimized-ami.md).
+ Bottlerocket-Images enthalten weder einen SSH-Server noch eine Shell. Sie können out-of-band Zugriffsmethoden verwenden, um SSH zuzulassen. Diese Ansätze ermöglichen es dem Administrator-Container, einige Bootstrapping-Konfigurationsschritte mit Benutzerdaten zu übergeben. Weitere Informationen finden Sie in den folgenden Abschnitten von [Bottlerocket](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md) OS unter: GitHub
+ [Exploration](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#exploration) (Erkundung)
+ [Administrator-Container](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container)
+ [Kubernetes-Einstellungen](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#kubernetes-settings)
+ Bottlerocket verwendet verschiedene Container-Typen:
+ Standardmäßig ist ein [Steuerungs-Container](https://github.com/bottlerocket-os/bottlerocket-control-container) aktiviert. In diesem Container wird der [AWS Systems Manager Manager-Agent](https://github.com/aws/amazon-ssm-agent) ausgeführt, mit dem Sie Befehle ausführen oder Shell-Sitzungen auf Amazon EC2 Bottlerocket-Instances starten können. Weitere Informationen finden Sie unter [Setting up Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html) im * AWS Systems Manager Manager-Benutzerhandbuch*.
+ Wenn bei der Erstellung der Knotengruppe ein SSH-Schlüssel angegeben wird, wird ein Admin-Container aktiviert. Wir empfehlen, den Administrator-Container nur für Entwicklungs- und Testszenarien zu verwenden. Es wird nicht empfohlen, ihn in Produktionsumgebungen zu verwenden. Weitere Informationen finden Sie unter [Administrator-Container](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container) auf GitHub.
## Weitere Informationen
Weitere Informationen zur Verwendung des für Amazon EKS optimierten Bottlerocket AMIs finden Sie in den folgenden Abschnitten:
+ Einzelheiten zu Bottlerocket finden Sie in der [Bottlerocket-Dokumentation](https://bottlerocket.dev/en/).
+ Informationen zur Version finden Sie unter [Abrufen von Bottlerocket-AMI-Versionsinformationen](eks-ami-versions-bottlerocket.md).
+ Informationen zur Verwendung von Bottlerocket mit verwalteten Knotengruppen finden Sie unter [Vereinfachung des Knotenlebenszyklus mit verwalteten Knotengruppen](managed-node-groups.md).
+ Um selbstverwaltete Bottlerocket-Knoten zu starten, lesen Sie [Selbstverwaltete Bottlerocket-Knoten erstellen](launch-node-bottlerocket.md).
+ Informationen zum Abrufen der neuesten Version IDs des für Amazon EKS optimierten Bottlerocket AMIs finden Sie unter. [Empfohlene Bottlerocket-AMI-IDs abrufen](retrieve-ami-id-bottlerocket.md)
+ Einzelheiten zur Compliance-Unterstützung finden Sie unter [Compliance-Anforderungen mit Bottlerocket erfüllen](bottlerocket-compliance-support.md).
# Abrufen von Bottlerocket-AMI-Versionsinformationen
Jede Bottlerocket-AMI-Version umfasst verschiedene Versionen von [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/), dem Bottlerocket-Kernel und [containerd](https://containerd.io/). Beschleunigte AMI-Varianten enthalten auch verschiedene Versionen des NVIDIA-Treibers. Sie finden diese Versionsinformationen im Abschnitt [Betriebssystem](https://bottlerocket.dev/en/os/) der *Bottlerocket-Dokumentation*. Navigieren Sie von dieser Seite zum entsprechenden Unterthema *Versionsinformationen*.
Die *Bottlerocket-Dokumentation* kann gelegentlich hinter den auf GitHub verfügbaren Versionen zurückbleiben. Eine Liste der Änderungen für die neuesten Versionen finden Sie in den [Versionen](https://github.com/bottlerocket-os/bottlerocket/releases) auf GitHub.
# Empfohlene Bottlerocket-AMI-IDs abrufen
Beim Bereitstellen von Knoten können Sie eine ID für ein vorkonfiguriertes, für Amazon EKS optimiertes Amazon Machine Image (AMI) angeben. Um eine AMI-ID abzurufen, die Ihrer gewünschten Konfiguration entspricht, führen Sie eine Abfrage an die API für AWS Systems Manager Parameter Store durch. Durch die Verwendung dieser API entfällt die Notwendigkeit zur manuellen Suche nach Amazon-EKS-optimierten AMI-IDs. Weitere Informationen finden Sie unter [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html). Das von Ihnen verwendete [IAM-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) muss über die `ssm:GetParameter`-IAM-Berechtigung zum Abrufen der Amazon EKS-optimierten AMI-Metadaten verfügen.
