**Ayude a mejorar esta página**
Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.
# Administración de los recursos de computación mediante nodos
Un nodo de Kubernetes es una máquina que ejecuta aplicaciones en contenedores. Cada nodo tiene los siguientes componentes:
+ **[Tiempo de ejecución del contenedor](https://kubernetes.io/docs/setup/production-environment/container-runtimes/)**: es el software responsable de ejecutar los contenedores.
+ **[kubelet:](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/)** se asegura de que los contenedores estén en buen estado y funcionando dentro de su pod asociado.
+ **[kube-proxy](https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/)**: mantiene las reglas de red que permiten la comunicación con sus pods.
Para obtener más información, consulte [Nodos](https://kubernetes.io/docs/concepts/architecture/nodes/) en la documentación de Kubernetes.
El clúster de Amazon EKS puede programar pods en cualquier combinación de [nodos administrados del modo automático de EKS](automode.md), [nodos autoadministrados](worker.md), [grupos de nodos administrados de Amazon EKS](managed-node-groups.md), [AWS Fargate](fargate.md) y [Nodos híbridos de Amazon EKS](hybrid-nodes-overview.md). Para obtener más información sobre los nodos implementados en el clúster, consulte [Visualización de los recursos de Kubernetes en la Consola de administración de AWS](view-kubernetes-resources.md).
**nota**
A excepción de los nodos híbridos, los nodos deben estar en la misma VPC que las subredes que seleccionó al crear el clúster. Sin embargo, los nodos no tienen que estar en las mismas subredes.
## Comparación de opciones de computación
La siguiente tabla proporciona varios criterios para evaluar a la hora de decidir qué opciones se ajustan mejor a sus requisitos. Los nodos autoadministrados son otra opción que cumple todos los criterios enumerados, pero requieren mucho más mantenimiento manual. Para obtener más información, consulte [Mantenimiento de nodos por cuenta propia con nodos autoadministrados](worker.md).
**nota**
Bottlerocket presenta algunas diferencias específicas con respecto a la información general de esta tabla. Para obtener más información, consulte la [documentación](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md) de Bottlerocket en GitHub.
| Criterios | Grupos de nodos administrados por EKS | Modo automático de EKS | Nodos híbridos de Amazon EKS |
| --- | --- | --- | --- |
| Se puede implementar en [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) | No | No | No |
| Se puede implementar en [ zonas locales de AWS](local-zones.md). | Sí | No | No |
| Puede ejecutar contenedores que requieren Windows | Sí | No | No |
| Puede ejecutar contenedores que requieran Linux. | Sí | Sí | Sí |
| Puede ejecutar cargas de trabajo que requieren el chip de inferencias. | [Sí](inferentia-support.md). Solo nodos de Amazon Linux. | Sí | No |
| Puede ejecutar cargas de trabajo que requieren una GPU. | [Sí](eks-optimized-ami.md#gpu-ami). Solo nodos de Amazon Linux. | Sí | Sí |
| Puede ejecutar cargas de trabajo que requieren procesadores Arm. | [Sí](eks-optimized-ami.md#arm-ami) | Sí | Sí |
| Puede ejecutar AWS [Bottlerocket](https://aws.amazon.com/bottlerocket/). | Sí | Sí | No |
| Los pods comparten CPU, memoria, almacenamiento y recursos de red con otros pods. | Sí | Sí | Sí |
| Debe implementar y administrar instancias de Amazon EC2. | Sí | No, obtenga más información sobre las [instancias administradas por EC2](automode-learn-instances.md) | Sí, usted administra las máquinas virtuales o físicas en las instalaciones con las herramientas que elija. |
| Debe proteger, mantener y aplicar parches al sistema operativo de las instancias de Amazon EC2. | Sí | No | Sí, usted administra el sistema operativo que se ejecuta en las máquinas virtuales o físicas con las herramientas que elija. |
| Puede proporcionar argumentos de arranque en la implementación de un nodo, como argumentos [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/) adicionales. | Sí, mediante `eksctl` o una [plantilla de lanzamiento](launch-templates.md) con una AMI personalizada. | No, [utilice `NodeClass` para configurar nodos](create-node-class.md) | Sí, puede personalizar los argumentos de arranque con nodeadm. Consulte [Referencia de `nodeadm` de nodos híbridos](hybrid-nodes-nodeadm.md). |
| Puede asignar direcciones IP a pods desde un bloque de CIDR diferente de la dirección IP asignada al nodo. | Sí. Mediante una plantilla de lanzamiento con una AMI personalizada. Para obtener más información, consulte [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md). | No | Sí, consulte [Configuración de una CNI para nodos híbridos](hybrid-nodes-cni.md). |
| Se puede utilizar SSH en el nodo. | Sí | No, [aprenda a solucionar problemas con los nodos](auto-troubleshoot.md) | Sí |
| Puede implementar su propia AMI personalizada en los nodos. | Sí. Mediante una [plantilla de lanzamiento](launch-templates.md). | No | Sí |
| Puede implementar su propia CNI personalizada en los nodos. | Sí. Mediante una [plantilla de lanzamiento](launch-templates.md) con una AMI personalizada. | No | Sí |
| Debe actualizar la AMI de nodos por su cuenta | [Sí](update-managed-node-group.md): si ha implementado una AMI optimizada de Amazon EKS, recibirá una notificación en la consola de Amazon EKS cuando las actualizaciones estén disponibles. Puede realizar la actualización con un solo clic de en la consola. Si ha implementado una AMI personalizada, no recibirá una notificación en la consola de Amazon EKS cuando las actualizaciones estén disponibles. Debe realizar la actualización por su cuenta. | No | Sí, usted administra el sistema operativo que se ejecuta en las máquinas virtuales o físicas con las herramientas que elija. Consulte [Cómo preparar el sistema operativo para los nodos híbridos](hybrid-nodes-os.md). |
| Debe actualizar la versión de Kubernetes de los nodos por su cuenta. | [Sí](update-managed-node-group.md): si ha implementado una AMI optimizada de Amazon EKS, recibirá una notificación en la consola de Amazon EKS cuando las actualizaciones estén disponibles. Puede realizar la actualización con un solo clic de en la consola. Si ha implementado una AMI personalizada, no recibirá una notificación en la consola de Amazon EKS cuando las actualizaciones estén disponibles. Debe realizar la actualización por su cuenta. | No | Sí, usted administra las actualizaciones de los nodos híbridos con las herramientas que elija o con `nodeadm`. Consulte [Actualización de nodos híbridos para el clúster](hybrid-nodes-upgrade.md). |
| Puede utilizar el almacenamiento de Amazon EBS con pods. | [Sí](ebs-csi.md) | Sí, como una capacidad integrada. Aprenda a [crear una clase de almacenamiento](create-storage-class.md). | No |
| Puede utilizar el almacenamiento de Amazon EFS con pods. | [Sí](efs-csi.md) | Sí | No |
| Puede utilizar el almacenamiento de Amazon FSx para Lustre con pods. | [Sí](fsx-csi.md) | Sí | No |
| Puede utilizar el Network Load Balancer para servicios. | [Sí](network-load-balancing.md) | Sí | Sí, debe usar el tipo de destino `ip`. |
| Los pods pueden ejecutarse en una subred pública. | Sí | Sí | No, los pods se ejecutan en un entorno en las instalaciones. |
| Puede asignar diferentes grupos de seguridad de VPC a pods individuales. | [Sí](security-groups-for-pods.md). Solo nodos de Linux. | No | No |
| Puede ejecutar DaemonSets de Kubernetes. | Sí | Sí | Sí |
| Soporte de `HostPort` y `HostNetwork` en el manifiesto del pod. | Sí | Sí | Sí |
| Disponibilidad regional de AWS | [Todas las regiones admitidas por Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) | [Todas las regiones admitidas por Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) | [Todas las regiones compatibles con Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) excepto las regiones de AWS GovCloud (EE. UU.) y China. |
| Puede ejecutar contenedores en hosts dedicados de Amazon EC2 | Sí | No | No |
| Precios | Costo de la instancia de Amazon EC2 que ejecuta varios pods. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/). | Cuando el modo automático de EKS está habilitado en el clúster, se paga una tarifa aparte, además de las tarifas estándar de las instancias de EC2, correspondiente a las instancias lanzadas mediante la capacidad de computación del modo automático. El importe varía en función del tipo de instancia lanzada y de la región de AWS en la que se encuentre el clúster. Para obtener más información, consulte los [precios de Amazon EKS](https://aws.amazon.com/eks/pricing/). | Costo por hora de vCPU de nodos híbridos. Para obtener más información, consulte los [precios de Amazon EKS](https://aws.amazon.com/eks/pricing/). |
# Simplificación del ciclo de vida de los nodos con grupos de nodos administrados
Los grupos de nodos administrados por Amazon EKS automatizan el aprovisionamiento y la gestión del ciclo de vida de nodos (instancias de Amazon EC2) para clústeres de Kubernetes de Amazon EKS.
Con los grupos de nodos administrados por Amazon EKS, no es necesario aprovisionar o registrar por separado las instancias de Amazon EC2 que proporcionan capacidad informática para ejecutar sus aplicaciones de Kubernetes. Puede crear, actualizar o terminar nodos para el clúster con una sola operación y de manera automática. Las actualizaciones y terminaciones de nodos drenan de forma automática los nodos para garantizar que sus aplicaciones permanezcan disponibles.
Todos los nodos administrados se aprovisionan como parte de un grupo de Amazon EC2 Auto Scaling administrado por usted a través de Amazon EKS. Todos los recursos, incluidas las instancias y los grupos de Auto Scaling, se ejecutan dentro de su cuenta de AWS. Cada grupo de nodos puede ejecutarse en varias zonas de disponibilidad que defina.
Los grupos de nodos administrados también pueden aprovechar opcionalmente la reparación automática de nodos, que supervisa continuamente el estado de los nodos. Reacciona automáticamente ante los problemas detectados y reemplaza los nodos cuando es posible. Esto contribuye a mantener la disponibilidad general del clúster con una intervención manual mínima. Para obtener más información, consulte [Detección de los problemas de estado de los nodos y reparación automática de los nodos](node-health.md).
Puede agregar un grupo de nodos administrado a clústeres nuevos o existentes mediante la consola de Amazon EKS, `eksctl`, AWS CLI, la API de AWS o herramientas de infraestructura como código que incluyen AWS CloudFormation. Los nodos lanzados como parte de un grupo de nodos administrado se etiquetan automáticamente para la detección automática por el [Escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes. Puede utilizar el grupo de nodos para aplicar etiquetas de Kubernetes a los nodos y actualizarlos en cualquier momento.
No incurre en costos adicionales por usar grupos de nodos administrados por Amazon EKS, solo paga por los recursos de AWS que aprovisione. Estos incluyen instancias de Amazon EC2, volúmenes de Amazon EBS, horas de clúster de Amazon EKS y cualquier otra infraestructura de AWS. No se requieren pagos mínimos ni compromisos iniciales.
Para comenzar a utilizar un grupo de nodos administrado y un clúster de Amazon EKS nuevos, consulte [Introducción a Amazon EKS: Consola de administración de AWS y AWS CLI](getting-started-console.md).
Para agregar un grupo de nodos administrados a un clúster existente, consulte [Creación de un grupo de nodos administrados para un clúster](create-managed-node-group.md).
## Conceptos de grupos de nodos administrados
+ Los grupos de nodos administrados por Amazon EKS crean y administran instancias de Amazon EC2 para usted.
+ Todos los nodos administrados se aprovisionan como parte de un grupo de Amazon EC2 Auto Scaling administrado por usted a través de Amazon EKS. Además, todos los recursos, incluidas las instancias de Amazon EC2 y los grupos de Auto Scaling, se ejecutan dentro de su cuenta de AWS.
+ El grupo de Auto Scaling de un grupo de nodos administrados abarca todas las subredes que especifique al crear el grupo.
+ Las etiquetas de Amazon EKS administran recursos de grupo de nodos para que estén configurados para usar el [Escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes.
**importante**
Si ejecuta una aplicación con estado en varias zonas de disponibilidad basadas en volúmenes de Amazon EBS y utiliza el [Escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes, debe configurar varios grupos de nodos, cada uno enfocado a una sola zona de disponibilidad. Además, debe habilitar la característica `--balance-similar-node-groups`.
+ Puede utilizar una plantilla de lanzamiento personalizada para obtener un mayor nivel de flexibilidad y personalización al implementar nodos administrados. Por ejemplo, puede especificar argumentos `kubelet` adicionales y utilizar una AMI personalizada. Para obtener más información, consulte [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md). Si no usa una plantilla de lanzamiento personalizada al crear un grupo de nodos administrados, hay una plantilla de lanzamiento generada automáticamente. No modifique manualmente esta plantilla generada automáticamente o se producirán errores.
+ Amazon EKS sigue el modelo de responsabilidad compartida para CVE y los parches de seguridad en grupos de nodos administrados. Cuando los nodos administrados ejecutan una AMI optimizada para Amazon EKS, Amazon EKS es responsable de crear versiones con parches de la AMI cuando se informa de errores o problemas. Podemos publicar una solución. Sin embargo, es responsable de implementar estas versiones de AMI con parches en los grupos de nodos administrados. Cuando los nodos administrados ejecutan una AMI personalizada, es responsable de crear versiones con parches de la AMI cuando se informa de errores o problemas y, a continuación, implementar la AMI. Para obtener más información, consulte [Actualización de un grupo de nodos administrados para un clúster](update-managed-node-group.md).
+ Los grupos de nodos administrados por Amazon EKS se pueden lanzar tanto en subredes públicas como privadas. Si lanza un grupo de nodos administrado en una subred pública el 22 de abril de 2020 o después, la subred debe tener la opción `MapPublicIpOnLaunch` establecida en verdadero para que las instancias puedan unirse a un clúster correctamente. Si la subred pública se creó con `eksctl` o [las plantillas de AWS CloudFormation ofrecidas por Amazon EKS](creating-a-vpc.md) el 26 de marzo de 2020 o después, esta configuración ya está establecida en verdadero. Si las subredes públicas se crearon antes del 26 de marzo de 2020, debe cambiar el valor de forma manual. Para obtener más información, consulte [Modificación del atributo de direcciones IPv4 públicas de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip).
+ Al implementar un grupo de nodos administrado en subredes privadas, debe asegurarse de que pueda acceder a Amazon ECR para extraer imágenes de contenedores. Para ello, conecte una puerta de enlace de NAT a la tabla de enrutamiento de la subred o agregue los siguientes [puntos de conexión de VPC de AWS PrivateLink](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-setting-up-vpc-create):
+ Interfaz de punto de conexión de la API de Amazon ECR: `com.amazonaws.region-code.ecr.api`
+ Interfaz de punto de conexión de la API de registro de Docker de Amazon ECR: `com.amazonaws.region-code.ecr.dkr`
+ Punto de conexión de puerta de enlace de Amazon S3: – `com.amazonaws.region-code.s3`
Para ver otros servicios y puntos de conexión de uso común, consulte [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
+ Los grupos de nodos administrados no se pueden implementar en [AWS Outposts](eks-outposts.md) ni en [AWS Wavelength](https://docs.aws.amazon.com/wavelength/). Los grupos de nodos administrados se pueden crear en [zonas locales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/). Para obtener más información, consulte [Lanzamiento de clústeres EKS de baja latencia con zonas locales de AWS](local-zones.md).
+ Puede crear varios grupos de nodos administrados dentro de un único clúster. Por ejemplo, puede crear un grupo de nodos con la AMI optimizada de Amazon Linux para Amazon EKS estándar para algunas cargas de trabajo y otro con la variante de GPU para las cargas de trabajo que requieren compatibilidad con GPU.
+ Si el grupo de nodos administrado encuentra un error de [comprobación de estado de instancia de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-system-instance-status-check.html), Amazon EKS devuelve un código de error para ayudarlo a diagnosticar el problema. Para obtener más información, consulte [Códigos de error del grupo de nodos administrado](troubleshooting.md#troubleshoot-managed-node-groups).
+ Amazon EKS agrega etiquetas de Kubernetes a instancias de grupos de nodos administrados. Estas etiquetas proporcionadas por Amazon EKS tienen el prefijo `eks.amazonaws.com`.
+ Amazon EKS drena nodos automáticamente a través de la API de Kubernetes durante las terminaciones o actualizaciones.
+ Los presupuestos de interrupción del pod no se respetan al terminar un nodo con `AZRebalance` o al reducir el número de nodos deseado. Estas acciones intentan expulsar los pods en el nodo. Sin embargo, si estas acciones tardan más de 15 minutos, el nodo se termina independientemente de si todos los pods del nodo están terminados. Para ampliar el período hasta que finalice el nodo, agregue un enlace de ciclo de vida al grupo de escalado automático. Para obtener más información, consulte [Agregar enlaces de enlace de ciclo de vida](https://docs.aws.amazon.com/autoscaling/ec2/userguide/adding-lifecycle-hooks.html) en la *guía de hombre del usuario de Amazon EC2 Auto Scaling*.
+ Para ejecutar el proceso de drenaje correctamente después de recibir una notificación de interrupción puntual o una notificación de reequilibrio de capacidad, `CapacityRebalance` debe configurarse en `true`.
+ La actualización de los grupos de nodos administrados respeta los presupuestos de interrupción de pods que ha establecido para sus pods. Para obtener más información, consulte [Descripción de cada fase de las actualizaciones de los nodos](managed-node-update-behavior.md).
+ No incurre en costos adicionales por usar grupos de nodos administrados de Amazon EKS. Solo pagará por los recursos de AWS que aprovisione.
+ Si desea cifrar volúmenes de Amazon EBS para sus nodos, puede implementarlos mediante una plantilla de lanzamiento. Para implementar nodos administrados con volúmenes cifrados de Amazon EBS sin utilizar una plantilla de lanzamiento, cifre todos los nuevos volúmenes de Amazon EBS creados en su cuenta. Para obtener más información, consulte [Cifrado de forma predeterminada](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EC2*.
## Tipos de capacidad de grupo de nodos administrado
Al crear un grupo de nodos administrado, puede elegir el tipo de capacidad bajo demanda o Spot. Amazon EKS implementa un grupo de nodos administrado con un grupo de Amazon EC2 Auto Scaling que solo contiene instancias de spot bajo demanda o solo instancias de spot de Amazon EC2. Puede programar pods para aplicaciones con tolerancia a errores en grupos de nodos administrados de spot y aplicaciones intolerantes a errores a grupos de nodos bajo demanda dentro de un único clúster de Kubernetes. De forma predeterminada, un grupo de nodos administrado implementa instancias de Amazon EC2 bajo demanda.
### Bajo demanda
Con instancias bajo demanda, paga la capacidad informática por segundo, sin compromisos a largo plazo.
De forma predeterminada, si no especifica un **Tipo de capacidad**, el grupo de nodos administrado se aprovisionará con instancias bajo demanda. En su nombre, un grupo de nodos administrado configura un grupo de Amazon EC2 Auto Scaling con la siguiente configuración aplicada:
+ La estrategia de asignación para aprovisionar capacidad bajo demanda se establece en `prioritized`. El grupo de nodos administrado utiliza el orden de los tipos de instancia de la API para determinar qué tipo de instancia se utilizará en primer lugar al cumplir con la capacidad bajo demanda. Por ejemplo, puede especificar tres tipos de instancias en el siguiente orden: `c5.large`, `c4.large` y `c3.large`. Cuando se lanzan las instancias bajo demanda, el grupo de nodos administrado satisface la capacidad bajo demanda, primero en `c5.large`, luego en `c4.large` y luego en `c3.large`. Para obtener más información, consulte [Grupo de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-purchase-options.html#asg-allocation-strategies) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
+ Amazon EKS agrega la siguiente etiqueta de Kubernetes a todos los nodos del grupo de nodos administrado que especifica el tipo de capacidad: `eks.amazonaws.com/capacityType: ON_DEMAND`. Puede utilizar esta etiqueta para programar aplicaciones con estado o intolerantes a errores en nodos bajo demanda.
### Spot
Las instancias de spot de Amazon EC2 son una capacidad de Amazon EC2 de reemplazo que ofrece grandes descuentos con respecto a los precios bajo demanda. Las instancias de spot de Amazon EC2 se pueden interrumpir con una notificación previa de dos minutos cuando EC2 necesita recuperar la capacidad. Para obtener más información, consulte [Instancias de spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-spot-instances.html) en *Guía del usuario de Amazon EC2*. Puede configurar un grupo de nodos administrado con instancias de spot de Amazon EC2 para optimizar los costos de los nodos informáticos que se ejecutan en su clúster de Amazon EKS.
Para utilizar instancias de spot dentro de un grupo de nodos administrados, cree uno y establezca el tipo de capacidad como `spot`. Un grupo de nodos administrado configura un grupo de Amazon EC2 Auto Scaling en su nombre con las siguientes prácticas recomendadas de spot aplicadas:
+ Para garantizar que los nodos de spot se aprovisionen en los grupos de capacidad de spot óptima, la estrategia de asignación se establece en una de las siguientes:
+ `price-capacity-optimized` (PCO): Al crear nuevos grupos de nodos en un clúster con la versión de Kubernetes `1.28` o una versión posterior, la estrategia de asignación se establece en `price-capacity-optimized`. Sin embargo, la estrategia de asignación no cambiará para los grupos de nodos ya creados con `capacity-optimized` antes de que los grupos de nodos administrados por Amazon EKS comenzaran a admitir PCO.
+ `capacity-optimized` (CO): Al crear nuevos grupos de nodos en un clúster con la versión de Kubernetes `1.27` o una versión anterior, la estrategia de asignación se establece en `capacity-optimized`.
Para aumentar el número de grupos de capacidad de spot disponibles a fin de asignar su capacidad, configure un grupo de nodos administrados para utilizar varios tipos de instancias.
+ El reequilibrio de capacidad de spot de Amazon EC2 está habilitado para que Amazon EKS pueda drenar y reequilibrar los nodos de spot de forma sencilla para minimizar la interrupción de la aplicación cuando un nodo de spot corre un riesgo elevado de interrupción. Para obtener más información, consulte [Reequilibrio de capacidad de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/capacity-rebalance.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.
+ Cuando un nodo de Spot recibe una recomendación de reequilibrio, Amazon EKS automáticamente intenta lanzar un nuevo nodo de Spot de reemplazo.
+ Si llega un aviso de interrupción de spot de dos minutos antes de que el nodo de spot de reemplazo se encuentre en estado `Ready`, Amazon EKS comienza a vaciar el nodo de spot que recibió la recomendación de reequilibrio. Amazon EKS drena el nodo haciendo todo lo posible. En consecuencia, no hay garantía de que Amazon EKS espere a que el nodo de reemplazo se una al clúster antes de agotar el nodo existente.
+ Cuando se inicia un nodo spot de reemplazo con el estado `Ready` en Kubernetes, Amazon EKS acordona y drena el nodo de spot que recibió la recomendación de reequilibrio. El acordonamiento del nodo de spot garantiza que el controlador de servicio no envíe nuevas solicitudes a este nodo de spot. También lo elimina de su lista de nodos de spot activos y en buen estado. Drenar el nodo de spot garantiza que los pods en funcionamiento se expulsen de manera sencilla.
+ Amazon EKS agrega la siguiente etiqueta de Kubernetes a todos los nodos del grupo de nodos administrado que especifica el tipo de capacidad: `eks.amazonaws.com/capacityType: SPOT`. Puede utilizar esta etiqueta para programar aplicaciones con tolerancia a errores en nodos de spot.
**importante**
EC2 emite un [aviso de interrupción de spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-instance-termination-notices.html) dos minutos antes de terminar la instancia de spot. Sin embargo, es posible que los pods de nodos de spot no reciban el plazo completo de dos minutos para que se terminen sin problemas. Cuando EC2 emite el aviso, se produce un retraso antes de que Amazon EKS comience a expulsar los pods. Las expulsiones se producen de forma secuencial para proteger el servidor de la API de Kubernetes, por lo que, durante varias recuperaciones simultáneas de spot, algunos pods pueden recibir avisos de expulsión con demora. Los pods se pueden terminar por la fuerza sin recibir señales de terminación, especialmente en los nodos con una alta densidad de pods, durante las recuperaciones simultáneas o cuando se utilizan periodos de gracia de terminación prolongados. Para las cargas de trabajo de spot, recomendamos diseñar las aplicaciones para que sean tolerantes a las interrupciones, utilizar periodos de gracia de terminación de 30 segundos o menos, evitar los enlaces preStop de larga duración y supervisar las métricas de expulsión de pods para comprender los periodos de gracia reales de los clústeres. En el caso de las cargas de trabajo que requieren una terminación correcta y garantizada, recomendamos utilizar la capacidad bajo demanda como alternativa.
Al decidir si desea implementar un grupo de nodos con capacidad bajo demanda o de spot, debe tener en cuenta las siguientes condiciones:
+ Las instancias de spot son una buena opción para aplicaciones sin estado, tolerantes a errores y flexibles. Estos incluyen cargas de trabajo de formación de machine learning y por lotes, ETL de big data como Apache Spark, aplicaciones de procesamiento de colas y puntos de conexión de API sin estado. Dado que spot es capacidad de Amazon EC2 de reemplazo y puede cambiar con el tiempo, le recomendamos que utilice la capacidad de spot para cargas de trabajo tolerantes a interrupciones. Más concretamente, la capacidad de spot es adecuada para cargas de trabajo que pueden tolerar periodos en los que la capacidad requerida no está disponible.
+ Recomendamos que utilice la opción bajo demanda para aplicaciones intolerantes a errores. Esto incluye herramientas de administración de clústeres como herramientas operativas y de supervisión, implementaciones que requieren `StatefulSets` y aplicaciones con estado, como bases de datos.
+ Para maximizar la disponibilidad de las aplicaciones mientras se utilizan instancias de spot, se recomienda configurar un grupo de nodos administrado de spot para que utilice varios tipos de instancias. Se recomienda aplicar las siguientes reglas al utilizar varios tipos de instancias:
+ Dentro de un grupo de nodos administrado, si está utilizando el [escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md), se recomienda utilizar un conjunto flexible de tipos de instancias con la misma cantidad de vCPU y recursos de memoria. Esto es para garantizar que los nodos del clúster se escalen según lo esperado. Por ejemplo, si necesita cuatro vCPU y 8 GiB de memoria, utilice `c3.xlarge`, `c4.xlarge`, `c5.xlarge`, `c5d.xlarge`, `c5a.xlarge`, `c5n.xlarge` u otros tipos de instancias similares.
+ Para mejorar la disponibilidad de las aplicaciones, recomendamos implementar varios grupos de nodos administrados por spot. Para ello, cada grupo debe utilizar un conjunto flexible de tipos de instancias que tengan los mismos recursos de memoria y vCPU. Por ejemplo, si necesita 4 vCPU y 8 GiB de memoria, le recomendamos que cree un grupo de nodos administrado con `c3.xlarge`, `c4.xlarge`, `c5.xlarge`, `c5d.xlarge`, `c5a.xlarge`, `c5n.xlarge` u otros tipos de instancias similares, y un segundo grupo de nodos administrado con `m3.xlarge`, `m4.xlarge`, `m5.xlarge`, `m5d.xlarge`, `m5a.xlarge`, `m5n.xlarge` u otros tipos de instancias similares.
+ Al implementar el grupo de nodos con el tipo de capacidad spot que utiliza una plantilla de lanzamiento personalizada, utilice la API para pasar varios tipos de instancia. No pase ni un solo tipo de instancia a través de la plantilla de lanzamiento. Para obtener más información sobre cómo implementar un grupo de nodos con una plantilla de lanzamiento, consulte [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md).
# Creación de un grupo de nodos administrados para un clúster
En este tema, se describe cómo puede lanzar grupos de nodos administrados de Amazon EKS que se registra en el clúster de Amazon EKS. Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de Kubernetes en ellos.
Si es la primera vez que lanza un grupo de nodos administrado de Amazon EKS, le recomendamos que siga una de nuestras guías en [Introducción a Amazon EKS](getting-started.md) en su lugar. Estas guías proporcionan explicaciones para crear un clúster de Amazon EKS con nodos.
**importante**
Los nodos de Amazon EKS son instancias estándar de Amazon EC2. Se le facturará en función de los precios normales de Amazon EC2. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).
No puede crear nodos administrados en una región de AWS en la que tenga habilitado AWS Outposts o AWS Wavelength. Puede crear nodos autoadministrados en su lugar. Para obtener más información, consulte [Creación de nodos autoadministrados de Amazon Linux](launch-workers.md), [Creación de nodos autoadministrados de Microsoft Windows](launch-windows-workers.md) y [Creación de nodos de Bottlerocket autoadministrados](launch-node-bottlerocket.md). También puede crear un grupo de nodos autoadministrados de Amazon Linux en un Outpost. Para obtener más información, consulte [Creación de nodos de Amazon Linux en AWS Outposts](eks-outposts-self-managed-nodes.md).
Si no [especifica un ID de AMI](launch-templates.md#launch-template-custom-ami) para el archivo `bootstrap.sh` incluido en Amazon EKS optimizado para Linux o Bottlerocket, los grupos de nodos administrados imponen un número máximo al valor de `maxPods`. Para las instancias con menos de 30 vCPU, el número máximo es `110`. Para las instancias con más de 30 vCPU, el número máximo aumenta a `250`. Esta aplicación obligatoria tiene precedencia sobre otras configuraciones de `maxPods`, incluida `maxPodsExpression`. Para obtener más información sobre cómo `maxPods` se determina y cómo personalizarlo, consulte [Cómo se determina maxPods](choosing-instance-type.md#max-pods-precedence).
+ Un clúster existente de Amazon EKS. Para implementar uno, consulte [Creación de un clúster de Amazon EKS](create-cluster.md).
+ Un rol de IAM existente para que lo utilicen los nodos. Para crear uno, consulte [Rol de IAM de nodo de Amazon EKS](create-node-role.md). Si este rol no tiene ninguna de las políticas de la CNI de la VPC, es necesario el rol independiente que se indica a continuación para los pods de la CNI de la VPC.
+ (Opcional, pero recomendado) El complemento CNI de Amazon VPC para Kubernetes configurado con su propio rol de IAM que tenga adjunta la política de IAM necesaria. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
+ Familiaridad con las consideraciones que se enumeran en [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md). Según el tipo de instancia que elija, es posible que haya requisitos previos adicionales para su clúster y VPC.
+ Para agregar un grupo de nodos administrado de Windows, primero debe habilitar la compatibilidad con Windows de su clúster. Para obtener más información, consulte [Implementación de nodos de Windows en clústeres de EKS](windows-support.md).
Puede crear un grupo de nodos administrados con cualquiera de las siguientes opciones:
+ [`eksctl`](#eksctl_create_managed_nodegroup)
+ [Consola de administración de AWS](#console_create_managed_nodegroup)
## `eksctl`
**Crear un grupo de nodos administrados con eksctl**
En este procedimiento, se requiere la versión `0.215.0` o posterior de `eksctl`. Puede verificar la versión con el siguiente comando:
```
eksctl version
```
Para obtener instrucciones sobre cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
1. (Opcional) Si la política de IAM administrada **AmazonEKS\$1CNI\$1Policy** se adjunta a su [rol de IAM de nodos de Amazon EKS](create-node-role.md), recomendamos asignarla a un rol de IAM asociado a la cuenta de servicio de `aws-node` de Kubernetes en su lugar. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
1. Cree un grupo de nodos administrados con una plantilla de lanzamiento personalizada o sin ella. La especificación manual de una plantilla de lanzamiento permite una mayor personalización de un grupo de nodos. Por ejemplo, puede permitir implementar una AMI personalizada o proporcionar argumentos al script `boostrap.sh` en una AMI optimizada para Amazon EKS. Para obtener una lista completa de todas las opciones y valores predeterminados disponibles, ingrese el siguiente comando.
```
eksctl create nodegroup --help
```
En el siguiente comando, reemplace *my-cluster* por el nombre del clúster y *my-mng* por el nombre del grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales.
**importante**
Si no utiliza una plantilla de lanzamiento personalizada cuando crea un grupo de nodos administrados, evite utilizarla más adelante para ese mismo grupo. Si no especificó una plantilla de lanzamiento personalizada, el sistema genera automáticamente una plantilla de lanzamiento que no recomendamos que modifique manualmente. Si se modifica manualmente esta plantilla de lanzamiento generada automáticamente, se podrían producir errores.
**Sin una plantilla de lanzamiento**
`eksctl` crea una plantilla de lanzamiento predeterminada de Amazon EC2 en su cuenta e implementa el grupo de nodos mediante una plantilla de lanzamiento que crea en función de las opciones que especifique. Antes de especificar un valor para `--node-type`, consulte [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md).
Reemplace *ami-family* por una palabra clave permitida. Para obtener más información, consulte [Configuración de la familia AMI del nodo](https://eksctl.io/usage/custom-ami-support/#setting-the-node-ami-family) en la documentación de `eksctl`. Reemplace *my-key* con el nombre de su par de claves de Amazon EC2 o la clave pública. Esta clave se utiliza para SSH en sus nodos después de que se lancen.
**nota**
Para Windows, este comando no habilita SSH. En su lugar, asocia el par de claves de Amazon EC2 con la instancia y le permite RDP en la instancia.
Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener información sobre Linux, consulte [Pares de claves e instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) para Linux en la *Guía del usuario de Amazon EC2*. Para obtener información sobre Windows, consulte [Pares de claves e instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) para Windows en la *Guía del usuario de Amazon EC2*.
Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
Para bloquear el acceso del pod a IMDS, agregue la opción `--disable-pod-imds` al siguiente comando.
```
eksctl create nodegroup \
--cluster my-cluster \
--region region-code \
--name my-mng \
--node-ami-family ami-family \
--node-type m5.large \
--nodes 3 \
--nodes-min 2 \
--nodes-max 4 \
--ssh-access \
--ssh-public-key my-key
```
Las instancias pueden asignar de manera opcional un número significativamente mayor de direcciones IP a los pods, asignar direcciones IP a los pods de un bloque de CIDR diferente al de la instancia e implementar en un clúster sin acceso a Internet. Para obtener más información, consulte [Asignación de más direcciones IP a los nodos de Amazon EKS con prefijos](cni-increase-ip-addresses.md), [Implementación de pods en subredes alternativas con redes personalizadas](cni-custom-network.md) y [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md) para obtener opciones adicionales que se pueden agregar al comando anterior.
Los grupos de nodos administrados calculan y aplican un único valor para el número máximo de pods que se pueden ejecutar en cada nodo del grupo de nodos, según el tipo de instancia. Si crea un grupo de nodos con distintos tipos de instancias, el valor más pequeño calculado en todos los tipos de instancias se aplica como el número máximo de pods que se pueden ejecutar en cada tipo de instancia del grupo de nodos. Los grupos de nodos administrados calculan el valor mediante el script al que se hace referencia en el .
**Con una plantilla de lanzamiento**
La plantilla de lanzamiento ya debe existir y cumplir con los requisitos especificados en [Conceptos básicos de configuración de plantillas de lanzamiento](launch-templates.md#launch-template-basics). Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
Si desea bloquear el acceso de pod a IMDS, especifique la configuración necesaria en la plantilla de lanzamiento.
1. Copie los siguientes contenidos en su dispositivo. Sustituya los valores de ejemplo y, a continuación, ejecute el comando modificado para crear el archivo `eks-nodegroup.yaml`. Varias configuraciones que especifique al implementar sin una plantilla de lanzamiento se mueven a la plantilla de lanzamiento. Si no especifica una `version`, se utiliza la versión de plantilla predeterminada.
```
cat >eks-nodegroup.yaml <
**Crear un grupo de nodos administrados con la Consola de administración de AWS **
1. Espere a que el estado del clúster sea `ACTIVE`. No se puede crear un grupo de nodos administrados para un clúster que aún no está `ACTIVE`.
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el nombre del clúster en el que desea crear un grupo de nodos administrados.
1. En la pestaña **Informática**.
1. Elija **Agregar grupo de nodos**.
1. En la página **Configurar grupo de nodos** rellene los parámetros en consecuencia y, a continuación, elija **Siguiente**.
+ **Nombre**: Ingrese un nombre único para el grupo de nodos administrado. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales.
+ **Rol de IAM de nodos**: Elija el rol de instancia de nodo que se va a utilizar con su grupo de nodos. Para obtener más información, consulte [Rol de IAM de nodo de Amazon EKS](create-node-role.md).
**importante**
No se puede utilizar el mismo rol que se utiliza para crear clústeres.
Es recomendable utilizar un rol que no se esté utilizando actualmente en ningún grupo de nodos autoadministrados. De lo contrario, se utiliza en un nuevo grupo de nodos autoadministrados. Para obtener más información, consulte [Eliminación de un grupo de nodos administrado de un clúster](delete-managed-node-group.md).
+ **Utilizar la plantilla de lanzamiento**: (opcional) seleccione esta opción si desea utilizar una plantilla de lanzamiento existente. Seleccione un **Nombre de plantilla de lanzamiento**. A continuación, seleccione **Versión de plantilla de lanzamiento**. Si no selecciona una versión, Amazon EKS utiliza la versión predeterminada de la plantilla. Las plantillas de lanzamiento permiten una mayor personalización del grupo de nodos, como permitir implementar una AMI personalizada, asignar un número significativamente mayor de direcciones IP a los pods, asignar direcciones IP a los pods de un bloque de CIDR diferente al de la instancia e implementar nodos en un clúster sin acceso a Internet saliente. Para obtener más información, consulte [Asignación de más direcciones IP a los nodos de Amazon EKS con prefijos](cni-increase-ip-addresses.md), [Implementación de pods en subredes alternativas con redes personalizadas](cni-custom-network.md) y [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
La plantilla de lanzamiento debe cumplir los requisitos de [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md). Si no utiliza su propia plantilla de lanzamiento, la API de Amazon EKS crea una plantilla de lanzamiento predeterminada de Amazon EC2 en su cuenta e implementa el grupo de nodos utilizando la plantilla de lanzamiento predeterminada.
Si implementa [roles de IAM para cuentas de servicio](iam-roles-for-service-accounts.md), asigne los permisos necesarios directamente a todos los pods que requieren acceso a servicios de AWS y ningún pod del clúster requiere acceso a IMDS por otros motivos (como recuperar la región de AWS actual). También puede desactivar el acceso a IMDS para los pods que no utilizan redes de host en una plantilla de lanzamiento. Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
+ **Etiquetas de Kubernetes**: (Opcional) puede optar por aplicar etiquetas de Kubernetes a los nodos del grupo de nodos administrado.
+ **Taints de Kubernetes**: (opcional) puede optar por aplicar taints de Kubernetes a los nodos de su grupo de nodos administrados. Las opciones disponibles en el menú **Efecto** son ` NoSchedule `, ` NoExecute ` y ` PreferNoSchedule `. Para obtener más información, consulte [Receta: Limitación para que los pods no se programen en nodos específicos](node-taints-managed-node-groups.md).
+ **Etiquetas**: (Opcional) puede elegir etiquetar su grupo de nodos administrado de Amazon EKS. Estas etiquetas no se propagan a otros recursos del grupo de nodos, como instancias o grupos de escalado automático. Para obtener más información, consulte [Organización de los recursos de Amazon EKS con etiquetas](eks-using-tags.md).
1. En la página **Establecer configuración de informática y escalado**, rellene los parámetros según corresponda y, a continuación, elija **Siguiente**.
+ **Tipo de AMI**: seleccione un tipo de AMI. Si implementa instancias Arm, asegúrese de revisar las consideraciones que se indican en [AMI de Arm de Amazon Linux optimizadas para Amazon EKS](eks-optimized-ami.md#arm-ami) antes de la implementación.
Si especificó una plantilla de lanzamiento en la página anterior y especificó una AMI en la plantilla de lanzamiento, no podrá seleccionar un valor. Se muestra el valor de la plantilla. La AMI especificada en la plantilla debe cumplir los requisitos que están en [Especificación de una AMI](launch-templates.md#launch-template-custom-ami).
+ **Tipo de capacidad**: Seleccione un tipo de capacidad. Para obtener más información sobre cómo elegir un tipo de capacidad, consulte [Tipos de capacidad de grupo de nodos administrado](managed-node-groups.md#managed-node-group-capacity-types). No se pueden mezclar diferentes tipos de capacidad dentro del mismo grupo de nodos. Si desea utilizar ambos tipos de capacidad, cree grupos de nodos independientes, cada uno con su propia capacidad y tipos de instancias. Consulte [Reserva de GPU para grupos de nodos administrados](https://docs.aws.amazon.com/eks/latest/userguide/capacity-blocks-mng.html) para obtener información sobre el aprovisionamiento y el escalado de nodos de trabajo acelerados por GPU.
+ **Tipos de instancia**: Se especifican uno o más tipos de instancia de forma predeterminada. Para eliminar un tipo de instancia predeterminado, seleccione la casilla `X` en la parte derecha del tipo de instancia. Elija los tipos de instancia que se van a utilizar en el grupo de nodos administrado. Para obtener más información, consulte [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md).
La consola muestra un conjunto de tipos de instancia de uso frecuente. Si necesita crear un grupo de nodos administrados con un tipo de instancia que no figura en la lista, utilice `eksctl`, la CLI de AWS, AWS CloudFormation o un SDK para crear el grupo de nodos. Si especificó una plantilla de lanzamiento en la página anterior, no podrá seleccionar un valor porque el tipo de instancia debe especificarse en la plantilla de lanzamiento. Se muestra el valor de la plantilla de lanzamiento. Si seleccionó **Spot** como **Capacity type (Tipo de capacidad)**, recomendamos especificar varios tipos de instancia para mejorar la disponibilidad.
+ **Tamaño del disco**: ingrese el tamaño del disco (en GiB) que se va a utilizar para el volumen raíz de su nodo.
Si especificó una plantilla de lanzamiento en la página anterior, no podrá seleccionar un valor porque debe especificarse en la plantilla de lanzamiento.
+ **Tamaño deseado**: Especifique el número actual de nodos que debe mantener el grupo de nodos administrado durante el lanzamiento.
**nota**
Amazon EKS no escala automáticamente el grupo de nodos de entrada o salida. Sin embargo, puede configurar el Escalador automático de clústeres de Kubernetes para que lo haga. Para obtener más información, consulte [Escalador automático de clústeres en AWS](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md).
+ **Tamaño mínimo**: Especifica la cantidad mínima de nodos a los que puede escalar el grupo de nodos administrado.
+ **Tamaño máximo**: Especifica el número máximo de nodos a los que puede escalar el grupo de nodos administrado.
+ **Configuración de la actualización del grupo de nodos**: (Opcional) puede seleccionar el número o el porcentaje de nodos que se actualizarán en paralelo. Estos nodos no estarán disponibles durante la actualización. En **Máximo no disponible**, seleccione una de las siguientes opciones y especifique un **valor**:
+ **Número**: Seleccione y especifique el número de nodos del grupo de nodos que se pueden actualizar en paralelo.
+ **Porcentaje**: Seleccione y especifique el porcentaje de nodos del grupo de nodos que se pueden actualizar en paralelo. Esto es útil si tiene un gran número de nodos en su grupo de nodos.
+ **Configuración de reparación automática de nodos**: (opcional) si activa la casilla **Habilitar la reparación automática de nodos**, Amazon EKS reemplazará automáticamente los nodos cuando se produzcan problemas detectados. Para obtener más información, consulte [Detección de los problemas de estado de los nodos y reparación automática de los nodos](node-health.md).
1. En la página **Especificar redes**, rellene los parámetros como corresponda y, a continuación, elija **Siguiente**.
+ **Subredes**: Elija las subredes en las que lanzar los nodos administrados.
**importante**
Si ejecuta una aplicación con estado en varias zonas de disponibilidad basadas en volúmenes de Amazon EBS y utiliza el [Escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes, debe configurar varios grupos de nodos, cada uno enfocado a una sola zona de disponibilidad. Además, debe habilitar la característica `--balance-similar-node-groups`.
**importante**
Si elige una subred pública y el clúster solo tiene habilitado el punto de conexión del servidor de API público, la subred debe tener `MapPublicIPOnLaunch` establecido en `true` para que las instancias se unan correctamente a un clúster. Si la subred se creó con `eksctl` o las [plantillas de AWS CloudFormation ofrecidas por Amazon EKS](creating-a-vpc.md) el 26 de marzo de 2020 o después, este valor ya está establecido en `true`. Si las subredes se crearon con `eksctl` o las plantillas de AWS CloudFormation antes del 26 de marzo de 2020, debe cambiar el valor de forma manual. Para obtener más información, consulte [Modificación del atributo de direcciones IPv4 públicas de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip).
Si utiliza una plantilla de lanzamiento y especifica varias interfaces de red, Amazon EC2 no asignará automáticamente una dirección `IPv4` pública, incluso si `MapPublicIpOnLaunch` se establece en `true`. Para que los nodos se unan al clúster en este escenario, debe habilitar el punto de conexión del servidor de API privado del clúster o lanzar nodos en una subred privada con acceso a Internet saliente proporcionado a través de un método alternativo, como una puerta de enlace NAT. A fin de obtener más información, consulte [Direcciones IP de instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html) en la *Guía del usuario de Amazon EC2*.
+ **Configure el acceso SSH a los nodos** (opcional). El acceso SSH le permite conectarse a sus instancias y recopilar información de diagnóstico si hay algún problema. Le recomendamos que habilite el acceso remoto cuando cree un grupo de nodos. No puede habilitar el acceso remoto después de crear el grupo de nodos.
Si eligió utilizar una plantilla de lanzamiento, esta opción no se muestra. Para habilitar el acceso remoto a los nodos, especifique un par de claves en la plantilla de lanzamiento y asegúrese de que el puerto adecuado esté abierto para los nodos de los grupos de seguridad que especifique en la plantilla de lanzamiento. Para obtener más información, consulte [Uso de grupos de seguridad personalizados](launch-templates.md#launch-template-security-groups).
**nota**
Para Windows, este comando no habilita SSH. En su lugar, asocia el par de claves de Amazon EC2 con la instancia y le permite RDP en la instancia.
+ En **Par de claves de SSH** seleccione una clave SSH de Amazon EC2 para utilizar. Para obtener información sobre Linux, consulte [Pares de claves e instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) para Linux en la *Guía del usuario de Amazon EC2*. Para obtener información sobre Windows, consulte [Pares de claves e instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) para Windows en la *Guía del usuario de Amazon EC2*. Si eligió utilizar una plantilla de lanzamiento, no puede seleccionar una. Cuando se proporciona una clave SSH de Amazon EC2 para grupos de nodos que utilizan AMI de Bottlerocket, el contenedor administrativo también se habilita. Para obtener más información, consulte [Contenedor de administración](https://github.com/bottlerocket-os/bottlerocket#admin-container) en GitHub.
+ En **Allow SSH remote access from (Permitir acceso remoto de SSH desde)**, si desea limitar el acceso a instancias específicas, seleccione los grupos de seguridad asociados a dichas instancias. Si no se seleccionan grupos de seguridad específicos, se permite el acceso SSH desde cualquier lugar de Internet (`0.0.0.0/0`).
1. En la página **Revisar y crear**, revise la configuración del grupo de nodos administrados y elija **Crear**.
Si los nodos no se unen al clúster, consulte [Los nodos no pueden unirse al clúster](troubleshooting.md#worker-node-fail) en el capítulo de solución de problemas.
1. Observe el estado de los nodos y espere a que aparezca el estado `Ready`.
```
kubectl get nodes --watch
```
1. (Solo para nodos de GPU) Si ha elegido un tipo de instancia de GPU y una AMI acelerada optimizada para Amazon EKS, deberá aplicar el [complemento de dispositivo NVIDIA para Kubernetes](https://github.com/NVIDIA/k8s-device-plugin) como un DaemonSet en el clúster. Reemplace *vX.X.X* con la versión [NVIDIA/k8s-device-plugin](https://github.com/NVIDIA/k8s-device-plugin/releases) deseada antes de ejecutar el siguiente comando.
```
kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
```
## Instalación de complementos de Kubernetes
Ahora que tiene un clúster de Amazon EKS en funcionamiento con nodos, está listo para comenzar a instalar los complementos de Kubernetes e implementar aplicaciones en su clúster. Los siguientes temas de documentación lo ayudarán a ampliar la funcionalidad de su clúster.
+ La [entidad principal de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que creó el clúster es la única entidad principal que puede hacer llamadas al servidor de API de Kubernetes con `kubectl` o la Consola de administración de AWS. Si desea que otras entidades principales de IAM tengan acceso al clúster, debe agregarlas. Para obtener más información, consulte [Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes](grant-k8s-access.md) y [Permisos necesarios](view-kubernetes-resources.md#view-kubernetes-resources-permissions).
+ Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
+ Configure el [Escalador automático de clústeres](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes para ajustar automáticamente el número de nodos en sus grupos de nodos.
+ Implemente una [aplicación de muestra](sample-deployment.md) en su clúster.
+ [Organice y supervise los recursos del clúster](eks-managing.md) con herramientas importantes para administrar el clúster.
# Actualización de un grupo de nodos administrados para un clúster
Cuando inicia una actualización de grupo de nodos administrados, Amazon EKS actualiza los nodos de forma automática al completar los pasos que se indican en [Descripción de cada fase de las actualizaciones de los nodos](managed-node-update-behavior.md). Si utiliza una AMI optimizada para Amazon EKS, Amazon EKS aplica automáticamente los últimos parches de seguridad y actualizaciones del sistema operativo a los nodos como parte de la versión más reciente de la AMI.
Existen varios escenarios en los que resulta útil actualizar la versión o configuración del grupo de nodos administrado de Amazon EKS:
+ Ha actualizado la versión de Kubernetes para su clúster de Amazon EKS y desea actualizar los nodos para que utilicen la misma versión de Kubernetes.