Sie können die Image-ID der aktuellsten empfohlenen Amazon-EKS-optimierten Bottlerocket-AMI mit dem folgenden AWS-CLI-Befehl abrufen, der den Unterparameter `image_id` verwendet. Nehmen Sie nach Bedarf die folgenden Änderungen am Befehl vor und führen Sie anschließend den geänderten Befehl aus:
+ Ersetzen Sie *kubernetes-version* durch eine unterstützte [platform-version](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html).
+ Ersetzen Sie *-flavor* durch eine der folgenden Optionen.
+ Entfernen Sie *-flavor* für Varianten ohne GPU
+ Verwenden Sie *-nvidia* für GPU-fähige Varianten.
+ Verwenden Sie *-fips* für FIPS-fähige Varianten.
+ Ersetzen Sie *architecture* durch eine der folgenden Optionen.
+ Verwenden Sie *x86\$164* für `x86`-basierte Instances.
+ Verwenden Sie *arm64* für ARM-Instances.
+ Ersetzen Sie *region-code* durch eine [Amazon-EKS-unterstützte AWS-Region](https://docs.aws.amazon.com/general/latest/gr/eks.html), für die Sie die AMI-ID verwenden möchten.
```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-kubernetes-version-flavor/architecture/latest/image_id \
--region region-code --query "Parameter.Value" --output text
```
Hier ist ein Beispielbefehl, nachdem Platzhalter ersetzt wurden.
```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-1.31/x86_64/latest/image_id \
--region us-west-2 --query "Parameter.Value" --output text
```
Eine Beispielausgabe sieht wie folgt aus.
```
ami-1234567890abcdef0
```
# Compliance-Anforderungen mit Bottlerocket erfüllen
Bottlerocket entspricht den von verschiedenen Organisationen festgelegten Empfehlungen:
+ Für Bottlerocket ist ein [CIS-Benchmark](https://www.cisecurity.org/benchmark/bottlerocket) definiert. In einer Standardkonfiguration verfügt das Bottlerocket-Image über die meisten Steuerelemente, die für das CIS-Level-1-Konfigurationsprofil erforderlich sind. Sie können die für ein CIS-Level-2-Konfigurationsprofil erforderlichen Steuerungen implementieren. Weitere Informationen finden Sie unter [Validieren des für Amazon EKS optimierten Bottlerocket-AMIs anhand des CIS-Benchmarks](https://aws.amazon.com/blogs/containers/validating-amazon-eks-optimized-bottlerocket-ami-against-the-cis-benchmark) im AWS-Blog.
+ Der optimierte Feature-Umfang und die reduzierte Angriffsfläche bedeuten, dass Bottlerocket-Instances weniger Konfiguration erfordern, um die PCI-DSS-Anforderungen zu erfüllen. Der [CIS-Benchmark für Bottlerocket](https://www.cisecurity.org/benchmark/bottlerocket) ist eine hervorragende Quelle für Hardening-Richtlinien und unterstützt Ihre Anforderungen an sichere Konfigurationsstandards gemäß der PCI-DSS-Anforderung 2.2. Sie können [Fluent Bit](https://opensearch.org/blog/technical-post/2022/07/bottlerocket-k8s-fluent-bit/) auch nutzen, um Ihre Anforderungen an die Auditprotokollierung auf Betriebssystemebene gemäß der PCI-DSS-Anforderung 10.2 zu erfüllen. AWS veröffentlicht regelmäßig neue (gepatchte) Bottlerocket-Instances, damit Sie die PCI-DSS-Anforderungen 6.2 (für v3.2.1) und 6.3.3 (für v4.0) erfüllen können.
+ Bottlerocket ist ein HIPAA-fähiges Feature, die für die Verwendung mit regulierten Workloads sowohl für Amazon EC2 als auch für Amazon EKS autorisiert ist. Weitere Informationen finden Sie in der [Referenz für HIPAA-berechtigte Services](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/).
+ Es sind Bottlerocket-AMIs verfügbar, die für die Verwendung von FIPS 140-3-validierten kryptografischen Modulen vorkonfiguriert sind. Dazu gehören das Amazon Linux 2023 Kernel Crypto API Cryptographic Module und das AWS-LC Cryptographic Module. Weitere Informationen finden Sie unter [Machen Sie Ihre Worker-Nodes FIPS-fähig mit Bottlerocket FIPS AMIs](bottlerocket-fips-amis.md).