+ Hay disponible una nueva versión de la AMI para el grupo de nodos administrados. Para obtener más información acerca de las versiones de AMI, consulte estas secciones:
+ [Obtención de información acerca de la versión de la AMI de Amazon Linux](eks-linux-ami-versions.md)
+ [Creación de nodos con AMI de Bottlerocket optimizadas](eks-optimized-ami-bottlerocket.md)
+ [Recuperación de la información sobre la versión de la AMI de Windows](eks-ami-versions-windows.md)
+ Desea ajustar el número mínimo, máximo o deseado de las instancias del grupo de nodos administrados.
+ Desea agregar o quitar etiquetas Kubernetes de las instancias del grupo de nodos administrados.
+ Desea agregar o quitar etiquetas de AWS del grupo de nodos administrados.
+ Debe implementar una nueva versión de una plantilla de lanzamiento con cambios de configuración, como una AMI personalizada actualizada.
+ Ha implementado la versión `1.9.0` o posterior del complemento CNI de Amazon VPC, ha habilitado el complemento para la delegación de prefijos y desea nuevas instancias de AWS Nitro System en un grupo de nodos para admitir un número significativamente mayor de pods. Para obtener más información, consulte [Asignación de más direcciones IP a los nodos de Amazon EKS con prefijos](cni-increase-ip-addresses.md).
+ Ha habilitado la delegación de prefijos IP para los nodos de Windows y quiere que las nuevas instancias de AWS Nitro System en un grupo de nodos admitan un número significativamente mayor de pods. Para obtener más información, consulte [Asignación de más direcciones IP a los nodos de Amazon EKS con prefijos](cni-increase-ip-addresses.md).
Si hay una versión de lanzamiento de AMI más reciente para la versión de Kubernetes del grupo de nodos administrado, puede actualizar la versión de su grupo de nodos para utilizar esa nueva versión de la AMI. De manera similar, si su clúster está ejecutando una versión de Kubernetes más reciente que su grupo de nodos, puede actualizar el grupo de nodos para que utilice la última versión de la AMI que coincida con la versión de Kubernetes del clúster.
Cuando se termina un nodo de un grupo de nodos administrados debido a una operación de escalado o actualización, los pods de ese nodo se drenan primero. Para obtener más información, consulte [Descripción de cada fase de las actualizaciones de los nodos](managed-node-update-behavior.md).
## Actualizar una versión de grupo de nodos
Puede actualizar una versión del grupo de nodos con una de las siguientes opciones:
+ [`eksctl`](#eksctl_update_managed_nodegroup)
+ [Consola de administración de AWS](#console_update_managed_nodegroup)
La versión a la que se actualiza no puede ser superior a la versión del plano de control.
## `eksctl`
**Actualice un grupo de nodos administrados mediante `eksctl` **
Actualice un grupo de nodos administrado a la última versión de AMI de la misma versión de Kubernetes implementada actualmente en los nodos de trabajo con el comando siguiente. Reemplace todos los *valores de ejemplo* por sus propios valores.
```
eksctl upgrade nodegroup \
--name=node-group-name \
--cluster=my-cluster \
--region=region-code
```
**nota**
Si va a actualizar un grupo de nodos que se implementa con una plantilla de lanzamiento a una nueva versión de plantilla de lanzamiento, agregue `--launch-template-version version-number ` al comando anterior. La plantilla de lanzamiento debe cumplir los requisitos descritos en [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md). Si la plantilla de lanzamiento incluye una AMI personalizada, la AMI debe cumplir los requisitos en [Especificación de una AMI](launch-templates.md#launch-template-custom-ami). Cuando actualiza el grupo de nodos a una versión más reciente de la plantilla de lanzamiento, todos los nodos se reciclan para que coincidan con la nueva configuración de la versión de la plantilla de lanzamiento especificada.
No puede actualizar directamente un grupo de nodos que se implementa sin una plantilla de lanzamiento a una nueva versión de la plantilla de lanzamiento. En su lugar, debe implementar un nuevo grupo de nodos mediante la plantilla de lanzamiento para actualizar el grupo de nodos a una nueva versión de la plantilla de lanzamiento.
Puede actualizar un grupo de nodos a la misma versión que la versión de Kubernetes del plano de control. Por ejemplo, si tiene un clúster que ejecuta Kubernetes `1.35`, puede actualizar los nodos que ejecutan Kubernetes `1.34` actualmente a la versión `1.35` con el comando siguiente.
```
eksctl upgrade nodegroup \
--name=node-group-name \
--cluster=my-cluster \
--region=region-code \
--kubernetes-version=1.35
```
## Consola de administración de AWS
**Actualice un grupo de nodos administrado mediante la Consola de administración de AWS **
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el clúster que contiene el grupo de nodos que desea actualizar.
1. Si al menos un grupo de nodos tiene una actualización disponible, aparece un cuadro en la parte superior de la página con una notificación sobre la actualización disponible. Si selecciona la pestaña **Computación**, verá **Actualizar ahora** en la columna **Versión de lanzamiento de la AMI** de la tabla **Grupos de nodos** para el grupo de nodos que tenga una actualización disponible. Para actualizar el grupo de nodos, elija **Update now** (Actualizar ahora).
No verá una notificación para los grupos de nodos que se implementaron con una AMI personalizada. Si los nodos se implementan con una AMI personalizada, complete los siguientes pasos para implementar una nueva AMI personalizada actualizada.
1. Cree una nueva versión de su AMI.
1. Cree una nueva versión de la plantilla de lanzamiento con el nuevo ID de AMI.
1. Actualice los nodos a la nueva versión de la plantilla de lanzamiento.
1. En el cuadro de diálogo **Update node group version** (Actualizar la versión del grupo de nodos), active o desactive las siguientes opciones:
+ **Update node group version** (Actualizar la versión del grupo de nodos): esta opción no está disponible si ha implementado una AMI personalizada o su AMI optimizada para Amazon EKS está actualmente en la versión más reciente del clúster.
+ **Change launch template version** (Cambiar la versión de la plantilla de lanzamiento): esta opción no está disponible si el grupo de nodos se implementa sin una plantilla de lanzamiento personalizada. Solo puede actualizar la versión de la plantilla de lanzamiento para un grupo de nodos que se haya implementado con una plantilla de lanzamiento personalizada. Seleccione la **versión de la plantilla de lanzamiento** a la que desea actualizar el grupo de nodos. Si el grupo de nodos está configurado con una AMI personalizada, la versión que seleccione también debe especificar una AMI. Al actualizar a una versión más reciente de la plantilla de lanzamiento, todos los nodos se reciclan para que coincidan con la nueva configuración de la versión de la plantilla de lanzamiento especificada.
1. En **Actualizar estrategia**, seleccione una de las siguientes opciones:
+ **Actualización continua**: esta opción respeta los presupuestos de interrupción del pod para el clúster. Se produce un error en las actualizaciones si hay un problema de presupuesto de interrupción de pod que hace que Amazon EKS no pueda vaciar correctamente los pods que se están ejecutando en este grupo de nodos.
+ **Actualización forzada**: esta opción no respeta los presupuestos de interrupción del pod. Las actualizaciones se producen independientemente de los problemas presupuestarios de la interrupción del pod al forzar el reinicio de los nodos.
1. Elija **Actualizar**.
## Editar una configuración de grupo de nodos
Puede modificar algunas de las opciones de configuración de un grupo de nodos administrado.
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el clúster que contiene el grupo de nodos que desea editar.
1. Seleccione la pestaña **Compute** (Informática).
1. Seleccione el grupo de nodos que desea editar y elija **Edit** (Editar).
1. (Opcional) En la página **Editar grupo de nodos**, haga lo siguiente:
1. Edite la **configuración de escalado del grupo de nodos**.
+ **Tamaño deseado**: especifica el número actual de nodos que debe mantener el grupo de nodos administrado.
+ **Tamaño mínimo**: Especifica la cantidad mínima de nodos a los que puede escalar el grupo de nodos administrado.
+ **Tamaño máximo**: especifica el número máximo de nodos a los que puede escalar el grupo de nodos administrado. Para obtener el número máximo de nodos admitidos en un grupo de nodos, consulte [Visualización y administración de Amazon EKS y las Service Quotas de Fargate](service-quotas.md).
1. (Opcional) Agregue o elimine **etiquetas de Kubernetes** para los nodos de su grupo de nodos. Las etiquetas que se muestran aquí son solo las que se han aplicado con Amazon EKS. Pueden existir otras etiquetas en los nodos que no se muestran aquí.
1. (Opcional) Agregue o elimine **taints de Kubernetes** para los nodos de su grupo de nodos. Las taints agregadas pueden tener el efecto de ` NoSchedule `, ` NoExecute ` o ` PreferNoSchedule `. Para obtener más información, consulte [Receta: Limitación para que los pods no se programen en nodos específicos](node-taints-managed-node-groups.md).
1. (Opcional) Agregue o elimine **etiquetas** del recurso de su grupo de nodos. Estas etiquetas solo se aplican al grupo de nodos de Amazon EKS. No se propagan a ningún otro recurso, como las subredes o instancias de Amazon EC2 en el grupo de nodos.
1. (Opcional) Edite la **Configuración de la actualización del grupo de nodos**. Seleccione el **Number (Número)** o el **Percentage (Porcentaje)**.
+ **Número**: seleccione y especifique el número de nodos del grupo de nodos que se pueden actualizar en paralelo. Estos nodos no estarán disponibles durante la actualización.
+ **Porcentaje**: seleccione y especifique el porcentaje de nodos del grupo de nodos que se pueden actualizar en paralelo. Estos nodos no estarán disponibles durante la actualización. Esto es útil si tiene varios nodos en su grupo de nodos.
1. Cuando haya terminado de editar, elija **Guardar cambios**.
**importante**
Al actualizar la configuración del grupo de nodos, cuando se modifica el [https://docs.aws.amazon.com/eks/latest/APIReference/API_NodegroupScalingConfig.html](https://docs.aws.amazon.com/eks/latest/APIReference/API_NodegroupScalingConfig.html), no se respetan los presupuestos de interrupción de pods (PDB). A diferencia del proceso de [actualización de grupos de nodos](managed-node-update-behavior.md) (que vacía los nodos y respeta los PDB durante la fase de actualización), al actualizar la configuración de escalado, los nodos se terminan inmediatamente a través de una llamada de reducción vertical del grupo de escalado automático (ASG). Esto ocurre sin tener en cuenta los PDB, independientemente del tamaño objetivo al que se reduce verticalmente. Esto significa que cuando se reduce el `desiredSize` de un grupo de nodos administrados por Amazon EKS, los pods se expulsan en cuanto se terminan los nodos, sin respetar ningún PDB.
# Descripción de cada fase de las actualizaciones de los nodos
La estrategia de actualización del nodo de trabajo administrado de Amazon EKS tiene cuatro fases diferentes descritas en las siguientes secciones.
## Fase de configuración
La fase de configuración incluye los siguientes pasos:
1. Crea una nueva versión de plantilla de lanzamiento de Amazon EC2 para el grupo de escalado automático asociado al grupo de nodos. La nueva versión de la plantilla de lanzamiento utiliza la AMI de destino o la versión de plantilla de lanzamiento personalizada para la actualización.
1. El grupo de escalado automático se actualiza para utilizar la versión más reciente de la plantilla de lanzamiento.
1. Determina la cantidad máxima de nodos que se van a actualizar en paralelo mediante la propiedad de `updateConfig` para el grupo de nodos. El máximo no disponible tiene una cuota de 100 nodos. El valor predeterminado es un nodo. Para obtener más información, consulte la propiedad [updateConfig](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateNodegroupConfig.html#API_UpdateNodegroupConfig_RequestSyntax) en la *Referencia de la API de Amazon EKS*.
## Fase de escalado
Al actualizar los nodos de un grupo de nodos administrados, los nodos actualizados se lanzan en la misma zona de disponibilidad que los que se están actualizando. Para garantizar esta ubicación, utilizamos el reequilibrio de la zona de disponibilidad de Amazon EC2. Para obtener más información, consulte [Reequilibrio de la zona de disponibilidad](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Para cumplir este requisito, es posible que lancemos hasta dos instancias por zona de disponibilidad en su grupo de nodos administrado.
La fase de escalado incluye los siguientes pasos:
1. Aumenta el tamaño máximo del grupo de escalado automático y el tamaño deseado en el mayor:
+ Hasta el doble del número de zonas de disponibilidad en la que se implementa el grupo de escalado automático.
+ El máximo no disponible de actualización.
Por ejemplo, si el grupo de nodos tiene cinco zonas de disponibilidad y `maxUnavailable` como uno solo, el proceso de actualización puede lanzar un máximo de 10 nodos. Sin embargo, cuando `maxUnavailable` es 20 (o cualquier número superior a 10), el proceso puede lanzar 20 nuevos nodos.
1. Después de escalar el grupo de Auto Scaling, comprueba si los nodos que utilizan la configuración más reciente están presentes en el grupo de nodos. Este paso solo se efectúa correctamente cuando cumple estos criterios:
+ Se lanza al menos un nuevo nodo en cada zona de disponibilidad en la que existe el nodo.
+ Todos los nuevos nodos deberían estar en estado `Ready`.
+ Los nuevos nodos deben tener etiquetas aplicadas de Amazon EKS.
Estas son las etiquetas aplicadas de Amazon EKS en los nodos de trabajo de un grupo de nodos normal:
+ `eks.amazonaws.com/nodegroup-image=$amiName`
+ `eks.amazonaws.com/nodegroup=$nodeGroupName`
Estas son las etiquetas aplicadas de Amazon EKS en los nodos de trabajo en una plantilla de lanzamiento personalizado o grupo de nodos de AMI:
+ `eks.amazonaws.com/nodegroup-image=$amiName`
+ `eks.amazonaws.com/nodegroup=$nodeGroupName`
+ `eks.amazonaws.com/sourceLaunchTemplateId=$launchTemplateId`
+ `eks.amazonaws.com/sourceLaunchTemplateVersion=$launchTemplateVersion`
1. Marca los nodos como no programables para evitar programar nuevos pods. También etiqueta los nodos con el `node.kubernetes.io/exclude-from-external-load-balancers=true` para eliminar los nodos antiguos de los equilibradores de carga antes de terminarlos.
Las siguientes son las razones conocidas que llevan a un error de `NodeCreationFailure` en esta fase:
**Capacidad insuficiente en la zona de disponibilidad**
Existe la posibilidad de que la zona de disponibilidad no tenga la capacidad de los tipos de instancias solicitados. Se recomienda configurar varios tipos de instancias al crear un grupo de nodos administrados.
**Límites de instancia de EC2 en su cuenta**
Es posible que tenga que aumentar el número de instancias de Amazon EC2 que su cuenta puede ejecutar simultáneamente mediante Service Quotas. Para obtener más información, consulte [EC2 Service Quotas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) en la *Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux*.
**Datos de usuario personalizados**
Los datos de usuario personalizados a veces pueden interrumpir el proceso de arranque. Este escenario puede llevar a que la `kubelet` no se inicie en el nodo o que los nodos no reciban etiquetas de Amazon EKS esperadas en ellos. Para obtener más información, consulte [Especificación de una AMI](launch-templates.md#launch-template-custom-ami).
**Cualquier cambio que haga que un nodo no esté en buen estado o no esté preparado**
La presión del disco del nodo, la presión de la memoria y condiciones similares pueden provocar que un nodo no funcione en estado `Ready`.
**La mayoría de los nodos se arrancan en 15 minutos**
Si algún nodo tarda más de 15 minutos en arrancar y unirse al clúster, se agotará el tiempo de espera de la actualización. Este es el tiempo de ejecución total para el arranque de un nodo nuevo, medido desde el momento en que se necesita un nodo nuevo hasta el momento en que se une al clúster. Al actualizar un grupo de nodos administrado, el contador de tiempo se inicia en cuanto aumenta el tamaño del grupo de escalado automático.
## Fase de actualización
La fase de actualización se comporta de dos maneras diferentes, en función de la *estrategia de actualización*. Hay dos estrategias de actualización: **predeterminada** y **mínima**.
Recomendamos la estrategia predeterminada en la mayoría de los casos. Crea nuevos nodos antes de terminar los antiguos, de modo que la capacidad disponible se mantiene durante la fase de actualización. La estrategia mínima resulta útil en situaciones en las que los recursos o los costos se ven limitados, por ejemplo, con aceleradores de hardware como las GPU. Consiste en terminar los nodos anteriores antes de crear los nuevos, de modo que la capacidad total nunca aumente más allá de la cantidad configurada.
La estrategia de actualización *predeterminada* consta de los siguientes pasos:
1. Aumenta la cantidad de nodos (cantidad deseada) en el grupo de escalado automático, lo que provoca que el grupo de nodos cree nodos adicionales.
1. Selecciona aleatoriamente un nodo que necesita una actualización hasta el máximo no disponible configurado para el grupo de nodos.
1. Drena los pods del nodo. Si los pods no salen del nodo en 15 minutos y no hay un indicador de fuerza, la fase de actualización falla con un error `PodEvictionFailure`. Para este escenario, puede aplicar el indicador de fuerza con la solicitud `update-nodegroup-version` para eliminar los pods.
1. Acordona el nodo después de expulsar todos los pods y espera 60 segundos. Esto se hace para que el controlador del servicio no envíe ninguna solicitud nueva a este nodo y elimine este nodo de su lista de nodos activos.
1. Envía una solicitud de terminación al grupo de escalado automático para el nodo acordonado.
1. Repite los pasos anteriores de actualización hasta que no haya nodos en el grupo de nodos que se implementen con la versión anterior de la plantilla de lanzamiento.
La estrategia de actualización *mínima* consta de los siguientes pasos:
1. Marca todos los nodos del grupo como no programables al inicio, para que el controlador de servicio no envíe nuevas solicitudes a estos nodos.
1. Selecciona aleatoriamente un nodo que necesita una actualización hasta el máximo no disponible configurado para el grupo de nodos.
1. Drena los pods de los nodos seleccionados. Si los pods no salen del nodo en 15 minutos y no hay un indicador de fuerza, la fase de actualización falla con un error `PodEvictionFailure`. Para este escenario, puede aplicar el indicador de fuerza con la solicitud `update-nodegroup-version` para eliminar los pods.
1. Después de que se haya desalojado cada pod y transcurran 60 segundos, se envía una solicitud de terminación al grupo de escalado automático para los nodos seleccionados. El grupo de escalado automático crea nuevos nodos (en la misma cantidad que los nodos seleccionados) para reemplazar la capacidad faltante.
1. Repite los pasos anteriores de actualización hasta que no haya nodos en el grupo de nodos que se implementen con la versión anterior de la plantilla de lanzamiento.
### Errores `PodEvictionFailure` durante la fase de actualización
Las siguientes son las razones conocidas que llevan a un error de `PodEvictionFailure` en esta fase:
**PDB agresivo**
El PDB agresivo se define en el pod o hay varios PDB que apuntan al mismo pod.
**Implementación que tolera todas las taints**
Una vez expulsado cada pod, se espera que el nodo esté vacío porque el nodo se marcó como [taint](https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/) en los pasos anteriores. Sin embargo, si la implementación tolera todas las taints, es más probable que el nodo no esté vacío, lo que provoca un error en la expulsión del pod.
## Fase de reducción vertical
La fase de reducción vertical disminuye el tamaño máximo del grupo de Auto Scaling y el tamaño deseado en uno para volver a los valores antes de que se inicie la actualización.
Si el flujo de trabajo de actualización determina que el escalador automático del clúster realiza el escalado vertical del grupo de nodos durante la fase de reducción vertical del flujo de trabajo, se cierra inmediatamente sin que el grupo de nodos vuelva a su tamaño original.
# Personalización de nodos administrados con plantillas de lanzamiento
Para obtener el nivel más alto de personalización, puede implementar nodos administrados con su propia plantilla de lanzamiento según los pasos de esta página. El uso de una plantilla de lanzamiento permite funciones como proporcionar argumentos de arranque durante la implementación de un nodo (por ejemplo, argumentos de [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/) adicionales), asignar direcciones IP a los pods desde un bloque de CIDR diferente al de la dirección IP asignada al nodo, implementar una AMI o una CNI propias personalizadas en los nodos.
Si proporciona su propia plantilla de lanzamiento al crear por primera vez un grupo de nodos administrado, también tendrá mayor flexibilidad más adelante. Siempre que implemente un grupo de nodos administrado con su propia plantilla de lanzamiento, puede actualizarlo de forma iterativa con una versión diferente de la misma plantilla de lanzamiento. Cuando actualiza el grupo de nodos a una versión diferente de la plantilla de lanzamiento, todos los nodos del grupo se reciclan para que coincidan con la nueva configuración de la versión de la plantilla de lanzamiento especificada.
Los grupos de nodos administrados se implementan siempre con una plantilla de lanzamiento para utilizar con el grupo de Amazon EC2 Auto Scaling. Cuando no proporciona una plantilla de lanzamiento, la API de Amazon EKS crea una en su cuenta de forma automática con los valores predeterminados. Sin embargo, no le recomendamos que modifique las plantillas de lanzamiento generadas automáticamente. Además, los grupos de nodos existentes que no utilizan una plantilla de lanzamiento personalizada no se pueden actualizar directamente. En su lugar, debe crear un nuevo grupo de nodos con una plantilla de lanzamiento personalizada para hacerlo.
## Conceptos básicos de configuración de plantillas de lanzamiento
Puede crear una plantilla de lanzamiento de Amazon EC2 Auto Scaling con la Consola de administración de AWS, la AWS CLI o un SDK de AWS. Para obtener más información, consulte [Creación de una plantilla de lanzamiento para un grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) en la *guía del usuario de Amazon EC2 Auto Scaling*. Algunas de las opciones de configuración de una plantilla de lanzamiento son similares a las que se utilizan para la configuración de nodos administrados. Al implementar o actualizar un grupo de nodos con una plantilla de lanzamiento, se deben especificar algunas opciones en la configuración del grupo de nodos o en la plantilla de lanzamiento. No especifique un ajuste en ambos lugares. Si existe una configuración donde no debería, las operaciones como la creación o actualización de un grupo de nodos fallarán.
En la siguiente tabla, se enumeran los ajustes prohibidos en una plantilla de lanzamiento. También se enumeran ajustes similares, si hay alguno disponible, que se requieren en la configuración del grupo de nodos administrados. La configuración de la lista es la configuración que aparece en la consola. Pueden tener nombres similares, pero diferentes en la AWS CLI y el SDK.
| Plantilla de lanzamiento: opciones prohibidas | Configuración del grupo de nodos de Amazon EKS |
| --- | --- |
| **Subred** en **Interfaces de red** (**Agregar interfaz de red**) | **Subredes** en **Configuración de red del grupo de nodos** en la página **Especificar red** |
| **Perfil de instancia de IAM** en **Detalles avanzados** | **Rol de IAM del nodo** en **Configuración del grupo de nodos** en la página **Configurar grupo de nodos**. |
| **Comportamiento de apagado** y **Detener: comportamiento de hibernación** en **Detalles avanzados**. Mantenga la opción predeterminada **No incluir en la configuración de la plantilla de lanzamiento** en la plantilla de lanzamiento para ambas configuraciones. | Sin equivalente. Amazon EKS debe controlar el ciclo de vida de la instancia, no el grupo de escalado automático. |
En la siguiente tabla, se enumeran los ajustes prohibidos de una configuración de grupo de nodos administrados. También se enumeran configuraciones similares, si hay alguna disponible, que son necesarias en una plantilla de lanzamiento. La configuración de la lista es la configuración que aparece en la consola. Es posible que tengan nombres similares en la AWS CLI y el SDK.
| Configuración del grupo de nodos de Amazon EKS: opciones prohibidas | Plantilla de inicialización |
| --- | --- |
| (Solo si especificó una AMI personalizada en una plantilla de lanzamiento) **Tipo de AMI** en **Configuración de computación del grupo de nodos** en la página **Establecer la configuración informática y de escalado**: la consola muestra **Se especifica en la plantilla de lanzamiento** y el ID de la AMI que se especificó. Si no se especificó nada en **Imágenes de aplicaciones y sistema operativo (Imagen de máquina de Amazon)** en la plantilla de lanzamiento, puede seleccionar una AMI en la configuración del grupo de nodos. | **Imágenes de aplicaciones y sistema operativo (Imagen de máquina de Amazon)** en **Contenido de la plantilla de lanzamiento**: debe especificar un ID si tiene alguno de los siguientes requisitos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/eks/latest/userguide/launch-templates.html) |
| **Tamaño del disco** en **Configuración de computación del grupo de nodos** en la página **Establecer la configuración de informática y escalado**: la consola muestra **Especificado en la plantilla de lanzamiento**. | **Tamaño** en **Almacenamiento (Volúmenes)** (**Agregar nuevo volumen**). Debe especificarlo en la plantilla de lanzamiento. |
| **Par de claves de SSH** en **Configuración del grupo de nodos** en la página **Especificar redes**: la consola muestra la clave especificada en la plantilla de lanzamiento o muestra **No especificado en la plantilla de lanzamiento**. | **Nombre del par de claves** en **Par de claves (inicio de sesión)**. |
| No se pueden especificar grupos de seguridad fuente a los que se permita el acceso remoto cuando se utiliza una plantilla de lanzamiento. | **Grupos de seguridad** en **Configuración de red** para la instancia o **Grupos de seguridad** en **Interfaces de red** (**Agregar interfaz de red**), pero no ambos. Para obtener más información, consulte [Uso de grupos de seguridad personalizados](#launch-template-security-groups). |
**nota**
Si implementa un grupo de nodos mediante una plantilla de lanzamiento, especifique un **tipo de instancia** o ninguno en **Contenido de la plantilla de lanzamiento** en una plantilla de lanzamiento. Si lo desea, puede especificar entre 0 y 20 tipos de instancia para **Tipos de instancias** en la página **Establecer la configuración de informática y escalado** de la consola. O bien, puede hacerlo mediante otras herramientas que utilizan la API de Amazon EKS. Si especifica un tipo de instancia en una plantilla de lanzamiento y utiliza esa plantilla de lanzamiento para implementar el grupo de nodos, no podrá especificar ningún tipo de instancia en la consola ni utilizar otras herramientas que utilicen la API de Amazon EKS. Si no especifica un tipo de instancia en una plantilla de lanzamiento, en la consola o si utiliza otras herramientas que utilizan la API de Amazon EKS, se utiliza el tipo de instancia `t3.medium`. Si el grupo de nodos utiliza el tipo de capacidad spot, se recomienda especificar varios tipos de instancias mediante la consola. Para obtener más información, consulte [Tipos de capacidad de grupo de nodos administrado](managed-node-groups.md#managed-node-group-capacity-types).
Si alguno de los contenedores que implementa en el grupo de nodos utiliza el servicio de metadatos de instancia versión 2, asegúrese de establecer la propiedad **Límite del salto de respuesta de metadatos** en `2` en la plantilla de lanzamiento. Para obtener más información, consulte [Metadatos de instancia y datos de usuario](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) en la *Guía del usuario de Amazon EC2*.
Las plantillas de lanzamiento no son compatibles con la característica `InstanceRequirements`, que permite seleccionar el tipo de instancia de forma flexible.
## Etiquetado de instancias de Amazon EC2
Puede utilizar el parámetro `TagSpecification` de una plantilla de lanzamiento para especificar qué etiquetas se aplicarán a las instancias de Amazon EC2 del grupo de nodos. La entidad IAM que llama a las API `CreateNodegroup` o `UpdateNodegroupVersion` debe tener permisos para `ec2:RunInstances` y `ec2:CreateTags`, y las etiquetas deben agregarse a la plantilla de lanzamiento.
## Uso de grupos de seguridad personalizados
Puede utilizar una plantilla de lanzamiento para especificar [grupos de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) de Amazon EC2 personalizados para aplicar a instancias del grupo de nodos. Esto puede estar en el parámetro de grupos de seguridad de nivel de instancia o como parte de los parámetros de configuración de la interfaz de red. Sin embargo, no se puede crear una plantilla de lanzamiento que especifique el nivel de la instancia y los grupos de seguridad de una interfaz de red. Tenga en cuenta las siguientes condiciones que se aplican al uso de grupos de seguridad personalizados con grupos de nodos administrados:
+ Cuando utiliza la Consola de administración de AWS, Amazon EKS solo permite plantillas de lanzamiento con una única especificación de interfaz de red.
+ De forma predeterminada, Amazon EKS aplica el [grupo de seguridad de clúster](sec-group-reqs.md) a las instancias del grupo de nodos para facilitar la comunicación entre nodos y el plano de control. Si especifica grupos de seguridad personalizados en la plantilla de lanzamiento mediante cualquiera de las opciones mencionadas anteriormente, Amazon EKS no agrega el grupo de seguridad del clúster. Debe asegurarse de que las reglas entrantes y salientes de los grupos de seguridad habiliten la comunicación con el punto de conexión del clúster. Si las reglas del grupo de seguridad son incorrectas, los nodos de trabajo no pueden unirse al clúster. Para obtener más información acerca de las reglas de los grupos de seguridad, consulte [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md).
+ Si necesita acceso SSH a las instancias del grupo de nodos, incluya un grupo de seguridad que permita ese acceso.
## Datos de usuario de Amazon EC2
La plantilla de lanzamiento incluye una sección para datos de usuario personalizados. Puede especificar la configuración de su grupo de nodos en esta sección sin crear manualmente AMI personalizadas individuales. Para obtener más información sobre la configuración disponible para Bottlerocket, consulte [Utilización de datos de usuario](https://github.com/bottlerocket-os/bottlerocket#using-user-data) en GitHub.
Puede proporcionar datos de usuario de Amazon EC2 en su plantilla de lanzamiento mediante `cloud-init` al iniciar sus instancias. Para obtener más información, consulte la documentación de [cloud-init](https://cloudinit.readthedocs.io/en/latest/index.html). Los datos de usuario se pueden utilizar para realizar operaciones de configuración comunes. Esto incluye las operaciones siguientes:
+ [Inclusión de usuarios o grupos](https://cloudinit.readthedocs.io/en/latest/topics/examples.html#including-users-and-groups)
+ [Instalación de paquetes](https://cloudinit.readthedocs.io/en/latest/topics/examples.html#install-arbitrary-packages)
Los datos de usuario de Amazon EC2 en las plantillas de lanzamiento que se utilizan con grupos de nodos administrados deben estar en el formato de [archivo multiparte MIME](https://cloudinit.readthedocs.io/en/latest/topics/format.html#mime-multi-part-archive) para las AMI de Amazon Linux y en el formato TOML para las AMI de Bottlerocket. Esto se debe a que los datos de usuario se combinan con los datos de usuario de Amazon EKS necesarios para que los nodos se unan al clúster. No especifique ningún comando en los datos de usuario que inicie o modifique `kubelet`. Esto se realiza como parte de los datos de usuario fusionados por Amazon EKS. Ciertos parámetros de `kubelet`, como establecer etiquetas en nodos, se pueden configurar directamente a través de la API de grupos de nodos administrados.
**nota**
Para obtener más información sobre la personalización de `kubelet` avanzada, lo que incluye un inicio manual o pasar parámetros de configuración personalizados, consulte [Especificación de una AMI](#launch-template-custom-ami). Si se especifica un ID de AMI personalizado en una plantilla de lanzamiento, Amazon EKS no fusiona los datos de usuario.
Los siguientes detalles proporcionan más información sobre la sección de datos de usuario.
**Datos de usuario de Amazon Linux 2**
Puede combinar varios bloques de datos de usuario en un único archivo multiparte MIME. Por ejemplo, puede combinar un boothook de nube que configure el daemon de Docker con un script de shell de datos de usuario que instala un paquete personalizado. Un archivo multiparte MIME consta de los siguientes componentes:
+ El tipo de contenido y declaración de límite de partes: – `Content-Type: multipart/mixed; boundary="==MYBOUNDARY=="`
+ La declaración de versión de MIME: – `MIME-Version: 1.0`
+ Uno o más bloques de datos de usuario, que contienen los siguientes componentes:
+ El límite de apertura, que señala el inicio de un bloque de datos de usuario: `--==MYBOUNDARY==`
+ La declaración de tipo de contenido para el bloque: `Content-Type: text/cloud-config; charset="us-ascii"`. Para obtener más información sobre los tipos de contenido, consulte la [documentación de cloud-init](https://cloudinit.readthedocs.io/en/latest/topics/format.html).
+ El contenido de los datos de usuario, por ejemplo, una lista de comandos de shell o políticas de `cloud-init`.
+ El límite de cierre, que señala el final del archivo multiparte MIME: `--==MYBOUNDARY==--`
A continuación, se muestra un ejemplo de un archivo multiparte MIME que puede utilizar para crear el suyo propio.
```
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==MYBOUNDARY=="
--==MYBOUNDARY==
Content-Type: text/x-shellscript; charset="us-ascii"
#!/bin/bash
echo "Running custom user data script"
--==MYBOUNDARY==--
```
**Datos de usuario de Amazon Linux 2023**
Amazon Linux 2023 (AL2023) introduce un nuevo proceso de inicialización de nodos `nodeadm` que utiliza un esquema de configuración YAML. Si utiliza grupos de nodos autoadministrados o una AMI con una plantilla de lanzamiento, ahora tendrá que proporcionar metadatos del clúster adicionales de forma explícita cuando cree un nuevo grupo de nodos. A continuación, se muestra un [ejemplo](https://awslabs.github.io/amazon-eks-ami/nodeadm/) de los parámetros mínimos necesarios, en los que ahora se necesitan `apiServerEndpoint`, `certificateAuthority` y el servicio de `cidr`:
```
---
apiVersion: node.eks.aws/v1alpha1
kind: NodeConfig
spec:
cluster:
name: my-cluster
apiServerEndpoint: https://example.com
certificateAuthority: Y2VydGlmaWNhdGVBdXRob3JpdHk=
cidr: 10.100.0.0/16
```
Por lo general, establecerá esta configuración en los datos de usuario, tal y como están o incrustados en un documento MIME de varias partes:
```
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="BOUNDARY"
--BOUNDARY
Content-Type: application/node.eks.aws
---
apiVersion: node.eks.aws/v1alpha1
kind: NodeConfig spec: [...]
--BOUNDARY--
```
En AL2, los metadatos de estos parámetros se descubrieron a partir de la llamada a la API `DescribeCluster` de Amazon EKS. Con AL2023, este comportamiento ha cambiado, ya que la llamada a la API adicional corre el riesgo de limitarse durante los escalados verticales de nodos a gran escala. Este cambio no le afecta si utiliza grupos de nodos administrados sin una plantilla de lanzamiento o si utiliza Karpenter. Para obtener más información sobre `certificateAuthority` y el servicio `cidr`, consulte [https://docs.aws.amazon.com/eks/latest/APIReference/API_DescribeCluster.html](https://docs.aws.amazon.com/eks/latest/APIReference/API_DescribeCluster.html) en la *Referencia de la API de Amazon EKS*.
Este es un ejemplo completo de datos de usuario de AL2023 que combina un script de intérprete de comandos para personalizar el nodo (por ejemplo, instalar paquetes o almacenar previamente en caché las imágenes de contenedores) con la configuración requerida de `nodeadm`. Este ejemplo muestra personalizaciones comunes, como la instalación de paquetes de sistema adicionales, el almacenamiento previo en caché de imágenes de contenedores para mejorar el tiempo de inicio de los pods, la configuración de un proxy HTTP y la definición de marcas de `kubelet` para el etiquetado de nodos
```
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="BOUNDARY"
--BOUNDARY
Content-Type: text/x-shellscript; charset="us-ascii"
#!/bin/bash
set -o errexit
set -o pipefail
set -o nounset
# Install additional packages
yum install -y htop jq iptables-services
# Pre-cache commonly used container images
nohup docker pull public.ecr.aws/eks-distro/kubernetes/pause:3.2 &
# Configure HTTP proxy if needed
cat > /etc/profile.d/http-proxy.sh << 'EOF'
export HTTP_PROXY="http://proxy.example.com:3128"
export HTTPS_PROXY="http://proxy.example.com:3128"
export NO_PROXY="localhost,127.0.0.1,169.254.169.254,.internal"
EOF
--BOUNDARY
Content-Type: application/node.eks.aws
apiVersion: node.eks.aws/v1alpha1
kind: NodeConfig
spec:
cluster:
name: my-cluster
apiServerEndpoint: https://example.com
certificateAuthority: Y2VydGlmaWNhdGVBdXRob3JpdHk=
cidr: 10.100.0.0/16
kubelet:
config:
clusterDNS:
- 10.100.0.10
flags:
- --node-labels=app=my-app,environment=production
--BOUNDARY--
```
**Datos de usuario de Bottlerocket**
Bottlerocket estructura los datos de usuario en formato TOML. Puede facilitar datos de usuario para fusionarlos con los datos de usuario proporcionados por Amazon EKS. Por ejemplo, puede especificar un configuración adicional de `kubelet`.
```
[settings.kubernetes.system-reserved]
cpu = "10m"
memory = "100Mi"
ephemeral-storage= "1Gi"
```
Para obtener más información acerca de la configuración admitida, consulte la [documentación de Bottlerocket](https://github.com/bottlerocket-os/bottlerocket). Puede configurar etiquetas de nodos y [taints](node-taints-managed-node-groups.md) en los datos de usuario. Sin embargo, recomendamos que las configure en su grupo de nodos. Amazon EKS aplica estas configuraciones cuando lo hace de este modo.
Cuando se fusionan los datos de usuario, el formato no se conserva, pero el contenido sigue siendo el mismo. La configuración que proporciona en los datos de usuario anula cualquier configuración configurada por Amazon EKS. Entonces, si configura `settings.kubernetes.max-pods` o `settings.kubernetes.cluster-dns-ip`, estos valores de los datos de usuario se aplican a los nodos.
Amazon EKS no admite todos los TOML válidos. A continuación, se muestra una lista de formatos conocidos no compatibles:
+ Comillas dentro de las claves citadas: `'quoted "value"' = "value"`
+ Comillas escapadas en valores: `str = "I’m a string. \"You can quote me\""`
+ Flotantes y enteros mixtos: `numbers = [ 0.1, 0.2, 0.5, 1, 2, 5 ]`
+ Tipos mixtos en matrices: `contributors = ["[foo@example.com](mailto:foo@example.com)", { name = "Baz", email = "[baz@example.com](mailto:baz@example.com)" }]`
+ Encabezados entre corchetes con claves citadas: `[foo."bar.baz"]`
**Datos de usuario de Windows**
Los datos de usuario de Windows utilizan comandos de PowerShell. Al crear un grupo de nodos administrado, los datos de usuario personalizados se combinan con los datos de usuario administrados de Amazon EKS. Sus comandos de PowerShell son lo primero, seguidos de los comandos de datos de usuario administrados, todo dentro de una etiqueta ``.
Al crear grupos de nodos de Windows, Amazon EKS actualiza el `aws-auth` `ConfigMap` para permitir que los nodos basados en Linux se unan al clúster. El servicio no configura automáticamente permisos para las AMI de Windows. Si utiliza nodos de Windows, deberá gestionar el acceso mediante la API de entrada de acceso o la actualización directa de `aws-auth` `ConfigMap`. Para obtener más información, consulte [Implementación de nodos de Windows en clústeres de EKS](windows-support.md).
Si no se especifica ningún ID de AMI en la plantilla de lanzamiento, no utilice el script Amazon EKS Bootstrap de Windows en los datos de usuario para configurar Amazon EKS.
Los datos de usuario de ejemplo son los siguientes.
```
Write-Host "Running custom user data script"
```
## Especificación de una AMI
Si tiene alguno de los siguientes requisitos, especifique un ID de AMI en el campo `ImageId` de la plantilla de lanzamiento. Seleccione el requisito que tiene para obtener información adicional.
### Proporcione datos de usuario a fin de pasar argumentos al archivo `bootstrap.sh` incluido con una AMI optimizada de Linux o Bottlerocket para Amazon EKS.
Bootstrapping es un término que se utiliza para describir la adición de comandos que se pueden ejecutar cuando se inicia una instancia. Por ejemplo, el arranque permite usar argumentos [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/) adicionales. Puede pasar los argumentos al script `bootstrap.sh` mediante `eksctl` sin especificar una configuración de lanzamiento. O puede hacerlo al especificar la información en la sección de datos de usuario de una plantilla de lanzamiento.
**eksctl sin especificar una plantilla de lanzamiento**
Cree un archivo llamado *my-nodegroup.yaml* con el siguiente contenido. Reemplace todos los *valores de ejemplo* por sus propios valores. Los argumentos `--apiserver-endpoint`, `--b64-cluster-ca` y `--dns-cluster-ip` son opcionales. Sin embargo, definirlos permite que el script `bootstrap.sh` evite crear una llamada `describeCluster`. Esto resulta útil en configuraciones de clústeres privados o clústeres en los que los nodos se reducen y escalan horizontalmente con frecuencia. Para obtener más información sobre el script `bootstrap.sh`, consulte el archivo [bootstrap.sh](https://github.com/awslabs/amazon-eks-ami/blob/main/templates/al2/runtime/bootstrap.sh) en GitHub.
+ El único argumento requerido es el nombre del clúster (*my-cluster*).
+ Para recuperar el ID de una AMI optimizada para `ami-1234567890abcdef0 `, consulte las siguientes secciones:
+ [Recuperación de los ID de AMI de Amazon Linux recomendados](retrieve-ami-id.md)
+ [Recuperación de los ID de AMI de Bottlerocket recomendados](retrieve-ami-id-bottlerocket.md)
+ [Recuperación de los ID de AMI de Microsoft Windows recomendados](retrieve-windows-ami-id.md)
+ Para recuperar el *certificate-authority* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.certificateAuthority.data" --output text --name my-cluster --region region-code
```
+ Para recuperar el *api-server-endpoint* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.endpoint" --output text --name my-cluster --region region-code
```
+ El valor de `--dns-cluster-ip` es su servicio de CIDR con `.10` al final. Para recuperar el *service-cidr* de su clúster, ejecute el siguiente comando. Por ejemplo, si el valor devuelto es `ipv4 10.100.0.0/16`, su valor es *10.100.0.10*.
```
aws eks describe-cluster --query "cluster.kubernetesNetworkConfig.serviceIpv4Cidr" --output text --name my-cluster --region region-code
```
+ En este ejemplo proporciona un argumento `kubelet` para establecer un valor de `max-pods` personalizado mediante el script `bootstrap.sh` incluido con la AMI optimizada para Amazon EKS. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Para obtener ayuda con la selección de *my-max-pods-value*, consulte . Para obtener más información sobre cómo se determina `maxPods` al usar grupos de nodos administrados, consulte [Cómo se determina maxPods](choosing-instance-type.md#max-pods-precedence).
```
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
name: my-cluster
region: region-code
managedNodeGroups:
- name: my-nodegroup
ami: ami-1234567890abcdef0
instanceType: m5.large
privateNetworking: true
disableIMDSv1: true
labels: { x86-al2-specified-mng }
overrideBootstrapCommand: |
#!/bin/bash
/etc/eks/bootstrap.sh my-cluster \
--b64-cluster-ca certificate-authority \
--apiserver-endpoint api-server-endpoint \
--dns-cluster-ip service-cidr.10 \
--kubelet-extra-args '--max-pods=my-max-pods-value' \
--use-max-pods false
```
Para cada opción de archivo `eksctl` `config` disponible, consulte [Config file schema](https://eksctl.io/usage/schema/) (Esquema de archivo de configuración) en la documentación de `eksctl`. La utilidad `eksctl` sigue creando una plantilla de lanzamiento para usted y rellena sus datos de usuario con los datos que proporciona en el archivo `config`.
Cree un grupo de nodos con el siguiente comando.
```
eksctl create nodegroup --config-file=my-nodegroup.yaml
```
**Datos del usuario en una plantilla de lanzamiento**
Especifique la siguiente información en la sección de datos de usuario de la plantilla de lanzamiento. Reemplace todos los *valores de ejemplo* por sus propios valores. Los argumentos `--apiserver-endpoint`, `--b64-cluster-ca` y `--dns-cluster-ip` son opcionales. Sin embargo, definirlos permite que el script `bootstrap.sh` evite crear una llamada `describeCluster`. Esto resulta útil en configuraciones de clústeres privados o clústeres en los que los nodos se reducen y escalan horizontalmente con frecuencia. Para obtener más información sobre el script `bootstrap.sh`, consulte el archivo [bootstrap.sh](https://github.com/awslabs/amazon-eks-ami/blob/main/templates/al2/runtime/bootstrap.sh) en GitHub.
+ El único argumento requerido es el nombre del clúster (*my-cluster*).
+ Para recuperar el *certificate-authority* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.certificateAuthority.data" --output text --name my-cluster --region region-code
```
+ Para recuperar el *api-server-endpoint* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.endpoint" --output text --name my-cluster --region region-code
```
+ El valor de `--dns-cluster-ip` es su servicio de CIDR con `.10` al final. Para recuperar el *service-cidr* de su clúster, ejecute el siguiente comando. Por ejemplo, si el valor devuelto es `ipv4 10.100.0.0/16`, su valor es *10.100.0.10*.
```
aws eks describe-cluster --query "cluster.kubernetesNetworkConfig.serviceIpv4Cidr" --output text --name my-cluster --region region-code
```
+ En este ejemplo proporciona un argumento `kubelet` para establecer un valor de `max-pods` personalizado mediante el script `bootstrap.sh` incluido con la AMI optimizada para Amazon EKS. Para obtener ayuda con la selección de *my-max-pods-value*, consulte . Para obtener más información sobre cómo se determina `maxPods` al usar grupos de nodos administrados, consulte [Cómo se determina maxPods](choosing-instance-type.md#max-pods-precedence).
```
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==MYBOUNDARY=="
--==MYBOUNDARY==
Content-Type: text/x-shellscript; charset="us-ascii"
#!/bin/bash
set -ex
/etc/eks/bootstrap.sh my-cluster \
--b64-cluster-ca certificate-authority \
--apiserver-endpoint api-server-endpoint \
--dns-cluster-ip service-cidr.10 \
--kubelet-extra-args '--max-pods=my-max-pods-value' \
--use-max-pods false
--==MYBOUNDARY==--
```
### Proporcione datos de usuario a fin de pasar argumentos al archivo `Start-EKSBootstrap.ps1` incluido con una AMI de Windows optimizada para Amazon EKS.
Bootstrapping es un término que se utiliza para describir la adición de comandos que se pueden ejecutar cuando se inicia una instancia. Puede pasar los argumentos al script `Start-EKSBootstrap.ps1` mediante `eksctl` sin especificar una configuración de lanzamiento. O puede hacerlo al especificar la información en la sección de datos de usuario de una plantilla de lanzamiento.
Si desea especificar un ID de AMI de Windows personalizado, tenga en cuenta las siguientes consideraciones:
+ Debe utilizar una plantilla de lanzamiento y proporcionar los comandos de arranque necesarios en la sección de datos de usuario. Para recuperar el ID de Windows deseado, puede utilizar la tabla de [Creación de nodos con AMI de Windows optimizadas](eks-optimized-windows-ami.md).
+ Hay varios límites y condiciones. Por ejemplo, debe agregar `eks:kube-proxy-windows` a su mapa de configuración de IAM Authenticator de AWS. Para obtener más información, consulte [Límites y condiciones al especificar un ID de AMI](#mng-ami-id-conditions).
Especifique la siguiente información en la sección de datos de usuario de la plantilla de lanzamiento. Reemplace todos los *valores de ejemplo* por sus propios valores. Los argumentos `-APIServerEndpoint`, `-Base64ClusterCA` y `-DNSClusterIP` son opcionales. Sin embargo, definirlos permite que el script `Start-EKSBootstrap.ps1` evite crear una llamada `describeCluster`.
+ El único argumento requerido es el nombre del clúster (*my-cluster*).
+ Para recuperar el *certificate-authority* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.certificateAuthority.data" --output text --name my-cluster --region region-code
```
+ Para recuperar el *api-server-endpoint* de su clúster, ejecute el siguiente comando.
```
aws eks describe-cluster --query "cluster.endpoint" --output text --name my-cluster --region region-code
```
+ El valor de `--dns-cluster-ip` es su servicio de CIDR con `.10` al final. Para recuperar el *service-cidr* de su clúster, ejecute el siguiente comando. Por ejemplo, si el valor devuelto es `ipv4 10.100.0.0/16`, su valor es *10.100.0.10*.
```
aws eks describe-cluster --query "cluster.kubernetesNetworkConfig.serviceIpv4Cidr" --output text --name my-cluster --region region-code
```
+ Para obtener argumentos adicionales, consulte [Parámetros de configuración del script de arranque](eks-optimized-windows-ami.md#bootstrap-script-configuration-parameters).
**nota**
Si utiliza un CIDR de servicio personalizado, debe especificarlo con el parámetro `-ServiceCIDR`. De lo contrario, se producirá un error en la resolución de DNS del clúster para pods.
```
[string]$EKSBootstrapScriptFile = "$env:ProgramFiles\Amazon\EKS\Start-EKSBootstrap.ps1"
& $EKSBootstrapScriptFile -EKSClusterName my-cluster `
-Base64ClusterCA certificate-authority `
-APIServerEndpoint api-server-endpoint `
-DNSClusterIP service-cidr.10
```
### Ejecute una AMI personalizada debido a requisitos específicos de seguridad, conformidad o políticas internas
Para obtener más información, consulte [Imágenes de máquina de Amazon (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) en la *Guía del usuario de Amazon EC2*. La especificación de compilación de la AMI de Amazon EKS contiene recursos y scripts de configuración para crear una AMI personalizada de Amazon EKS basada en Amazon Linux. Para obtener más información, consulte [Especificación de compilación de AMI de Amazon EKS](https://github.com/awslabs/amazon-eks-ami/) en GitHub. Para crear AMI personalizadas instaladas con otros sistemas operativos, consulte [AMI personalizadas de ejemplo de Amazon EKS](https://github.com/aws-samples/amazon-eks-custom-amis) en GitHub.
No puede usar referencias de parámetros dinámicos para los ID de AMI en las plantillas de lanzamiento empleadas con grupos de nodos administrados.