# Machen Sie Ihre Worker-Nodes FIPS-fähig mit Bottlerocket FIPS AMIs
Die Veröffentlichung 140-3 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US- und der kanadischen Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Bottlerocket erleichtert die Einhaltung von FIPS, indem es mit einem FIPS-Kernel anbietet. AMIs
Diese AMIs sind für die Verwendung von FIPS 140-3-validierten kryptografischen Modulen vorkonfiguriert. Dazu gehören das Amazon Linux 2023 Kernel Crypto API Cryptographic Module und das Go Cryptographic Module.
Durch die Verwendung von Bottlerocket FIPS sind Ihre Worker-Knoten AMIs zwar „FIPS-fähig“, aber nicht automatisch „FIPS-konform“. Weitere Informationen finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
## Überlegungen
+ Wenn Ihr Cluster isolierte Subnetze verwendet, ist der Amazon-ECR-FIPS-Endpunkt möglicherweise nicht erreichbar. Dies kann dazu führen, dass der Knoten-Bootstrap fehlschlägt. Stellen Sie sicher, dass Ihre Netzwerkkonfiguration den Zugriff auf die erforderlichen FIPS-Endpunkte zulässt. Weitere Informationen finden Sie im * AWS PrivateLink Handbuch* unter [Zugreifen auf eine Ressource über einen VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html) für Ressourcen.
+ Wenn Ihr Cluster ein Subnetz mit verwendet [PrivateLink](vpc-interface-endpoints.md), schlagen Image-Pulls fehl, weil Amazon ECR FIPS-Endpunkte nicht über verfügbar sind. PrivateLink
## Erstellung einer verwalteten Knotengruppe mit einer Bottlerocket-FIPS-AMI
Das Bottlerocket FIPS AMI ist in vier Varianten erhältlich, um Ihre Workloads zu unterstützen:
+ `BOTTLEROCKET_x86_64_FIPS`
+ `BOTTLEROCKET_ARM_64_FIPS`
+ `BOTTLEROCKET_x86_64_NVIDIA_FIPS`
+ `BOTTLEROCKET_ARM_64_NVIDIA_FIPS`
Um eine verwaltete Knotengruppe mit einer Bottlerocket-FIPS-AMI zu erstellen, wählen Sie während des Erstellungsprozesses den entsprechenden AMI-Typ aus. Weitere Informationen finden Sie unter [Eine verwaltete Knotengruppe für Ihren Cluster erstellen](create-managed-node-group.md).
Weitere Informationen zur Auswahl von FIPS-fähigen Varianten finden Sie unter [Empfohlene Bottlerocket-AMI-IDs abrufen](retrieve-ami-id-bottlerocket.md).
## Deaktivieren Sie den FIPS-Endpunkt für nicht unterstützte Regionen AWS
Bottlerocket FIPS AMIs werden in den Vereinigte Staaten, einschließlich AWS GovCloud (US-) Regionen, direkt unterstützt. AWS In Regionen, in denen sie verfügbar AMIs sind, aber nicht direkt unterstützt werden, können Sie sie trotzdem verwenden, AMIs indem Sie eine verwaltete Knotengruppe mit einer Startvorlage erstellen.
Das Bottlerocket-FIPS-AMI basiert während des Bootstraps auf dem Amazon ECR-FIPS-Endpunkt, der außerhalb der Vereinigten Staaten in der Regel nicht verfügbar ist. Um das AMI für seinen FIPS-Kernel in AWS Regionen zu verwenden, in denen der Amazon ECR-FIPS-Endpunkt nicht verfügbar ist, gehen Sie wie folgt vor, um den FIPS-Endpunkt zu deaktivieren:
1. Erstellen Sie eine neue Konfigurationsdatei mit dem nachfolgenden Inhalt oder integrieren Sie den Inhalt in Ihre bestehende Konfigurationsdatei.
```
[default]
use_fips_endpoint=false
```
1. Codieren Sie den Dateiinhalt im Base64-Format.
1. Fügen Sie in Ihrer Startvorlage `UserData` die folgende codierte Zeichenfolge im TOML-Format hinzu:
```
[settings.aws]
config = ""
```
[Weitere Einstellungen finden Sie in der Beschreibung der Einstellungen von Bottlerocket unter.](https://github.com/bottlerocket-os/bottlerocket?tab=readme-ov-file#description-of-settings) GitHub
Hier ist ein Beispiel von `UserData` für eine Startvorlage:
```
[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = ""
cluster-certificate = ""
cluster-name = ""
...
```
Weitere Informationen zum Erstellen einer Startvorlage mit Benutzerdaten finden Sie unter [Verwaltete Knoten mit Startvorlagen anpassen](launch-templates.md).