**importante**
Al especificar una AMI, Amazon EKS no valida la versión de Kubernetes incrustada en la AMI frente a la versión del plano de control del clúster. Usted es responsable de asegurarse de que la versión de Kubernetes de la AMI personalizada cumpla con la [política de desfase de versiones de Kubernetes](https://kubernetes.io/releases/version-skew-policy):
La versión de `kubelet` en los nodos no debe ser posterior a la versión del clúster
La versión de `kubelet` en los nodos debe ser igual a la versión del clúster o estar hasta tres versiones secundarias por detrás (para Kubernetes versión `1.28` o superior), o hasta dos versiones secundarias por detrás (para Kubernetes versión `1.27` o inferior)
La creación de grupos de nodos administrados con incumplimientos de la política de desfase de versiones puede dar lugar a lo siguiente:
Nodos que no se unen al clúster
Comportamiento indefinido o incompatibilidades de la API
Inestabilidad del clúster o fallos en las cargas de trabajo
Al especificar una AMI, Amazon EKS no combina ningún dato de usuario. Más bien, usted es responsable de suministrar el comando `bootstrap` requerido para que los nodos se unan al clúster. Si los nodos no se unen al clúster, las acciones de Amazon EKS `CreateNodegroup` y `UpdateNodegroupVersion` también fallan.
## Límites y condiciones al especificar un ID de AMI
A continuación se detallan los límites y las condiciones que implica especificar un ID de AMI con grupos de nodos administrados:
+ Debe crear un nuevo grupo de nodos para cambiar entre especificar un ID de AMI en una plantilla de lanzamiento y no especificar un ID de AMI.
+ No se le notifica en la consola cuando hay disponible una versión más reciente de AMI. Para actualizar el grupo de nodos a una versión de AMI más reciente, debe crear una nueva versión de la plantilla de lanzamiento con un ID de AMI actualizado. A continuación, debe actualizar el grupo de nodos con la nueva versión de plantilla de lanzamiento.
+ Los siguientes campos no se pueden establecer en la API si especifica un ID de AMI:
+ `amiType`
+ `releaseVersion`
+ `version`
+ Todas las `taints` configuradas en la API se aplican de manera asíncrona si se especifica un ID de AMI. Para aplicar taints antes de que un nodo se una al clúster, se deben transferir las taints a `kubelet` en sus datos de usuario mediante la marca `--register-with-taints` de la línea de comandos. Para obtener más información, consulte [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/) en la documentación de Kubernetes.
+ Al especificar un ID de AMI personalizado para los grupos de nodos administrados de Windows, agregue `eks:kube-proxy-windows` al mapa de configuración del Autenticador de AWS IAM. Esto es necesario para que el DNS funcione correctamente.
1. Abra el mapa de configuración de IAM Authenticator de AWS para editarlo.
```
kubectl edit -n kube-system cm aws-auth
```
1. Agregue esta entrada a la lista de `groups` debajo de cada uno de los `rolearn` asociados con nodos de Windows. El mapa de configuración debe tener un aspecto similar al de [aws-auth-cm-windows.yaml](https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm-windows.yaml).
```
- eks:kube-proxy-windows
```
1. Guarde el archivo y salga del editor de texto.
+ Para cualquier AMI que utilice una plantilla de lanzamiento personalizada, el valor predeterminado de `HttpPutResponseHopLimit` para los grupos de nodos administrados se establece en `2`.
# Eliminación de un grupo de nodos administrado de un clúster
En este tema se describe cómo puede eliminar un grupo de nodos administrado de Amazon EKS. Al eliminar un grupo de nodos administrados, Amazon EKS establece primero el tamaño mínimo, máximo y deseado del grupo de Auto Scaling en cero. Esto hace que el grupo de nodos se reduzca verticalmente.
Antes de terminar cada instancia, Amazon EKS envía una señal para vaciar ese nodo. Durante el proceso de vaciado, Kubernetes hace lo siguiente para cada pod del nodo: ejecuta cualquier enlace de ciclo de vida `preStop` configurado, envía señales `SIGTERM` a los contenedores y, a continuación, espera a que `terminationGracePeriodSeconds` se apague correctamente. Si el nodo no se ha drenado después de cinco minutos, Amazon EKS permite que el escalado automático continúe con la terminación forzada de la instancia. Una vez terminadas todas las instancias, se elimina el grupo de escalado automático.
**importante**
Si elimina un grupo de nodos administrado que utiliza un rol de IAM de un nodo que no se emplea en ningún otro grupo de nodos administrado en el clúster, el rol se quitará del `ConfigMap` de `aws-auth`. Si algún grupo de nodos autoadministrados del clúster utiliza el mismo rol de IAM del nodo, los nodos autoadministrados adoptarán el estado `NotReady`. Además, también se interrumpe la operación del clúster. Para añadir una asignación para el rol que está utilizando solo para los grupos de nodos autoadministrados, consulte [Creación de entradas de acceso](creating-access-entries.md), si la versión de la plataforma de su clúster es al menos la versión mínima que aparece en la sección de requisitos previos de [Concesión de acceso a los usuarios de IAM a las entradas de acceso de Kubernetes con EKS](access-entries.md). Si la versión de la plataforma es anterior a la versión mínima requerida para las entradas de acceso, puede volver a añadir la entrada al `ConfigMap` de `aws-auth`. Para obtener más información, ingrese `eksctl create iamidentitymapping --help` en su terminal.
Se puede eliminar un grupo de nodos administrados con:
+ [`eksctl`](#eksctl-delete-managed-nodegroup)
+ [Consola de administración de AWS](#console-delete-managed-nodegroup)
+ [AWS CLI](#awscli-delete-managed-nodegroup)
## `eksctl`
**Eliminar un grupo de nodos administrados con `eksctl` **
Escriba el siguiente comando. Reemplace cada `` con valores propios.
```
eksctl delete nodegroup \
--cluster \
--name \
--region
```
Para obtener más opciones, consulte [Eliminar y drenar grupos de nodos](https://eksctl.io/usage/nodegroups/#deleting-and-draining-nodegroups) en la documentación `eksctl`.
## Consola de administración de AWS
**Eliminar un grupo de nodos administrados con la Consola de administración de AWS **
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. En la página **Clústeres**, elija el clúster que contiene el grupo de nodos que desea eliminar.
1. En la página del clúster, seleccione la pestaña **Computar**.
1. En la sección de **Node Groups** (Grupos de nodos), elija el grupo de nodos que desea eliminar. A continuación, elija **Eliminar**.
1. En el cuadro de diálogo de confirmación **Eliminar grupo de nodos**, introduzca el nombre del grupo de nodos. A continuación, elija **Eliminar**.
## AWS CLI
**Eliminar un grupo de nodos administrados con la CLI de AWS**
1. Escriba el siguiente comando. Reemplace cada `` con valores propios.
```
aws eks delete-nodegroup \
--cluster-name \
--nodegroup-name \
--region
```
1. Si se ha establecido `cli_pager=` en la configuración de la CLI, use las teclas de flecha del teclado para desplazarse por el resultado de la respuesta. Pulse la tecla `q` cuando termine.
Para obtener más opciones, consulte el comando ` [delete-nodegroup](https://docs.aws.amazon.com/cli/latest/reference/eks/delete-nodegroup.html) ` en la *Referencia de los comandos de la CLI de AWS*.
# Mantenimiento de nodos por cuenta propia con nodos autoadministrados
Un clúster contiene uno o varios nodos de Amazon EC2 en los que están programados los pods. Los nodos de Amazon EKS se ejecutan en su cuenta de AWS y se conectan con el plano de control del clúster a través del punto de conexión del servidor de la API del clúster. Se le factura por ellos en función de los precios de Amazon EC2. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).
Un clúster puede contener varios grupos de nodos. Cada grupo de nodos contiene uno o varios nodos que se implementan en un [grupo de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/AutoScalingGroup.html). El tipo de instancia de los nodos del grupo puede variar; por ejemplo, cuando se utiliza [la selección del tipo de instancia basada en atributos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-fleet-attribute-based-instance-type-selection.html) con [Karpenter](https://karpenter.sh/). Todas las instancias de un grupo de nodos deben utilizar el [rol de IAM del nodo de Amazon EKS](create-node-role.md).
Amazon EKS proporciona imágenes de máquina de Amazon (AMI) especializadas que se denominan AMI optimizadas para Amazon EKS. Las AMI están configuradas para funcionar con Amazon EKS. Sus componentes incluyen `containerd`, `kubelet` y el Autenticador de AWS IAM. Las AMI también contienen un [script de arranque](https://github.com/awslabs/amazon-eks-ami/blob/main/templates/al2/runtime/bootstrap.sh) especializado que permite detectar el plano de control del clúster y conectarse automáticamente a él.
Si restringe el acceso al punto de conexión público del clúster mediante bloques de CIDR, recomendamos habilitar también el acceso al punto de conexión privado. Esto permite que los nodos se puedan comunicar con el clúster. Si el punto de conexión privado no está habilitado, los bloques de CIDR que especifique para el acceso público deben incluir los orígenes de salida de su VPC. Para obtener más información, consulte [Punto de conexión del servidor de API del clúster](cluster-endpoint.md).
Para agregar nodos autoadministrados a su clúster de Amazon EKS, consulte los temas siguientes. Si lanza de forma manual nodos autoadministrados, debe agregar la siguiente etiqueta a cada nodo y asegurarse de que `` coincida con el clúster. Para obtener más información, consulte [Cómo agregar etiquetas a un recurso individual y eliminarlas de él](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags). Si sigue los pasos de las siguientes guías, se agregará automáticamente la etiqueta necesaria a los nodos.
| Clave | Valor |
| --- | --- |
| `kubernetes.io/cluster/` | `owned` |
**importante**
Las etiquetas del Servicio de metadatos de instancias (IMDS) de Amazon EC2 no son compatibles con los nodos de EKS. Cuando las etiquetas de metadatos de instancia están habilitadas, se impide el uso de barras diagonales (“/”) en los valores de las etiquetas. Esta limitación puede provocar errores en el lanzamiento de las instancias, especialmente cuando se utilizan herramientas de administración de nodos como Karpenter o el Escalador automático de clústeres, ya que estos servicios dependen de etiquetas que contienen barras diagonales para funcionar correctamente.
Para obtener más información sobre los nodos desde un punto de vista general de Kubernetes, consulte [Nodos](https://kubernetes.io/docs/concepts/architecture/nodes/) en la documentación de Kubernetes.
**Topics**
+ [Creación de nodos autoadministrados de Amazon Linux](launch-workers.md)
+ [Creación de nodos de Bottlerocket autoadministrados](launch-node-bottlerocket.md)
+ [Creación de nodos autoadministrados de Microsoft Windows](launch-windows-workers.md)
+ [Creación de nodos autoadministrados de Linux para Ubuntu](launch-node-ubuntu.md)
+ [Actualización de los nodos autoadministrados para un clúster](update-workers.md)
# Creación de nodos autoadministrados de Amazon Linux
En este tema, se describe cómo puede lanzar grupos de escalado automático de nodos de Linux que se registrará con el clúster de Amazon EKS. Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de Kubernetes en ellos. También puede lanzar nodos de Amazon Linux autoadministrados con `eksctl` o la Consola de administración de AWS. Si necesita lanzar nodos en AWS Outposts, consulte [Creación de nodos de Amazon Linux en AWS Outposts](eks-outposts-self-managed-nodes.md).
+ Un clúster existente de Amazon EKS. Para implementar uno, consulte [Creación de un clúster de Amazon EKS](create-cluster.md). Si tiene subredes en la región de AWS, donde están habilitadas las subredes AWS Outposts, AWS Wavelength o AWS Local Zones, estas no se deben haber pasado al crear su clúster.
+ Un rol de IAM existente para que lo utilicen los nodos. Para crear uno, consulte [Rol de IAM de nodo de Amazon EKS](create-node-role.md). Si este rol no tiene ninguna de las políticas de la CNI de la VPC, es necesario el rol independiente que se indica a continuación para los pods de la CNI de la VPC.
+ (Opcional, pero recomendado) El complemento CNI de Amazon VPC para Kubernetes configurado con su propio rol de IAM que tenga adjunta la política de IAM necesaria. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
+ Familiaridad con las consideraciones que se enumeran en [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md). Según el tipo de instancia que elija, es posible que haya requisitos previos adicionales para su clúster y VPC.
Puede lanzar nodos de Linux autoadministrados con una de las siguientes opciones:
+ [`eksctl`](#eksctl_create_managed_amazon_linux)
+ [Consola de administración de AWS](#console_create_managed_amazon_linux)
## `eksctl`
**Lanzamiento de nodos de Linux autoadministrados mediante `eksctl` **
1. Instale la versión `0.215.0` o posterior de la herramienta de línea de comandos de `eksctl` instalada en su dispositivo o AWS CloudShell. Para instalar o actualizar `eksctl`, consulte la sección de [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
1. (Opcional) Si la política de IAM administrada **AmazonEKS\$1CNI\$1Policy** se adjunta a su [rol de IAM de nodos de Amazon EKS](create-node-role.md), recomendamos asignarla a un rol de IAM asociado a la cuenta de servicio de `aws-node` de Kubernetes en su lugar. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
1. El siguiente comando crea un grupo de nodos en un clúster existente. Sustituya *al-nodes* por un nombre para su grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Reemplace *my-cluster* por el nombre de su clúster. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfanumérico y no puede tener más de 100 caracteres. El nombre debe ser único dentro de la región de AWS y la cuenta de AWS en las que va a crear el clúster. Sustituya los *valores de ejemplo* restantes por sus propios valores. Los nodos se crean de forma predeterminada con la misma versión de Kubernetes que el plano de control.
Antes de elegir un valor de `--node-type`, consulte [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md).
Reemplace *my-key* con el nombre de su par de claves de Amazon EC2 o la clave pública. Esta clave se utiliza para SSH en sus nodos después de que se lancen. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener más información, consulte [Pares de claves de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) en la *Guía del usuario de Amazon EC2*.
Cree el grupo de nodos con el siguiente comando.
**importante**
Si desea implementar un grupo de nodos en las subredes de AWS Outposts, Wavelength o zonas locales, existen consideraciones adicionales:
Las subredes no deben haberse transferido al crear el clúster.
Debe crear el grupo de nodos con un archivo de configuración, que especifique las subredes y ` [volumeType](https://eksctl.io/usage/schema/#nodeGroups-volumeType): gp2`. Para obtener más información, consulte [Crear un grupo de nodos a partir de un archivo de Config](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file) y el [Esquema de archivo de configuración](https://eksctl.io/usage/schema/) en la documentación de `eksctl`.
```
eksctl create nodegroup \
--cluster my-cluster \
--name al-nodes \
--node-type t3.medium \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--ssh-access \
--managed=false \
--ssh-public-key my-key
```
Para implementar un grupo de nodos que:
+ pueda asignar un número significativamente mayor de direcciones IP a pods que la configuración predeterminada, consulte [Asignación de más direcciones IP a los nodos de Amazon EKS con prefijos](cni-increase-ip-addresses.md).
+ pueda asignar direcciones `IPv4` a pods de un bloque de CIDR diferente que el de la instancia, consulte [Implementación de pods en subredes alternativas con redes personalizadas](cni-custom-network.md).
+ pueda asignar direcciones `IPv6` a los pods y los servicios, consulte [Información sobre la asignación de direcciones IPv6 a clústeres, pods y servicios](cni-ipv6.md).
+ no tenga acceso saliente a internet, consulte [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
Para obtener una lista completa de todas las opciones y valores predeterminados disponibles, ingrese el siguiente comando.
```
eksctl create nodegroup --help
```
Si los nodos no se unen al clúster, consulte [Los nodos no pueden unirse al clúster](troubleshooting.md#worker-node-fail) en el capítulo de solución de problemas.
Un ejemplo de salida sería el siguiente. Se generan varias líneas mientras se crean los nodos. Una de las últimas líneas de salida es la siguiente línea de ejemplo.
```
[✔] created 1 nodegroup(s) in cluster "my-cluster"
```
1. (Opcional) Implemente una [aplicación de muestra](sample-deployment.md) para probar el clúster y los nodos de Linux.
1. Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
## Consola de administración de AWS
**Paso 1: lanzamiento de nodos de Linux autoadministrados mediante la Consola de administración de AWS **
1. Descargue la versión más reciente de la plantilla de AWS CloudFormation.
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2025-11-26/amazon-eks-nodegroup.yaml
```
1. Espere a que el estado del clúster sea `ACTIVE`. Si lanza los nodos antes de que el clúster esté activo, los nodos no pueden registrarse con el clúster y tendrá que volver a lanzarlos.
1. Abra la [AWS consola de CloudFormation](https://console.aws.amazon.com/cloudformation/).
1. Seleccione **Create stack (Crear pila)** y, a continuación, seleccione **With new resources (standard) (Con nuevos recursos [estándar])**.
1. Para **Especificar plantilla**, seleccione **Cargar un archivo de plantilla** y, a continuación, elija **Elegir archivo**.
1. Edite el archivo `amazon-eks-nodegroup.yaml` que ha descargado.
1. Seleccione **Siguiente**.
1. En la página **Especificar detalles de la pila**, ingrese los siguientes parámetros según corresponda y luego seleccione **Siguiente**:
+ **Nombre de pila**: elija un nombre para su pila de AWS CloudFormation. Por ejemplo, puede llamarla *my-cluster-nodes*. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfanumérico y no puede tener más de 100 caracteres. El nombre debe ser único dentro de la región de AWS y la cuenta de AWS en las que va a crear el clúster.
+ **ClusterName**: ingrese el nombre que usó al crear el clúster de Amazon EKS. Este nombre debe coincidir con el nombre del clúster o los nodos no se podrán unir al clúster.
+ **ClusterControlPlaneSecurityGroup**: elija el valor de **SecurityGroups** de la salida de AWS CloudFormation que generó al crear su [VPC](creating-a-vpc.md).
En los siguientes pasos, se muestra una operación para recuperar el grupo aplicable.
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el nombre del clúster.
1. Elija la pestaña **Redes**.
1. Use el valor de **Grupo de seguridad adicional** como referencia al realizar una selección en la lista desplegable **ClusterControlPlaneSecurityGroup**.
+ **ApiServerEndpoint**: ingrese el punto de conexión del servidor de API para el clúster de EKS. Puede consultarlo en la sección Detalles de la consola de Clústeres de EKS.
+ **CertificateAuthorityData**: ingrese los datos de la autoridad de certificación codificados en base64, que también se encuentran en la sección Detalles de la consola de Clústeres de EKS.
+ **ServiceCidr**: ingrese el rango CIDR que se usó para asignar las direcciones IP a los servicios de Kubernetes en el clúster. Se encuentra en la pestaña Redes de la consola de Clústeres de EKS.
+ **AuthenticationMode**: para seleccionar el modo de autenticación que se usa en el clúster de EKS, consulte la pestaña de acceso en la consola de Clústeres de EKS.
+ **NodeGroupName**: escriba un nombre para el grupo de nodos. Este nombre se puede utilizar más adelante para identificar el grupo de nodos de escalado automático que se crea para los nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales.
+ **NodeAutoScalingGroupMinSize**: ingrese el número mínimo de nodos al que se puede reducir horizontalmente el grupo de escalado automático de nodos.
+ **NodeAutoScalingGroupDesiredCapacity**: escriba el número deseado de nodos que desea escalar cuando se crea la pila.
+ **NodeAutoScalingGroupMaxSize**: ingrese el número máximo de nodos que pueda alcanzar el grupo de Auto Scaling de nodos.
+ **NodeInstanceType**: elija un tipo de instancia para los nodos. Para obtener más información, consulte [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md).
+ **NodeImageIdSSMParam**: se rellena previamente con el parámetro de Amazon EC2 Systems Manager de una AMI de Amazon Linux 2023 optimizada recientemente para Amazon EKS para una versión de Kubernetes variable. Para utilizar otra versión secundaria de Kubernetes compatible con Amazon EKS, reemplace *1.XX* por una [versión admitida](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html) diferente. Recomendamos especificar la misma versión de Kubernetes que el clúster.
También puede sustituir *amazon-linux-2023* por un tipo de AMI diferente. Para obtener más información, consulte [Obtención de los ID de AMI de Amazon Linux recomendados](retrieve-ami-id.md).
**nota**
Las AMI de los nodos de Amazon EKS se basan en Amazon Linux. Puede realizar un seguimiento de los eventos de seguridad o privacidad de Amazon Linux 2023 en el [Centro de seguridad de Amazon Linux](https://alas.aws.amazon.com/alas2023.html) o suscribirse a la [fuente RSS](https://alas.aws.amazon.com/AL2023/alas.rss) asociada. Los eventos de seguridad y privacidad incluyen información general del problema, qué paquetes están afectados y cómo actualizar las instancias para corregir el problema.
+ **NodeImageId**: (opcional) si utiliza una AMI personalizada propia (en lugar de una AMI optimizada para Amazon EKS), escriba un ID de AMI de nodo para la región de AWS. Si especifica un valor aquí, anula cualquier valor del campo **NodeImageIdSSMParam**.
+ **NodeVolumeSize**: especifique un tamaño de volumen raíz para los nodos en GiB.
+ **NodeVolumeType**: especifique un tipo de volumen raíz para sus nodos.
+ **KeyName**: ingrese el nombre de un par de claves SSH de Amazon EC2 que pueda utilizar para conectar mediante SSH con los nodos después de haberlos lanzado. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener más información, consulte [Pares de claves de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) en la *Guía del usuario de Amazon EC2*.
+ **VpcId**: ingrese el ID de la [VPC](creating-a-vpc.md) que ha creado.
+ **Subredes**: elija las subredes que creó para la VPC. Si creó la VPC siguiendo los pasos que se describen en [Creación de una Amazon VPC para su clúster de Amazon EKS](creating-a-vpc.md), especifique solo las subredes privadas en la VPC en las que desea lanzar los nodos. Puede ver qué subredes son privadas abriendo cada enlace de subred desde la pestaña **Redes** de su clúster.
**importante**
Si alguna de las subredes es pública, debe tener habilitada la configuración de asignación automática de direcciones IP públicas. Si la configuración no está habilitada para la subred pública, los nodos que implemente en dicha subred pública no tendrán asignada una dirección IP pública y no podrán comunicarse con el clúster u otros servicios de AWS. Si la subred se implementó antes del 26 de marzo de 2020 mediante cualquiera de las [plantillas de VPC de AWS CloudFormation de Amazon EKS](creating-a-vpc.md) o mediante `eksctl`, la asignación automática de direcciones IP públicas se deshabilitará en las subredes públicas. Para obtener información acerca de cómo habilitar la asignación de direcciones IP públicas en una subred, consulte [Modificación del atributo de direcciones IPv4 públicas de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip). Si el nodo se implementa en una subred privada, podrá comunicarse con el clúster y otros servicios de AWS a través de una puerta de enlace NAT.
Si las subredes no tienen acceso a Internet, asegúrese de que conoce las consideraciones y los pasos adicionales en [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
Si selecciona las subredes de AWS Outposts, Wavelength o zonas locales, las subredes no se deben haber pasado cuando creó el clúster.
1. Seleccione las opciones que desee en la página **Configurar las opciones de pila** y, a continuación, elija **Siguiente**.
1. Seleccione la casilla de verificación a la izquierda de **Reconozco que AWS podría crear recursos de IAM** y, luego, seleccione **Crear pila**.
1. Una vez completada la creación de la pila, selecciónela en la consola y elija **Salidas**. Si utiliza los modos de autenticación `EKS API` o `EKS API and ConfigMap`, este es el último paso.
1. Si utiliza el modo de autenticación `ConfigMap`, registre el valor de **NodeInstanceRole** correspondiente al grupo de nodos que se creó.
**Paso 2: habilitación para que los nodos se unan al clúster**
**nota**
Los dos pasos siguientes solo son necesarios si se utiliza el modo de autenticación ConfigMap en el clúster de EKS. Además, si ha lanzado nodos dentro de una VPC privada sin acceso a Internet saliente, asegúrese de activar los nodos para que se unan al clúster desde dentro de la VPC.
1. Verifique si ya tiene el `ConfigMap` de `aws-auth`.
```
kubectl describe configmap -n kube-system aws-auth
```
1. Si se le muestra un `ConfigMap` de `aws-auth`, actualícelo según sea necesario.
1. Abra el icono `ConfigMap` para editar.
```
kubectl edit -n kube-system configmap/aws-auth
```
1. Añada una nueva entrada de `mapRoles` según sea necesario. Establezca el valor de `rolearn` en el valor de **NodeInstanceRole** que registró en el procedimiento anterior.
```
[...]
data:
mapRoles: |
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
[...]
```
1. Guarde el archivo y salga del editor de texto.
1. Si recibe un error que indica “`Error from server (NotFound): configmaps "aws-auth" not found`, aplique el `ConfigMap` bursátil.
1. Descargue el mapa de configuración.
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml
```
1. En el archivo `aws-auth-cm.yaml`, establezca el valor de `rolearn` al valor **NodeInstanceRole** que ha registrado en el procedimiento anterior. Puede hacerlo con un editor de texto o al reemplazar *my-node-instance-role* y ejecutar el siguiente comando:
```
sed -i.bak -e 's||my-node-instance-role|' aws-auth-cm.yaml
```
1. Aplique la configuración. Este comando puede tardar varios minutos en finalizar.
```
kubectl apply -f aws-auth-cm.yaml
```
1. Observe el estado de los nodos y espere a que aparezca el estado `Ready`.
```
kubectl get nodes --watch
```
Ingrese `Ctrl`\$1`C` para obtener un símbolo del intérprete de comandos.
**nota**
Si recibe cualquier error de tipo de recurso o autorización, consulte [Acceso denegado o no autorizado (`kubectl`)](troubleshooting.md#unauthorized) en el tema de solución de problemas.
Si los nodos no se unen al clúster, consulte [Los nodos no pueden unirse al clúster](troubleshooting.md#worker-node-fail) en el capítulo de solución de problemas.
1. (Solo para nodos de GPU) Si ha elegido un tipo de instancia de GPU y la AMI acelerada optimizada para Amazon EKS, debe aplicar el [complemento de dispositivo NVIDIA para Kubernetes](https://github.com/NVIDIA/k8s-device-plugin) como un DaemonSet en el clúster. Reemplace *vX.X.X* con la versión [NVIDIA/k8s-device-plugin](https://github.com/NVIDIA/k8s-device-plugin/releases) deseada antes de ejecutar el siguiente comando.
```
kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
```
**Paso 3: acciones adicionales**
1. (Opcional) Implemente una [aplicación de muestra](sample-deployment.md) para probar el clúster y los nodos de Linux.
1. (Opcional) Si la política de IAM administrada **AmazonEKS\$1CNI\$1Policy** (si tiene un clúster `IPv4`) o la política *AmazonEKS\$1CNI\$1IPv6\$1Policy* (que [haya creado](cni-iam-role.md#cni-iam-role-create-ipv6-policy) si tiene un clúster `IPv6`) están adjuntas a su [rol de IAM de nodos en Amazon EKS](create-node-role.md), le recomendamos asignarlas a un rol de IAM que asocie a la cuenta de servicio de `aws-node` de Kubernetes como alternativa. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
1. Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
# Creación de nodos de Bottlerocket autoadministrados
**nota**
Los grupos de nodos administrados podrían ofrecer algunas ventajas para su caso de uso. Para obtener más información, consulte [Simplificación del ciclo de vida de los nodos con grupos de nodos administrados](managed-node-groups.md).
En este tema, se describe cómo puede lanzar un grupo de escalado automático de nodos de [Bottlerocket](https://aws.amazon.com/bottlerocket/) que se registrará con el clúster de Amazon EKS. Bottlerocket es un sistema operativo de código abierto basado en Linux de AWS que puede utilizar para ejecutar contenedores en máquinas virtuales o hosts bare metal. Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de Kubernetes en ellos. Para obtener más información acerca de Bottlerocket, consulte [Uso de una AMI de Bottlerocket con Amazon EKS](https://github.com/bottlerocket-os/bottlerocket/blob/develop/QUICKSTART-EKS.md) en GitHub y [Compatibilidad con AMI personalizada](https://eksctl.io/usage/custom-ami-support/) en la documentación de `eksctl`.
Para obtener información sobre actualizaciones en contexto, consulte [Operador de actualización de Bottlerocket](https://github.com/bottlerocket-os/bottlerocket-update-operator) en GitHub.
**importante**
Los nodos de Amazon EKS son instancias estándar de Amazon EC2 y se les facturarán conforme a los precios ordinarios de las instancias de Amazon EC2. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).
Puede lanzar nodos de Bottlerocket en clústeres extendidos de Amazon EKS en AWS Outposts, pero no puede lanzarlos en clústeres locales en AWS Outposts. Para obtener más información, consulte [Implementación de Amazon EKS en las instalaciones con AWS Outposts](eks-outposts.md).
Puede implementar en instancias de Amazon EC2 con procesadores `x86` o Arm. Sin embargo, no puede implementar en instancias que tienen chips Inferentia.
Bottlerocket es compatible con AWS CloudFormation. Sin embargo, no existe ninguna plantilla oficial de CloudFormation que pueda copiarse para implementar nodos de Bottlerocket para Amazon EKS.
Las imágenes de Bottlerocket no vienen con un servidor SSH ni un intérprete de comandos. Puede utilizar métodos de acceso fuera de banda para permitir que SSH habilite el contenedor de administración y superar algunos pasos de configuración de arranque con datos de usuario. Para obtener más información, consulte estas secciones en [bottlerocket README.md](https://github.com/bottlerocket-os/bottlerocket) en GitHub:
[Exploration (Exploración](https://github.com/bottlerocket-os/bottlerocket#exploration)
[Contenedor de administrador](https://github.com/bottlerocket-os/bottlerocket#admin-container)
[Configuración de Kubernetes](https://github.com/bottlerocket-os/bottlerocket#kubernetes-settings)
En este procedimiento, se requiere la versión `0.215.0` o posterior de `eksctl`. Puede verificar la versión con el siguiente comando:
```
eksctl version
```
Para obtener instrucciones acerca de cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`. NOTA: Este procedimiento solo funciona en los clústeres que se crearon con `eksctl`.
1. Copie los siguientes contenidos en su dispositivo. Reemplace *my-cluster* por el nombre de su clúster. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfanumérico y no puede tener más de 100 caracteres. El nombre debe ser único dentro de la región de AWS y la cuenta de AWS en las que va a crear el clúster. Reemplace *ng-bottlerocket* por un nombre para su grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Para implementar en instancias Arm, reemplace *m5.large* por un tipo de instancia Arm. Sustituya *my-ec2-keypair-name* por el nombre de un par de claves SSH de Amazon EC2 que pueda utilizar para conectar mediante SSH con los nodos después de haberlos lanzado. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener más información, consulte [Pares de claves de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) en la *Guía del usuario de Amazon EC2*. Sustituya todos los valores de ejemplo restantes por sus propios valores. Una vez que haya llevado a cabo las sustituciones, ejecute el comando modificado para crear el archivo `bottlerocket.yaml`.
Si especifica un tipo de instancia Arm de Amazon EC2, revise las consideraciones en [AMI de Amazon Linux optimizada para Amazon EKS Arm](eks-optimized-ami.md#arm-ami) antes de llevar a cabo la implementación. Para ver instrucciones sobre cómo implementar mediante una AMI personalizada, consulte [Creación de Bottlerocket](https://github.com/bottlerocket-os/bottlerocket/blob/develop/BUILDING.md) en GitHub y [Compatibilidad con AMI personalizada](https://eksctl.io/usage/custom-ami-support/) en la documentación de `eksctl`. Para implementar un grupo de nodos administrados, implemente una AMI personalizada mediante el uso de una plantilla de lanzamiento. Para obtener más información, consulte [Personalización de nodos administrados con plantillas de lanzamiento](launch-templates.md).
**importante**
Para implementar un grupo de nodos en las subredes de AWS Outposts, AWS Wavelength o zonas locales de AWS, no pase las subredes de AWS Outposts, AWS Wavelength o Zonas locales de AWS al crear el clúster. Debe especificar las subredes en el siguiente ejemplo. Para obtener más información, consulte [Crear un grupo de nodos a partir de un archivo de Config](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file) y el [Esquema de archivo de configuración](https://eksctl.io/usage/schema/) en la documentación de `eksctl`. Reemplace *region-code* por la región de AWS en la que se encuentra el clúster.
```
cat >bottlerocket.yaml <
Este tema describe cómo lanzar un grupo de Auto Scaling de nodos de Windows que se registrará con el clúster de Amazon EKS. Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de Kubernetes en ellos.
**importante**
Los nodos de Amazon EKS son instancias estándar de Amazon EC2 y se le facturarán conforme a los precios ordinarios de las instancias de Amazon EC2. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).
Puede lanzar nodos de Windows en clústeres extendidos de Amazon EKS en AWS Outposts, pero no puede lanzarlos en clústeres locales en AWS Outposts. Para obtener más información, consulte [Implementación de Amazon EKS en las instalaciones con AWS Outposts](eks-outposts.md).
Habilite la compatibilidad con Windows para su clúster Recomendamos que revise las consideraciones importantes antes de lanzar un grupo de nodos de Windows. Para obtener más información, consulte [Habilitación de la compatibilidad con Windows](windows-support.md#enable-windows-support).
Puede lanzar nodos de Windows autoadministrados con una de las siguientes opciones:
+ [`eksctl`](#eksctl_create_windows_nodes)
+ [Consola de administración de AWS](#console_create_windows_nodes)
## `eksctl`
**Lanzamiento de nodos de Windows autoadministrados mediante `eksctl` **
En este procedimiento, se presupone que ha instalado `eksctl` y que su versión de `eksctl` es al menos `0.215.0`. Puede verificar la versión con el siguiente comando.
```
eksctl version
```
Para obtener instrucciones sobre cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
**nota**
Este procedimiento solo es válido para los clústeres que se crearon con `eksctl`.
1. (Opcional) Si la política de IAM administrada **AmazonEKS\$1CNI\$1Policy** (si tiene un clúster `IPv4`) o la política *AmazonEKS\$1CNI\$1IPv6\$1Policy* (que [haya creado](cni-iam-role.md#cni-iam-role-create-ipv6-policy) si tiene un clúster `IPv6`) están adjuntas a su [rol de IAM de nodos en Amazon EKS](create-node-role.md), le recomendamos asignarlas, en cambio, a un rol de IAM que asocie a la cuenta de servicio de `aws-node` de Kubernetes. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
1. En este procedimiento, se presupone que dispone de un clúster existente. Si aún no tiene un clúster de Amazon EKS ni un grupo de nodos de Amazon Linux al cual agregarle un grupo de nodos de Windows, le recomendamos que siga la [Introducción a Amazon EKS: `eksctl`](getting-started-eksctl.md). En esta guía se proporciona una explicación completa para crear un clúster de Amazon EKS con nodos de Amazon Linux.
Cree el grupo de nodos con el siguiente comando. Reemplace *region-code* por la región de AWS en la que se encuentra el clúster. Sustituya *my-cluster* por el nombre del clúster. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfanumérico y no puede tener más de 100 caracteres. El nombre debe ser único dentro de la región de AWS y la cuenta de AWS en las que va a crear el clúster. Reemplace *ng-windows* por un nombre para su grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Puede reemplazar *2019* por `2022` para usar Windows Server 2022 o por `2025` para usar Windows Server 2025. Sustituya el resto de los valores de ejemplo por sus propios valores.
**importante**
Para implementar un grupo de nodos en las subredes de AWS Outposts, AWS Wavelength o zonas locales de AWS, no pase las subredes de AWS Outposts, Wavelength o zonas locales al crear el clúster. Cree el grupo de nodos con un archivo de configuración, que especifique las subredes de AWS Outposts, Wavelength o Local Zone. Para obtener más información, consulte [Crear un grupo de nodos a partir de un archivo de Config](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file) y el [Esquema de archivo de configuración](https://eksctl.io/usage/schema/) en la documentación de `eksctl`.
```
eksctl create nodegroup \
--region region-code \
--cluster my-cluster \
--name ng-windows \
--node-type t2.large \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--managed=false \
--node-ami-family WindowsServer2019FullContainer
```
**nota**
Si los nodos no se unen al clúster, consulte [Los nodos no pueden unirse al clúster](troubleshooting.md#worker-node-fail) en la Guía de solución de problemas.
Para ver las opciones disponibles para los comandos `eksctl`, ingrese el siguiente comando.
```
eksctl command -help
```
Un ejemplo de salida sería el siguiente. Se generan varias líneas mientras se crean los nodos. Una de las últimas líneas de salida es la siguiente línea de ejemplo.
```
[✔] created 1 nodegroup(s) in cluster "my-cluster"
```
1. (Opcional) Implemente una [aplicación de muestra](sample-deployment.md) para probar el clúster y los nodos de Windows.
1. Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
## Consola de administración de AWS
**Requisitos previos**
+ Un clúster de Amazon EKS existente y un grupo de nodos de Linux. Si no tiene estos recursos, recomendamos que siga una de nuestras guías de para crearlos [Introducción a Amazon EKS](getting-started.md). En las guías se describe cómo crear un clúster de Amazon EKS con nodos de Linux.
+ Una VPC y un grupo de seguridad existentes que cumplen los requisitos para un clúster de Amazon EKS. Para obtener más información, consulte [Requisitos de red de Amazon EKS para VPC y subredes](network-reqs.md) y [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md). Las guías de [Introducción a Amazon EKS](getting-started.md) crean una VPC que cumple los requisitos. Si lo desea, también puede seguir [Creación de una Amazon VPC para su clúster de Amazon EKS](creating-a-vpc.md) para crear una manualmente.
+ Un clúster de Amazon EKS existente que utiliza una VPC y un grupo de seguridad que cumplen los requisitos de un clúster de Amazon EKS. Para obtener más información, consulte [Creación de un clúster de Amazon EKS](create-cluster.md). Si tiene subredes en la región de AWS, donde están habilitadas las subredes AWS Outposts, AWS Wavelength o zonas locales de AWS, estas no se deben haber pasado al crear el clúster.
**Paso 1: lanzar nodos de Windows autoadministrados mediante la Consola de administración de AWS **
1. Espere a que el estado del clúster sea `ACTIVE`. Si lanza los nodos antes de que el clúster esté activo, los nodos no pueden registrarse con el clúster y debe volver a lanzarlos.
1. Abra la [consola de AWS CloudFormation](https://console.aws.amazon.com/cloudformation/)
1. Elija **Crear pila**.
1. En **Especificar plantilla**, seleccione **URL de Amazon S3**.
1. Copie la siguiente URL y péguela en la **URL de Amazon S3**.
```
https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2023-02-09/amazon-eks-windows-nodegroup.yaml
```
1. Seleccione **Siguiente** dos veces.
1. En la página **Creación rápida de pila**, ingrese los siguientes parámetros según corresponda:
+ **Nombre de pila**: elija un nombre para su pila de AWS CloudFormation. Por ejemplo, puede llamarla `my-cluster-nodes`.
+ **ClusterName**: ingrese el nombre que usó al crear el clúster de Amazon EKS.
**importante**
El nombre debe coincidir exactamente con el nombre que utilizó en el [Paso 1: Creación del clúster de Amazon EKS](getting-started-console.md#eks-create-cluster). De lo contrario, los nodos no podrán unirse al clúster.
+ **ClusterControlPlaneSecurityGroup**: elija el grupo de seguridad de la salida de AWS CloudFormation que generó al crear la [VPC](creating-a-vpc.md). En los pasos siguientes se muestra un método para recuperar el grupo aplicable.
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el nombre del clúster.
1. Elija la pestaña **Redes**.
1. Use el valor de **Grupo de seguridad adicional** como referencia al realizar una selección en la lista desplegable **ClusterControlPlaneSecurityGroup**.
+ **NodeGroupName**: escriba un nombre para el grupo de nodos. Este nombre se puede utilizar más adelante para identificar el grupo de nodos de escalado automático que se crea para los nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales.
+ **NodeAutoScalingGroupMinSize**: ingrese el número mínimo de nodos al que se puede reducir horizontalmente el grupo de escalado automático de nodos.
+ **NodeAutoScalingGroupDesiredCapacity**: escriba el número deseado de nodos que desea escalar cuando se crea la pila.
+ **NodeAutoScalingGroupMaxSize**: ingrese el número máximo de nodos que pueda alcanzar el grupo de Auto Scaling de nodos.
+ **NodeInstanceType**: elija un tipo de instancia para los nodos. Para obtener más información, consulte [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md).
**nota**
Los tipos de instancias compatibles con la versión más reciente del [complemento CNI de Amazon VPC para Kubernetes](https://github.com/aws/amazon-vpc-cni-k8s) se muestran en [vpc\$1ip\$1resource\$1limit.go](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/pkg/vpc/vpc_ip_resource_limit.go) en GitHub. Es posible que tenga que actualizar la versión de CNI para utilizar los tipos de instancia admitidos más recientes. Para obtener más información, consulte [Asignación de direcciones IP a pods con CNI de Amazon VPC](managing-vpc-cni.md).
+ **NodeImageIdSSMParam**: contiene un valor especificado previamente, que es el parámetro de Amazon EC2 Systems Manager del ID de la AMI de Windows Core optimizada para Amazon EKS más reciente recomendada. Para utilizar la versión completa de Windows, sustituya *Core* por `Full`.
+ **NodeImageId**: (opcional) si utiliza una AMI personalizada propia (en lugar de una AMI optimizada para Amazon EKS), escriba un ID de AMI de nodo para la región de AWS. Si especifica un valor para este campo, anula cualquier valor del campo **NodeImageIdSSMParam**.
+ **NodeVolumeSize**: especifique un tamaño de volumen raíz para los nodos en GiB.
+ **KeyName**: ingrese el nombre de un par de claves SSH de Amazon EC2 que pueda utilizar para conectar mediante SSH con los nodos después de haberlos lanzado. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener más información, consulte [Pares de claves de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html) en la *Guía del usuario de Amazon EC2*.
**nota**
Si no proporciona un par de claves aquí, se produce un error al crear la pila de AWS CloudFormation.
+ **BootstrapArguments**: especifique los argumentos opcionales que se van a pasar al script de arranque del nodo, como los argumentos de `kubelet` adicionales mediante `-KubeletExtraArgs`.
+ **DisableIMDSv1**: cada nodo admite de forma predeterminada la versión 1 (IMDSv1) e IMDSv2 del servicio de metadatos de la instancia. Puede desactivar IMDSv1. Para evitar que los nodos y pods futuros del grupo de nodos utilicen MDSv1, defina **DisableIMDSv1** en **verdadero**. Para obtener más información, consulte [Configurar el servicio de metadatos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html).
+ **VpcId**: seleccione el ID de la [VPC](creating-a-vpc.md) que creó.
+ **NodeSecurityGroups**: seleccione el grupo de seguridad que se creó para su grupo de nodos de Linux cuando creó la [VPC](creating-a-vpc.md). Si sus nodos de Linux tienen más de un grupo de seguridad adjuntado a ellos, especifíquelos a todos aquí. Esto, por ejemplo, si el grupo de nodos Linux se creó con `eksctl`.
+ **Subredes**: elija las subredes que creó. Si creó la VPC siguiendo los pasos que se describen en [Creación de Amazon VPC para su clúster de Amazon EKS](creating-a-vpc.md), especifique solo las subredes privadas en la VPC en las que desea lanzar los nodos.
**importante**
Si alguna de las subredes es pública, debe tener habilitada la configuración de asignación automática de direcciones IP públicas. Si la configuración no está habilitada para la subred pública, los nodos que implemente en dicha subred pública no tendrán asignada una dirección IP pública y no podrán comunicarse con el clúster u otros servicios de AWS. Si la subred se implementó antes del 26 de marzo de 2020 mediante cualquiera de las [plantillas de VPC de AWS CloudFormation de Amazon EKS](creating-a-vpc.md) o mediante `eksctl`, la asignación automática de direcciones IP públicas se deshabilitará en las subredes públicas. Para obtener información acerca de cómo habilitar la asignación de direcciones IP públicas en una subred, consulte [Modificación del atributo de direcciones IPv4 públicas de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip). Si el nodo se implementa en una subred privada, podrá comunicarse con el clúster y otros servicios de AWS a través de una puerta de enlace NAT.
Si las subredes no tienen acceso a Internet, asegúrese de que conoce las consideraciones y los pasos adicionales en [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
Si selecciona las subredes de AWS Outposts, Wavelength o zonas locales, las subredes no se deben haber pasado cuando creó el clúster.
1. Confirme que la pila pueda crear recursos de IAM y, a continuación, seleccione **Crear pila**.
1. Una vez completada la creación de la pila, selecciónela en la consola y elija **Salidas**.
1. Anote el valor de **NodeInstanceRoles** correspondiente al grupo de nodos creado. Lo necesitará al configurar los nodos de Windows para Amazon EKS.
**Paso 2: habilitación para que los nodos se unan al clúster**
1. Verifique si ya tiene el `ConfigMap` de `aws-auth`.
```
kubectl describe configmap -n kube-system aws-auth
```
1. Si se le muestra un `ConfigMap` de `aws-auth`, actualícelo según sea necesario.
1. Abra el icono `ConfigMap` para editar.
```
kubectl edit -n kube-system configmap/aws-auth
```
1. Añada nuevas entradas de `mapRoles` según sea necesario. Establezca los valores de `rolearn` en los valores de **NodeInstanceRole** que registró en los procedimientos anteriores.
```
[...]
data:
mapRoles: |
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- eks:kube-proxy-windows
[...]
```
1. Guarde el archivo y salga del editor de texto.
1. Si recibe un error que indica “`Error from server (NotFound): configmaps "aws-auth" not found`, aplique el `ConfigMap` bursátil.
1. Descargue el mapa de configuración.
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm-windows.yaml
```
1. En el archivo `aws-auth-cm-windows.yaml`, establezca los valores de `rolearn` a los valores **NodeInstanceRole** que ha registrado en el procedimiento anterior. Puede hacerlo con un editor de texto o reemplazando los valores de ejemplo y ejecutando el siguiente comando:
```
sed -i.bak -e 's||my-node-linux-instance-role|' \
-e 's||my-node-windows-instance-role|' aws-auth-cm-windows.yaml
```
**importante**
No modifique ninguna otra línea de este archivo.
No utilice el mismo rol de IAM para los nodos de Windows y Linux.
1. Aplique la configuración. Este comando podría tardar varios minutos en finalizar.
```
kubectl apply -f aws-auth-cm-windows.yaml
```
1. Observe el estado de los nodos y espere a que aparezca el estado `Ready`.
```
kubectl get nodes --watch
```
Ingrese `Ctrl`\$1`C` para obtener un símbolo del intérprete de comandos.
**nota**
Si recibe cualquier error de tipo de recurso o autorización, consulte [Acceso denegado o no autorizado (`kubectl`)](troubleshooting.md#unauthorized) en el tema de solución de problemas.
Si los nodos no se unen al clúster, consulte [Los nodos no pueden unirse al clúster](troubleshooting.md#worker-node-fail) en el capítulo de solución de problemas.
**Paso 3: acciones adicionales**
1. (Opcional) Implemente una [aplicación de muestra](sample-deployment.md) para probar el clúster y los nodos de Windows.
1. (Opcional) Si la política de IAM administrada **AmazonEKS\$1CNI\$1Policy** (si tiene un clúster `IPv4`) o la política *AmazonEKS\$1CNI\$1IPv6\$1Policy* (que [haya creado](cni-iam-role.md#cni-iam-role-create-ipv6-policy) si tiene un clúster `IPv6`) están adjuntas a su [rol de IAM de nodos en Amazon EKS](create-node-role.md), le recomendamos asignarlas a un rol de IAM que asocie a la cuenta de servicio de `aws-node` de Kubernetes como alternativa. Para obtener más información, consulte [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).
1. Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
# Creación de nodos autoadministrados de Linux para Ubuntu
**nota**
Los grupos de nodos administrados podrían ofrecer algunas ventajas para su caso de uso. Para obtener más información, consulte [Simplificación del ciclo de vida de los nodos con grupos de nodos administrados](managed-node-groups.md).
En este tema, se describe cómo lanzar grupos de escalado automático de nodos de [Ubuntu en Amazon Elastic Kubernetes Service (EKS)](https://cloud-images.ubuntu.com/aws-eks/) o [Ubuntu Pro en Amazon Elastic Kubernetes Service (EKS)](https://ubuntu.com/blog/ubuntu-pro-for-eks-is-now-generally-available) que se registran con el clúster de Amazon EKS. Ubuntu y Ubuntu Pro para EKS se basan en Ubuntu Minimal LTS oficial, incluyen el kernel de AWS personalizado que se desarrolla junto con AWS y se han creado específicamente para EKS. Ubuntu Pro agrega una cobertura de seguridad adicional, ya que es compatible con los periodos de soporte ampliados de EKS, el parche activo del kernel, la compatibilidad con FIPS y la capacidad de ejecutar contenedores Pro ilimitados.
Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de contenedores en ellos. Para obtener más información, consulte la documentación sobre [Ubuntu en AWS](https://documentation.ubuntu.com/aws/en/latest/) y la [Compatibilidad con AMI personalizada](https://eksctl.io/usage/custom-ami-support/) en la documentación de `eksctl`.
**importante**
Los nodos de Amazon EKS son instancias estándar de Amazon EC2 y se les facturarán conforme a los precios ordinarios de las instancias de Amazon EC2. Para obtener más información, consulte [Precios de Amazon EC2](https://aws.amazon.com/ec2/pricing/).
Puede lanzar nodos de Ubuntu en clústeres extendidos de Amazon EKS en AWS Outposts, pero no puede lanzarlos en clústeres locales en AWS Outposts. Para obtener más información, consulte [Implementación de Amazon EKS en las instalaciones con AWS Outposts](eks-outposts.md).
Puede implementar en instancias de Amazon EC2 con procesadores `x86` o Arm. Sin embargo, es posible que las instancias que tienen chips de Inferentia deban instalar primero el [SDK de Neuron](https://awsdocs-neuron.readthedocs-hosted.com/en/latest/).
En este procedimiento, se requiere la versión `0.215.0` o posterior de `eksctl`. Puede verificar la versión con el siguiente comando:
```
eksctl version
```
Para obtener instrucciones acerca de cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`. NOTA: Este procedimiento solo funciona en los clústeres que se crearon con `eksctl`.
1. Copie los siguientes contenidos en su dispositivo. Reemplace `my-cluster` por el nombre del clúster. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfabético y no puede tener más de 100 caracteres. Reemplace `ng-ubuntu` por un nombre para su grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Para implementar en instancias Arm, reemplace `m5.large` por un tipo de instancia Arm. Sustituya `my-ec2-keypair-name` por el nombre de un par de claves SSH de Amazon EC2 que pueda utilizar para conectar mediante SSH con los nodos después de haberlos lanzado. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la Consola de administración de AWS. Para obtener más información, consulte [Pares de claves de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) en la Guía del usuario de Amazon EC2. Sustituya todos los valores de ejemplo restantes por sus propios valores. Una vez que haya llevado a cabo las sustituciones, ejecute el comando modificado para crear el archivo `ubuntu.yaml`.
**importante**
Para implementar un grupo de nodos en las subredes de AWS Outposts, AWS Wavelength o zonas locales de AWS, no pase las subredes de AWS Outposts, AWS Wavelength o Zonas locales de AWS al crear el clúster. Debe especificar las subredes en el siguiente ejemplo. Para obtener más información, consulte [Crear un grupo de nodos a partir de un archivo de Config](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file) y el [Esquema de archivo de configuración](https://eksctl.io/usage/schema/) en la documentación de `eksctl`. Reemplace *region-code* por la región de AWS en la que se encuentra el clúster.
```
cat >ubuntu.yaml <
Cuando se lanza una nueva AMI optimizada para Amazon EKS, considere la posibilidad de reemplazar los nodos del grupo de nodos autoadministrados con la nueva AMI. Asimismo, si ha actualizado la versión de Kubernetes del clúster de Amazon EKS, actualice los nodos para utilizarlos con la misma versión de Kubernetes.
**importante**
En este tema, se explican las actualizaciones de los nodos autoadministrados. Si utiliza [grupos de nodos administrados](managed-node-groups.md), consulte [Actualización de un grupo de nodos administrados para un clúster](update-managed-node-group.md).
Existen dos formas básicas de actualizar grupos de nodos autoadministrados en los clústeres para utilizar una nueva AMI:
** [Migre sus aplicaciones a un nuevo grupo de nodos](migrate-stack.md) **
Cree un nuevo grupo de nodos y migre los pods a ese grupo. La migración a un nuevo grupo de nodos es más sencilla que simplemente actualizar el ID de la AMI en una pila de AWS CloudFormation existente. Esto se debe a que el proceso de migración [marca](https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/) al antiguo grupo de nodos como `NoSchedule` y drena los nodos después de que una nueva pila esté lista para aceptar la carga de trabajo del pod existente.
** [Actualizar una pila de nodos de AWS CloudFormation](update-stack.md) **
Actualice la pila de AWS CloudFormation para que un grupo de nodos existente utilice la nueva AMI. Este método no es compatible con los grupos de nodos creados con `eksctl`.
# Migración de aplicaciones a un nuevo grupo de nodos
En este tema, se describe cómo crear un nuevo grupo de nodos, migrar de forma correcta las aplicaciones existentes al nuevo grupo y eliminar el antiguo grupo de nodos del clúster. Puede migrar a un nuevo grupo de nodos mediante `eksctl` o la Consola de administración de AWS.
+ [`eksctl`](#eksctl_migrate_apps)
+ [Consola de administración de AWS y AWS CLI](#console_migrate_apps)
## `eksctl`
**Migre sus aplicaciones a un nuevo grupo de nodos con `eksctl` **
Para obtener más información sobre el uso de eksctl para la migración, consulte [Nodos no administrados](https://eksctl.io/usage/nodegroup-unmanaged/) en la documentación de `eksctl`.
En este procedimiento, se requiere la versión `0.215.0` o posterior de `eksctl`. Puede verificar la versión con el siguiente comando:
```
eksctl version
```
Para obtener instrucciones sobre cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
**nota**
Este procedimiento solo funciona para los clústeres y grupos de nodos que se crearon con `eksctl`.
1. Recupere el nombre de los grupos de nodos existentes al sustituir *mi clúster* por el nombre del clúster.
```
eksctl get nodegroups --cluster=my-cluster
```
Un ejemplo de salida sería el siguiente.
```
CLUSTER NODEGROUP CREATED MIN SIZE MAX SIZE DESIRED CAPACITY INSTANCE TYPE IMAGE ID
default standard-nodes 2019-05-01T22:26:58Z 1 4 3 t3.medium ami-05a71d034119ffc12
```
1. Lance un nuevo grupo de nodos con `eksctl` mediante el siguiente comando. En el comando, sustituya cada *valor de ejemplo* por sus valores propios. El número de versión no puede ser posterior a la versión de Kubernetes del plano de control. Además, no puede ser más de dos versiones secundarias anteriores a la versión de Kubernetes para el plano de control. Recomendamos que utilice la misma versión que el plano de control.
Se recomienda bloquear el acceso al pod a IMDS si se cumplen las siguientes condiciones:
+ Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los pods solo tengan los permisos mínimos que necesitan.
+ Ninguno de los pods del clúster requiere acceso al servicio de metadatos de instancias (IMDS) de Amazon EC2 por otros motivos, como la recuperación de la región de AWS actual.
Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
Si desea bloquear el acceso del pod a IMDS, agregue la opción `--disable-pod-imds` al siguiente comando.
**nota**
Para obtener más marcadores disponibles y sus descripciones, consulte https://eksctl.io/.
```
eksctl create nodegroup \
--cluster my-cluster \
--version 1.35 \
--name standard-nodes-new \
--node-type t3.medium \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--managed=false
```
1. Cuando se complete el comando anterior, verifique con el siguiente comando que todos los nodos tengan el estado `Ready` (Listo):
```
kubectl get nodes
```
1. Elimine el grupo de nodos original con el siguiente comando. En el comando, sustituya cada *valor de ejemplo* con los nombres del clúster y el grupo de nodos:
```
eksctl delete nodegroup --cluster my-cluster --name standard-nodes-old
```
## Consola de administración de AWS y AWS CLI
**Migre sus aplicaciones a un nuevo grupo de nodos con la Consola de administración de AWS y la AWS CLI**
1. Lance un nuevo grupo de nodos mediante los pasos que se indican en [Creación de nodos autoadministrados de Amazon Linux](launch-workers.md).
1. Una vez completada la creación de la pila, selecciónela en la consola y elija **Salidas**.
1. Anote el valor de **NodeInstanceRoles** correspondiente al grupo de nodos creado. Lo necesita para agregar los nuevos nodos de Amazon EKS al clúster.
**nota**
Si ha adjuntado políticas de IAM adicionales al rol de IAM del grupo de nodos anterior, debe adjuntar esas mismas políticas al rol de IAM del nuevo grupo de nodos para mantener esa funcionalidad en el nuevo grupo. Esto se aplica si ha agregado permisos para el [escalador automático del clúster](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler) de Kubernetes, por ejemplo.
1. Actualice los grupos de seguridad de ambos grupos de nodos para que puedan comunicarse entre sí. Para obtener más información, consulte [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md).
1. Anote los ID de grupo de seguridad de ambos grupos de nodos. Esto se muestra como el valor **NodeSecurityGroup** en los resultados de la pila de AWS CloudFormation.
Puede utilizar los siguientes comandos de la AWS CLI para obtener los ID de grupo de seguridad de los nombres de pilas. En estos comandos, `oldNodes` es el nombre de pila de AWS CloudFormation de la pila de nodos antigua y `newNodes` es el nombre de la pila a la que migrará. Reemplace todos los *valores de ejemplo* por sus propios valores.
```
oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"
oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
```
1. Agregue reglas de entrada a cada grupo de seguridad de nodos para que acepten tráfico de los otros grupos.
Los siguientes comandos de la AWS CLI agregan reglas de entrada a cada grupo de seguridad que permiten todo el tráfico en todos los protocolos del otro grupo de seguridad. Esta configuración permite que los pods de cada grupo de nodos se comuniquen entre ellos mientras migra la carga de trabajo al nuevo grupo.
```
aws ec2 authorize-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 authorize-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1
```
1. Edite el mapa de configuración de `aws-auth` para asignar el rol de la instancia del nuevo nodo en RBAC.
```
kubectl edit configmap -n kube-system aws-auth
```
Agregue una nueva entrada `mapRoles` para el nuevo grupo de nodos.
```
apiVersion: v1
data:
mapRoles: |
- rolearn: ARN of instance role (not instance profile)
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes>
- rolearn: arn:aws:iam::111122223333:role/nodes-1-16-NodeInstanceRole-U11V27W93CX5
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
```
Sustituya el fragmento *ARN of instance role (not instance profile)* por el valor de **NodeInstanceRole** anotado en el [procedimiento anterior](#node-instance-role-step). A continuación, guarde y cierre el archivo para aplicar el configmap actualizado.
1. Examine el estado de los nodos y espere a que los nuevos nodos se unan al clúster y tengan el estado `Ready` (Listo).
```
kubectl get nodes --watch
```
1. (Opcional) Si utiliza el [escalador automático del clúster de Kubernetes](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler), escale la implementación a cero (0) réplicas para evitar acciones de escalado en conflicto.
```
kubectl scale deployments/cluster-autoscaler --replicas=0 -n kube-system
```
1. Utilice el siguiente comando para agregar taints en cada uno de los nodos que desee eliminar con `NoSchedule`. Esto es para que los nuevos pods no se programen ni se vuelvan a programar en los nodos que va a reemplazar. Para obtener más información, consulte [Taints y toleraciones](https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/) en la documentación de Kubernetes.
```
kubectl taint nodes node_name key=value:NoSchedule
```
Si va a actualizar los nodos a una nueva versión de Kubernetes, puede identificar todos los nodos de una determinada versión de Kubernetes (en este caso, `1.33`) y aplicarles una taint con el siguiente fragmento de código. El número de versión no puede ser posterior a la versión de Kubernetes del plano de control. Además, no puede ser más de dos versiones secundarias anteriores a la versión de Kubernetes del plano de control. Recomendamos que utilice la misma versión que el plano de control.
```
K8S_VERSION=1.33
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
echo "Tainting $node"
kubectl taint nodes $node key=value:NoSchedule
done
```
1. Identifique el proveedor de DNS del clúster.
```
kubectl get deployments -l k8s-app=kube-dns -n kube-system
```
Un ejemplo de salida sería el siguiente. Este clúster utiliza CoreDNS para la resolución de DNS, pero el clúster puede devolver `kube-dns` en su lugar:
```
NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE
coredns 1 1 1 1 31m
```
1. Si su implementación actual está ejecutando menos de dos réplicas, escale la implementación a dos réplicas. Cambie *coredns* por `kubedns` si el resultado del comando anterior ha devuelto ese valor.
```
kubectl scale deployments/coredns --replicas=2 -n kube-system
```
1. Vacíe cada uno de los nodos que desea eliminar de su clúster con el siguiente comando:
```
kubectl drain node_name --ignore-daemonsets --delete-local-data
```
Si va a actualizar los nodos a una nueva versión de Kubernetes, identifique y drene todos los nodos de una determinada versión de Kubernetes (en este caso *1.33*) con el siguiente fragmento de código.
```
K8S_VERSION=1.33
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
echo "Draining $node"
kubectl drain $node --ignore-daemonsets --delete-local-data
done
```
1. Una vez que haya terminado de vaciar los nodos antiguos, revoque las reglas de entrada del grupo de seguridad que autorizó anteriormente. A continuación, elimine la pila de AWS CloudFormation para terminar las instancias.
**nota**
Si ha adjuntado políticas de IAM adicionales al rol de IAM del grupo de nodos anterior, como agregar permisos para el [escalador automático del clúster de Kubernetes](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler), desconecte esas políticas adicionales del rol antes de eliminar la pila de AWS CloudFormation.
1. Revoque las reglas de entrada que creó anteriormente para los grupos de seguridad de nodos. En estos comandos, `oldNodes` es el nombre de pila de AWS CloudFormation de la pila de nodos antigua y `newNodes` es el nombre de la pila a la que migrará.
```
oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"
oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
aws ec2 revoke-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 revoke-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1
```
1. Abra la [AWS consola de CloudFormation](https://console.aws.amazon.com/cloudformation/).
1. Seleccione la pila de nodos antigua.
1. Elija **Eliminar**.
1. En el cuadro de diálogo de confirmación **Eliminar pila**, elija **Eliminar pila**.
1. Edite el mapa de configuración de `aws-auth` para eliminar el rol de la instancia del nodo anterior de RBAC.
```
kubectl edit configmap -n kube-system aws-auth
```
Elimine la entrada `mapRoles` del grupo de nodos antiguo.
```
apiVersion: v1
data:
mapRoles: |
- rolearn: arn:aws:iam::111122223333:role/nodes-1-16-NodeInstanceRole-W70725MZQFF8
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn: arn:aws:iam::111122223333:role/nodes-1-15-NodeInstanceRole-U11V27W93CX5
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes>
```
Guarde y cierre el archivo para aplicar el mapa de configuración actualizado.
1. (Opcional) Si utiliza el [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler) de Kubernetes, vuelva a escalar la implementación a una réplica.
**nota**
También debe etiquetar el nuevo grupo de Auto Scaling de forma correcta (por ejemplo, `k8s.io/cluster-autoscaler/enabled,k8s.io/cluster-autoscaler/my-cluster`) y actualizar el comando de implementación del escalador automático del clúster para que señale el grupo de Auto Scaling recién etiquetado. Para obtener más información, consulte [Escalador automático de clústeres en AWS](https://github.com/kubernetes/autoscaler/tree/cluster-autoscaler-release-1.3/cluster-autoscaler/cloudprovider/aws).
```
kubectl scale deployments/cluster-autoscaler --replicas=1 -n kube-system
```
1. (Opcional) Verifique que utiliza la última versión del [complemento CNI de Amazon VPC para Kubernetes](https://github.com/aws/amazon-vpc-cni-k8s). Es posible que tenga que actualizar la versión de CNI para utilizar los tipos de instancia admitidos más recientes. Para obtener más información, consulte [Asignación de direcciones IP a pods con CNI de Amazon VPC](managing-vpc-cni.md).
1. Si el clúster utiliza `kube-dns` para la resolución DNS (consulte [[migrate-determine-dns-step]](#migrate-determine-dns-step)), reduzca horizontalmente la implementación de `kube-dns` a una réplica.
```
kubectl scale deployments/kube-dns --replicas=1 -n kube-system
```
# Actualización de una pila de nodos de AWS CloudFormation
En este tema, se describe cómo puede actualizar una pila existente de nodos autoadministrados de AWS CloudFormation con una nueva AMI. Puede utilizar este procedimiento para actualizar los nodos a una nueva versión de Kubernetes después de la actualización de un clúster. De lo contrario, puede actualizar a la última AMI optimizada de Amazon EKS para una versión existente de Kubernetes.
**importante**
En este tema, se explican las actualizaciones de los nodos autoadministrados. Para obtener información sobre el uso de la [Simplificación del ciclo de vida de los nodos con grupos de nodos administrados](managed-node-groups.md), consulte [Actualización de un grupo de nodos administrados para un clúster](update-managed-node-group.md).
La última plantilla de AWS CloudFormation de nodos de Amazon EKS predeterminada está configurada para lanzar una instancia con la nueva AMI en el clúster antes de eliminar una antigua, una por vez. Esta configuración garantiza que siempre tenga el número deseado de instancias activas del grupo de Auto Scaling en el clúster durante la actualización progresiva.
**nota**
Este método no es compatible con los grupos de nodos creados con `eksctl`. Si ha creado su clúster o un grupo de nodos con `eksctl`, consulte [Migración de aplicaciones a un nuevo grupo de nodos](migrate-stack.md).
1. Determine el proveedor de DNS para el clúster.
```
kubectl get deployments -l k8s-app=kube-dns -n kube-system
```
Un ejemplo de salida sería el siguiente. Este clúster utiliza CoreDNS para la resolución de DNS, pero el clúster puede devolver `kube-dns` en su lugar. El resultado puede tener un aspecto diferente según la versión de `kubectl` que utilice.
```
NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE
coredns 1 1 1 1 31m
```
1. Si su implementación actual está ejecutando menos de dos réplicas, escale la implementación a dos réplicas. Cambie *coredns* por `kube-dns` si el resultado del comando anterior ha devuelto ese valor.
```
kubectl scale deployments/coredns --replicas=2 -n kube-system
```
1. (Opcional) Si utiliza el [escalador automático del clúster de Kubernetes](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md), escale la implementación a cero (0) réplicas para evitar acciones de escalado en conflicto.
```
kubectl scale deployments/cluster-autoscaler --replicas=0 -n kube-system
```
1. Determine el tipo de instancia y el número de instancias deseado del grupo de nodos actual. Ingrese estos valores más tarde cuando actualice la plantilla de AWS CloudFormation del grupo.
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
1. En el panel de navegación izquierdo, elija **Configuraciones de lanzamiento** (Configuraciones de lanzamiento) y anote el tipo de instancia de la configuración de lanzamiento de nodos existente.
1. En el panel de navegación izquierdo, elija **Auto Scaling Groups** (Grupos de Auto Scaling) y anote el recuento de instancias **deseado** para el grupo de Auto Scaling de nodos existente.
1. Abra la [AWS consola de CloudFormation](https://console.aws.amazon.com/cloudformation/).
1. Seleccione la pila del grupo de nodos y, a continuación, seleccione **Update (Actualizar)**.
1. Seleccione **Replace current template (Reemplazar plantilla actual)** y seleccione **Amazon S3 URL**.
1. Para **URL de Amazon S3**, pegue la siguiente URL en el área de texto a fin de asegurarse de que utiliza la versión más reciente de la plantilla de AWS Cloud Formation de nodos. A continuación, elija **Siguiente**:
```
https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml
```
1. En la página **Especificar detalles**, rellene los parámetros siguientes y seleccione **Siguiente**:
+ **NodeAutoScalingGroupDesiredCapacity**: ingrese el recuento de instancias deseado que registró en un [paso anterior](#existing-worker-settings-step). O bien, ingrese el nuevo número deseado de nodos para escalar cuando se actualice la pila.
+ **NodeAutoScalingGroupMaxSize**: ingrese el número máximo de nodos al que pueda llegar el grupo de Auto Scaling de nodos. Este valor debe ser al menos un nodo más que la capacidad deseada. Es para que pueda realizar una actualización continua de los nodos sin que se reduzca el número durante la actualización.
+ **NodeInstanceType**: elija el tipo de instancia que registró en un [paso anterior](#existing-worker-settings-step). Por otra parte, puede elegir un tipo de instancia diferente para los nodos. Antes de elegir un tipo de instancia diferente, vea [Elección de un tipo de instancia de nodo de Amazon EC2 óptimo](choosing-instance-type.md). Cada tipo de instancia de Amazon EC2 admite un número máximo de interfaces de redes elásticas (interfaz de red) y cada interfaz de red admite un número máximo de direcciones IP. Dado que a cada nodo de trabajo y pod se les asigna su propia dirección IP, es importante elegir un tipo de instancia que admita el número máximo de pods que desea ejecutar en cada nodo de Amazon EC2. Para obtener una lista del número de interfaces de red y direcciones IP admitidas por los tipos de instancias, consulte [Direcciones IP por interfaz de red por tipo de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI). Por ejemplo, el tipo de instancia `m5.large` admite un máximo de 30 direcciones IP para el nodo de trabajo y los pods.
**nota**
Los tipos de instancias compatibles con la versión más reciente del [complemento CNI de Amazon VPC para Kubernetes](https://github.com/aws/amazon-vpc-cni-k8s) se muestran en [vpc\$1ip\$1resource\$1limit.go](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/pkg/vpc/vpc_ip_resource_limit.go) en GitHub. Es posible que tenga que actualizar la versión del complemento CNI de Amazon VPC para Kubernetes a fin de utilizar los tipos de instancia admitidos más recientes. Para obtener más información, consulte [Asignación de direcciones IP a pods con CNI de Amazon VPC](managing-vpc-cni.md).
**importante**
Algunos tipos de instancias podrían no estar disponibles en todas las regiones de AWS.
+ **NodeImageIdSSMParam**: el parámetro de Amazon EC2 Systems Manager del ID de AMI al que desee actualizar. El siguiente valor utiliza la última AMI optimizada para Amazon EKS para la versión de Kubernetes `1.35`.
```
/aws/service/eks/optimized-ami/1.35/amazon-linux-2/recommended/image_id
```
Puede reemplazar *1.35* por una [versión de la plataforma](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html) que sea igual. O bien, debería ser hasta una versión anterior a la versión de Kubernetes que se ejecuta en el plano de control. Le recomendamos que los nodos tengan la misma versión que el plano de control. También puede sustituir *amazon-linux-2* por un tipo de AMI diferente. Para obtener más información, consulte [Obtención de los ID de AMI de Amazon Linux recomendados](retrieve-ami-id.md).
**nota**
El uso del parámetro de Amazon EC2 Systems Manager lo habilita a actualizar los nodos en el futuro sin tener que buscar y especificar un ID de AMI. Si la pila de AWS CloudFormation utiliza este valor, cualquier actualización de la pila lanzará siempre la última AMI optimizada para Amazon EKS recomendada en función de la versión de Kubernetes especificada. Este es el caso incluso si no cambia ningún valor en la plantilla.
+ **NodeImageId**: para utilizar su propia AMI personalizada, introduzca el ID de la AMI que va a utilizar.
**importante**
Este valor anula cualquier valor especificado para **NodeImageIdSSMParam**. Si desea utilizar el valor **NodeImageIdSSMParam** asegúrese de que el valor de **NodeImageId** esté vacío.
+ **DisableIMDSv1**: cada nodo admite de forma predeterminada la versión 1 (IMDSv1) e IMDSv2 del servicio de metadatos de la instancia. Sin embargo, puede desactivar IMDSv1. Seleccione **verdadero** si no desea que ningún nodo o ningún pod programado en el grupo de nodos utilice IMDSv1. Para obtener más información, consulte [Configuración del servicio de metadatos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html). Si ha implementado roles de IAM para cuentas de servicio, asigne los permisos necesarios de forma directa a todos los pods que requieren acceso a servicios de AWS. De esta manera, ningún pod del clúster requiere el acceso a IMDS por otros motivos, como la recuperación de la región de AWS actual. A continuación, también puede deshabilitar el acceso a IMDSv2 para los pods que no utilizan redes de host. Para obtener más información, consulte [Restringir el acceso al perfil de instancias asignado al nodo de trabajo](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node).
1. (Opcional) En la página **Options (Opciones)**, marque los recursos de la pila. Elija **Siguiente**.
1. En la página **Review** (Revisar), revise la información, confirme la advertencia de que la pila puede crear recursos de IAM y elija **Update stack** (Actualizar pila).
**nota**
La actualización de cada nodo del clúster tarda varios minutos. Espere a que se complete la actualización de todos los nodos antes de realizar los siguientes pasos.
1. Si su proveedor DNS del clúster es `kube-dns`, reduzca horizontalmente la implementación de `kube-dns` a una réplica.
```
kubectl scale deployments/kube-dns --replicas=1 -n kube-system
```
1. (Opcional) Si utiliza el [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md) de Kubernetes, vuelva a escalar la implementación a la cantidad de réplicas deseada.
```
kubectl scale deployments/cluster-autoscaler --replicas=1 -n kube-system
```
1. (Opcional) Verifique que utiliza la última versión del [complemento CNI de Amazon VPC para Kubernetes](https://github.com/aws/amazon-vpc-cni-k8s). Es posible que tenga que actualizar la versión del complemento CNI de Amazon VPC para Kubernetes a fin de utilizar los tipos de instancia admitidos más recientes. Para obtener más información, consulte [Asignación de direcciones IP a pods con CNI de Amazon VPC](managing-vpc-cni.md).
# Simplificación de la administración de computación con AWS Fargate
En este tema se explica cómo utilizar Amazon EKS para ejecutar pods de Kubernetes en AWS Fargate. Fargate es una tecnología que proporciona capacidad informática bajo demanda correctamente dimensionada para [contenedores](https://aws.amazon.com/what-are-containers). Con Fargate ya no tendrá que aprovisionar, configurar ni escalar grupos de máquinas virtuales por su cuenta para ejecutar los contenedores. Tampoco tendrá que elegir tipos de servidores, decidir cuándo escalar los grupos de nodos u optimizar el empaquetado de clústeres.
Puede controlar qué pods se comienzan en Fargate y cómo se ejecutan con [perfiles de Fargate](fargate-profile.md). Los perfiles de Fargate se definen como parte de su clúster de Amazon EKS. Amazon EKS integra Kubernetes con Fargate mediante controladores creados por AWS con el modelo ascendente y extensible proporcionado por Kubernetes. Estos controladores funcionan como parte del plano de control de Kubernetes administrado por Amazon EKS y son responsables de programar los pods de Kubernetes nativos en Fargate. Los controladores de Fargate incluyen un nuevo programador que se ejecuta junto con el programador predeterminado de Kubernetes, además de varios controladores de admisión de mutación y validación. Cuando comienza un pod que cumple los criterios para ejecutarse en Fargate, los controladores de Fargate que se ejecutan en el clúster reconocen, actualizan y programan el pod en Fargate.
En este tema se describen los diferentes componentes de los pods que se ejecutan en Fargate y se ofrecen consideraciones especiales sobre cómo utilizar Fargate con Amazon EKS.
## Consideraciones sobre Fargate de AWS
Aquí se incluyen algunos aspectos que debe tener en cuenta sobre la utilización de Fargate en Amazon EKS.
+ Cada pod que se ejecuta en Fargate tiene su propio límite de computación. No comparten el kernel subyacente, los recursos de CPU, los recursos de memoria o la interfaz de red elástica con otro pod.
+ Los Network Load Balancers y los Application Load Balancers (ALB) solo se pueden utilizar con Fargate con destinos IP. Para obtener más información, consulte [Crear un equilibrador de carga de red](network-load-balancing.md#network-load-balancer) y [Redirección de tráfico de aplicaciones y HTTP con los equilibradores de carga de aplicaciones](alb-ingress.md).
+ Los servicios expuestos de Fargate solo se ejecutan en modo IP de tipo de destino y no en modo IP de nodo. La forma recomendada de verificar la conectividad de un servicio que se ejecuta en un nodo administrado y un servicio que se ejecuta en Fargate es conectarse a través del nombre del servicio.
+ Los pods deben coincidir con un perfil de Fargate en el momento de su programación para ejecutarse en Fargate. Los pods que no coinciden con un perfil de Fargate podrían quedarse atascados como `Pending`. Si existe un perfil de Fargate coincidente, puede eliminar los pods pendientes que haya creado para reprogramarlos en Fargate.
+ No se admiten DaemonSets en Fargate. Si su aplicación requiere un daemon, reconfigure ese daemon para que se ejecute como un contenedor asociado en sus pods.
+ No se admiten contenedores con privilegios en Fargate.
+ Los pods que se ejecutan en Fargate no pueden especificar `HostPort` ni `HostNetwork` en el manifiesto del pod.
+ El límite flexible predeterminado de `nofile` y `nproc` es 1024 y el límite invariable es 65 535 para los pods de Fargate.
+ Las GPU no están disponibles actualmente en Fargate.
+ Los pods que se ejecutan en Fargate solo se admiten en subredes privadas (con acceso de una puerta de enlace NAT a servicios de AWS, pero sin una ruta directa a una puerta de enlace de Internet), por lo que la VPC del clúster debe tener subredes privadas disponibles. Para los clústeres sin acceso a Internet saliente, consulte [Implementación de clústeres privados con acceso limitado a Internet](private-clusters.md).
+ Puede utilizar el [Ajuste de los recursos de pods con el Escalador automático vertical de pods](vertical-pod-autoscaler.md) para establecer el tamaño correcto inicial de la CPU y la memoria de sus pods de Fargate y, a continuación, utilizar el [Escalado de las implementaciones de pods con el Escalador automático horizontal de pods](horizontal-pod-autoscaler.md) para ajustar la escala de esos pods. Si desea que el Escalador automático vertical de pods vuelva a implementar automáticamente los pods en Fargate con combinaciones de CPU y memoria más grandes, configure el modo del Escalador automático vertical de pods en `Auto` o `Recreate` para garantizar la funcionalidad correcta. Para obtener más información, consulte el documento [Escalador automático vertical de pods](https://github.com/kubernetes/autoscaler/tree/master/vertical-pod-autoscaler#quick-start) en GitHub.
+ La resolución de DNS y los nombres de host DNS deben estar habilitados en la VPC. Para obtener más información, consulte [Ver y actualizar el soporte de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating).
+ Fargate de Amazon EKS agrega defensa en profundidad para las aplicaciones de Kubernetes aislando cada pod dentro de una máquina virtual (VM). Este límite de VM impide el acceso a los recursos basados en host utilizados por otros pods en caso de escape de contenedor, que es un método común para atacar aplicaciones en contenedores y obtener acceso a recursos fuera del contenedor.
El uso de Amazon EKS no modifica sus responsabilidades en virtud del [modelo de responsabilidad compartida](security.md). Debe evaluar detenidamente la configuración de los controles de seguridad y gobernanza del clúster. La forma más segura de aislar una aplicación es ejecutarla siempre en un clúster independiente.
+ Los perfiles de Fargate admiten la especificación de subredes de bloques de CIDR secundarios de VPC. Puede que desee especificar un bloque de CIDR secundario. Esto es debido a que hay un número limitado de direcciones IP disponibles en una subred. Como resultado, hay también un número limitado de pods que se pueden crear en el clúster. Si usa subredes diferentes para los pods, puede aumentar el número de direcciones IP disponibles. Para obtener más información, consulte [Adición de bloques de CIDR IPv4 a una VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize)
+ El servicio de metadatos de instancias (IMDS) de Amazon EC2 no está disponible para pods implementados en nodos de Fargate. Si tiene pods implementados en Fargate que necesitan credenciales de IAM, asígnelos a sus pods mediante [roles de IAM para cuentas de servicio](iam-roles-for-service-accounts.md). Si los pods necesitan acceso a otra información disponible a través de IMDS, debe llevar a cabo una codificación rígida de esta información en la especificación del pod. Esto incluye la región de AWS o zona de disponibilidad en la que se implementa un pod.
+ No se pueden implementar pods de Fargate en AWS Outposts, AWS Wavelength o Zonas locales de AWS.
+ Amazon EKS debe aplicar parches periódicamente de pods de Fargate para mantenerlos seguros. Intentamos las actualizaciones de forma que disminuya el impacto, pero hay ocasiones en que los pods deben eliminarse si no se expulsan correctamente. Hay algunas acciones que puede emprender para minimizar las interrupciones. Para obtener más información, consulte [Definición de acciones para los eventos de aplicación de revisiones del sistema operativo de AWS Fargate](fargate-pod-patching.md).
+ El [complemento CNI de Amazon VPC para Amazon EKS](https://github.com/aws/amazon-vpc-cni-plugins) se encuentra instalado en los nodos de Fargate. No puede utilizar [complementos CNI alternativos para clústeres de Amazon EKS](alternate-cni-plugins.md) con nodos de Fargate.
+ Un pod que se ejecuta en Fargate monta automáticamente un sistema de archivos de Amazon EFS, sin necesidad de seguir pasos manuales para la instalación de controladores. No se puede utilizar el aprovisionamiento dinámico de volúmenes persistentes con nodos de Fargate, pero se puede utilizar el aprovisionamiento estático.
+ Amazon EKS no es compatible con Fargate Spot.
+ No puede montar volúmenes de Amazon EBS en los pods de Fargate.
+ Puede ejecutar el controlador CSI de Amazon EBS en nodos de Fargate, pero el DaemonSet del nodo CSI de Amazon EBS solo se puede ejecutar en instancias de Amazon EC2.
+ Después de marcar un [trabajo de Kubernetes](https://kubernetes.io/docs/concepts/workloads/controllers/job/) como `Completed` o `Failed`, los pods que el trabajo crea normalmente siguen existiendo. Este comportamiento le permite ver sus registros y resultados, pero se pueden generar costos adicionales con Fargate si después no limpia el trabajo.
Para eliminar automáticamente los pods relacionados después de que se complete o falle un trabajo, puede especificar un periodo de tiempo mediante el controlador de tiempo de vida (TTL). En el siguiente ejemplo, se muestra la especificación `.spec.ttlSecondsAfterFinished` en el manifiesto del trabajo.
```
apiVersion: batch/v1
kind: Job
metadata:
name: busybox
spec:
template:
spec:
containers:
- name: busybox
image: busybox
command: ["/bin/sh", "-c", "sleep 10"]
restartPolicy: Never
ttlSecondsAfterFinished: 60 # <-- TTL controller
```
## Tabla de comparación de Fargate
| Criterios | AWS Fargate |
| --- | --- |
| Se puede implementar en [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) | No |
| Se puede implementar en [AWS Local Zones](local-zones.md). | No |
| Puede ejecutar contenedores que requieren Windows | No |
| Puede ejecutar contenedores que requieran Linux. | Sí |
| Puede ejecutar cargas de trabajo que requieren el chip de inferencias. | No |
| Puede ejecutar cargas de trabajo que requieren una GPU. | No |
| Puede ejecutar cargas de trabajo que requieren procesadores Arm. | No |
| Puede ejecutar AWS [Bottlerocket](https://aws.amazon.com/bottlerocket/). | No |
| Los pods comparten un entorno en tiempo de ejecución del kernel con otros pods. | No. Cada pod tiene un kernel dedicado. |
| Los pods comparten CPU, memoria, almacenamiento y recursos de red con otros pods. | No. Cada pod tiene recursos dedicados y su tamaño se puede adaptar de forma independiente para maximizar la utilización de los recursos. |
| Los pods pueden utilizar más hardware y memoria que lo que se indica en las especificaciones del pod. | No. El pod se puede volver a implementar mediante una vCPU y una configuración de memoria más grandes. |
| Debe implementar y administrar instancias de Amazon EC2. | No |
| Debe proteger, mantener y aplicar parches al sistema operativo de las instancias de Amazon EC2. | No |
| Puede proporcionar argumentos de arranque en la implementación de un nodo, como argumentos [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/) adicionales. | No |
| Puede asignar direcciones IP a pods desde un bloque de CIDR diferente de la dirección IP asignada al nodo. | No |
| Se puede utilizar SSH en el nodo. | No: no hay ningún sistema operativo host de nodos para utilizar SSH. |
| Puede implementar su propia AMI personalizada en los nodos. | No |
| Puede implementar su propia CNI personalizada en los nodos. | No |
| Debe actualizar la AMI de nodos por su cuenta | No |
| Debe actualizar la versión de Kubernetes de los nodos por su cuenta. | No: no administra nodos. |
| Puede utilizar el almacenamiento de Amazon EBS con pods. | No |
| Puede utilizar el almacenamiento de Amazon EFS con pods. | [Sí](efs-csi.md) |
| Puede utilizar el almacenamiento de Amazon FSx para Lustre con pods. | No |
| Puede utilizar el Network Load Balancer para servicios. | Sí, cuando se utiliza la [Creación de un equilibrador de carga de red](network-load-balancing.md#network-load-balancer) |
| Los pods pueden ejecutarse en una subred pública. | No |
| Puede asignar diferentes grupos de seguridad de VPC a pods individuales. | Sí |
| Puede ejecutar DaemonSets de Kubernetes. | No |
| Soporte de `HostPort` y `HostNetwork` en el manifiesto del pod. | No |
| Disponibilidad regional de AWS | [Algunas regiones admitidas por Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) |
| Puede ejecutar contenedores en hosts dedicados de Amazon EC2 | No |
| Precios | Costo de una memoria de Fargate individual y configuración de CPU. Cada pod tiene su propio costo. Para obtener más información, consulte [AWS Precios de Fargate](https://aws.amazon.com/fargate/pricing/). |
# Introducción a AWS Fargate para un clúster
En este tema, se explica cómo comenzar a ejecutar pods en AWS Fargate con su clúster de Amazon EKS.
Si restringe el acceso al punto de conexión público del clúster mediante bloques de CIDR, recomendamos habilitar también el acceso al punto de conexión privado. De este modo, los pods de Fargate pueden comunicarse con el clúster. Si el punto de conexión privado no está habilitado, los bloques de CIDR que especifique para el acceso público deben incluir los orígenes de salida de su VPC. Para obtener más información, consulte [Punto de conexión del servidor de API del clúster](cluster-endpoint.md).
**Requisito previo**
Un clúster existente. Si no dispone de un clúster de Amazon EKS, consulte [Introducción a Amazon EKS](getting-started.md).
## Paso 1: garantía de que los nodos existentes se puedan comunicar con los pods de Fargate
Si está trabajando con un nuevo clúster sin nodos o con un clúster solo con grupos de nodos administrados (consulte [Simplificación del ciclo de vida de los nodos con grupos de nodos administrados](managed-node-groups.md)), puede ir directamente a [Paso 2: creación de un rol de ejecución de pods de Fargate](#fargate-sg-pod-execution-role).
Supongamos que está trabajando con un clúster existente que ya tiene nodos asociados. Asegúrese de que los pods de estos nodos puedan comunicarse libremente con los pods que se ejecutan en Fargate. Los pods que se ejecutan en Fargate se configuran automáticamente para utilizar el grupo de seguridad del clúster al que están asociados. Asegúrese de que los nodos existentes en su clúster puedan enviar y recibir tráfico hacia el grupo de seguridad del clúster y recibirlo desde este. Los grupos de nodos administrados se configuran de manera automática para utilizar también el grupo de seguridad del clúster, por lo que no es necesario modificarlos ni verificar si admiten esta función (consulte [Simplificación del ciclo de vida de los nodos con grupos de nodos administrados](managed-node-groups.md)).
Para los grupos de nodos existentes que se crearon con `eksctl` o con las plantillas de AWS CloudFormation administradas de Amazon EKS, puede agregar manualmente el grupo de seguridad del clúster a los nodos. O bien, puede modificar la plantilla de lanzamiento del grupo de Auto Scaling para el grupo de nodos a fin de adjuntar el grupo de seguridad del clúster a las instancias. Para obtener más información, consulte [Cambio de los grupos de seguridad de una instancia](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SG_Changing_Group_Membership) en la *Guía del usuario de Amazon VPC*.
Puede buscar un grupo de seguridad para su clúster en la Consola de administración de AWS, en la sección **Networking** (Redes) del clúster. O puede hacerlo con el siguiente comando de AWS CLI. Cuando utilice este comando, sustituya `` por el nombre del clúster.
```
aws eks describe-cluster --name --query cluster.resourcesVpcConfig.clusterSecurityGroupId
```
## Paso 2: creación de un rol de ejecución de pods de Fargate
Cuando su clúster crea pods en AWS Fargate, los componentes que se ejecutan en la infraestructura de Fargate deben hacer llamadas a las API de AWS en su nombre. El rol de ejecución de pods de Amazon EKS proporciona los permisos de IAM para esta tarea. Para crear un rol de ejecución de pods de AWS Fargate, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md).
**nota**
Si creó el clúster con `eksctl` a través de la opción `--fargate`, el clúster ya tiene un rol de ejecución de pods que puede encontrar en la consola de IAM con el patrón `eksctl-my-cluster-FargatePodExecutionRole-ABCDEFGHIJKL`. Del mismo modo, si utiliza `eksctl` para crear sus perfiles de Fargate, `eksctl` crea su rol de ejecución de pods si aún no se ha creado uno.
## Paso 3: creación de un perfil de Fargate para el clúster
Para poder programar los pods que se ejecuten en Fargate en su clúster, debe definir un perfil de Fargate que especifique qué pods deben utilizar Fargate cuando se lancen. Para obtener más información, consulte [Cómo definir los pods que deben lanzarse en AWS Fargate](fargate-profile.md).
**nota**
Si creó el clúster con `eksctl` mediante la opción `--fargate`, ya se habrá creado un perfil de Fargate para el clúster con selectores para todos los pods de los espacios de nombres `kube-system` y `default`. Utilice el siguiente procedimiento para crear perfiles de Fargate para cualquier otro espacio de nombres que desee utilizar con Fargate.
Puede crear un perfil de Fargate con una de las siguientes herramientas:
+ [`eksctl`](#eksctl_fargate_profile_create)
+ [Consola de administración de AWS](#console_fargate_profile_create)
### `eksctl`
En este procedimiento, se requiere la versión `0.215.0` o posterior de `eksctl`. Puede verificar la versión con el siguiente comando:
```
eksctl version
```
Para obtener instrucciones sobre cómo instalar o actualizar `eksctl`, consulte [Instalación](https://eksctl.io/installation) en la documentación de `eksctl`.
**Cómo crear un perfil de Fargate con `eksctl` **
Cree el perfil de Fargate con el siguiente comando de `eksctl` y reemplace cada `` con valores propios. Debe especificar un espacio de nombres. Sin embargo, la opción `--labels` no es obligatoria.
```
eksctl create fargateprofile \
--cluster \
--name \
--namespace \
--labels
```
Puede usar ciertos comodines para las etiquetas `` y ``. Para obtener más información, consulte [Comodines de perfil de Fargate](fargate-profile.md#fargate-profile-wildcards).
### Consola de administración de AWS
**Para crear un perfil de Fargate con Consola de administración de AWS **
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el clúster para el que desea crear un perfil de Fargate.
1. Elija la pestaña **Computación**.
1. En **Perfiles de Fargate**, elija **Agregar perfil de Fargate**.
1. En la página **Configurar perfil de Fargate**, haga lo siguiente:
1. En **Name** (Nombre), ingrese un nombre único para el perfil de Fargate. El nombre debe ser único.
1. En **Rol de ejecución de pods**, elija el rol de ejecución de pods que se va a utilizar con el perfil de Fargate. Solo se muestran los roles de IAM con la entidad principal del servicio de `eks-fargate-pods.amazonaws.com`. Si no ve ningún rol, debe crear uno. Para obtener más información, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md).
1. Modifique las **Subredes** seleccionadas según sea necesario.
**nota**
Solo las subredes privadas son compatibles con los pods que se ejecutan en Fargate.
1. En **Etiquetas**, puede etiquetar su perfil de Fargate si lo desea. Estas etiquetas no se propagan a otros recursos asociados con el perfil, como los pods.
1. Elija **Siguiente**.
1. En la página **Configurar la selección de pods**, haga lo siguiente:
1. En **Espacio de nombres**, ingrese un espacio de nombres que coincida con los pods.
+ Puede usar espacios de nombres específicos para que coincidan, como `kube-system` o `default`.
+ Puede usar ciertos comodines (por ejemplo, `prod-*`) para que coincidan con varios espacios de nombres (por ejemplo, `prod-deployment` y `prod-test`). Para obtener más información, consulte [Comodines de perfil de Fargate](fargate-profile.md#fargate-profile-wildcards).
1. (Opcional) Agregue etiquetas de Kubernetes al selector. Agréguelos específicamente al selector con el que deben coincidir los pods del espacio de nombres especificado.
+ Puede agregar la etiqueta `infrastructure: fargate` al selector para que solo los pods del espacio de nombres especificado que también tengan la etiqueta `infrastructure: fargate` de Kubernetes coincidan con el selector.
+ Puede usar ciertos comodines (por ejemplo, `key?: value?`) para que coincidan con varios espacios de nombres (por ejemplo, `keya: valuea` y `keyb: valueb`). Para obtener más información, consulte [Comodines de perfil de Fargate](fargate-profile.md#fargate-profile-wildcards).
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, revise la información de su perfil de Fargate y elija **Crear**.
## Paso 4: actualización de CoreDNS
De forma predeterminada, CoreDNS está configurado para ejecutarse en la infraestructura de Amazon EC2 en clústeres de Amazon EKS. Si desea ejecutar *solo* los pods de Fargate en el clúster, complete los pasos que se describen a continuación.
**nota**
Si ha creado el clúster con `eksctl` mediante la opción `--fargate`, entonces puede ir directamente a [Siguientes pasos](#fargate-gs-next-steps).
1. Cree un perfil de Fargate para CoreDNS con el siguiente comando. Reemplace `` con su nombre de clúster, `<111122223333>` con su ID de cuenta, `` con el nombre de su rol de ejecución del pod y `<000000000000000a>`, `<000000000000000b>` y `<000000000000000c>` con los ID de las subredes privadas. Si no tiene un rol de ejecución de pods, debe crear uno antes (consulte [Paso 2: creación de un rol de ejecución de pods de Fargate](#fargate-sg-pod-execution-role)).
**importante**
El ARN de rol no puede incluir una [ruta de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names) que no sea `/`. Por ejemplo, si el nombre de su rol es `development/apps/AmazonEKSFargatePodExecutionRole`, tendrá que cambiarlo a `AmazonEKSFargatePodExecutionRole` cuando especifique el ARN del rol. El formato del ARN del rol debe ser ` arn:aws:iam::<111122223333>:role/`.
```
aws eks create-fargate-profile \
--fargate-profile-name coredns \
--cluster-name \
--pod-execution-role-arn arn:aws:iam::<111122223333>:role/ \
--selectors namespace=kube-system,labels={k8s-app=kube-dns} \
--subnets subnet-<000000000000000a> subnet-<000000000000000b> subnet-<000000000000000c>
```
1. Active un despliegue de la implementación `coredns`.
```
kubectl rollout restart -n kube-system deployment coredns
```
## Siguientes pasos
+ Puede comenzar a migrar las aplicaciones existentes para que se ejecuten en Fargate con el siguiente flujo de trabajo.
1. [Creación de un perfil de Fargate](fargate-profile.md#create-fargate-profile) que coincida con el espacio de nombres de Kubernetes y las etiquetas de Kubernetes de su aplicación.
1. Elimine y vuelva a crear los pods existentes para que se programen en Fargate. Modifique `` y `` para actualizar sus pods específicos.
```
kubectl rollout restart -n deployment
```
+ Implemente [Redirección de tráfico de aplicaciones y HTTP con los equilibradores de carga de aplicaciones](alb-ingress.md) para permitir que los objetos de entrada de los pods se ejecuten en Fargate.
+ Puede utilizar el [Ajuste de los recursos del pod con el escalador automático vertical de pods](vertical-pod-autoscaler.md) para medir correctamente inicialmente el tamaño de la CPU y la memoria de los pods de Fargate y, a continuación, utilizar el [Escalado de las implementaciones de pods con el escalador automático de pods horizontales](horizontal-pod-autoscaler.md) para escalar esos pods. Si desea que el Escalador automático vertical de pods vuelva a implementar automáticamente los pods en Fargate con combinaciones de CPU y memoria mayores, configure el modo del Escalador automático vertical de pods en `Auto` o `Recreate`. Esto es para garantizar una funcionalidad correcta. Para obtener más información, consulte el documento [Escalador automático vertical de pods](https://github.com/kubernetes/autoscaler/tree/master/vertical-pod-autoscaler#quick-start) en GitHub.
+ Puede configurar el recopilador [AWS Distro for OpenTelemetry](https://aws.amazon.com/otel) (ADOT) para el monitoreo de aplicaciones siguiendo [estas instrucciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Container-Insights-EKS-otel.html).
# Cómo definir los pods que deben lanzarse en AWS Fargate
Antes de programar pods en Fargate en el clúster, debe definir al menos un perfil de Fargate que especifique qué pods utilizan Fargate cuando se lanzan.
Como administrador, puede utilizar un perfil de Fargate para declarar qué pods se ejecutan en Fargate. Puede hacerlo a través de los selectores del perfil. Puede agregar hasta cinco selectores a cada perfil. Cada selector debe contener un espacio de nombres. El selector también puede incluir etiquetas. El campo de etiqueta consta de varios pares de clave-valor opcionales. Los pods que coinciden con un selector se programan en Fargate. Los pods se comparan mediante un espacio de nombres y las etiquetas que se especifican en el selector. Si se define un selector de espacio de nombres sin etiquetas, Amazon EKS intenta programar todos los pods que se ejecutan en ese espacio de nombres en Fargate mediante el perfil. Si un pod programado coincide con alguno de los selectores del perfil de Fargate, ese pod se programa en Fargate.
Si un pod coincide con varios perfiles de Fargate, puede especificar qué perfil utiliza un pod al agregar la siguiente etiqueta de Kubernetes a la especificación del pod: `eks.amazonaws.com/fargate-profile: my-fargate-profile`. El pod debe coincidir con un selector en ese perfil para que se pueda programar en Fargate. Las reglas de afinidad y antiafinidad de Kubernetes no se aplican y no son necesarias con los pods de Fargate de Amazon EKS.
Cuando se crea un perfil de Fargate, se debe especificar un rol de ejecución de pods. Este rol de ejecución es para los componentes de Amazon EKS que se ejecutan en la infraestructura de Fargate mediante el perfil. Se agrega al [control de acceso basado en roles (RBAC)](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) de Kubernetes del clúster para la autorización. De este modo, el `kubelet` que se ejecuta en la infraestructura de Fargate puede registrarse en su clúster de Amazon EKS y aparecer en su clúster como un nodo. El rol de ejecución de pods también proporciona permisos de IAM a la infraestructura de Fargate para permitir el acceso de lectura a los repositorios de imágenes de Amazon ECR. Para obtener más información, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md).
Los perfiles de Fargate no se pueden cambiar. Sin embargo, puede crear un nuevo perfil actualizado para reemplazar un perfil existente y, a continuación, eliminar el original.
**nota**
Los pods que se están ejecutando con un perfil de Fargate se detienen y pasan a un estado pendiente cuando se elimina el perfil.
Si el estado de alguno de los perfiles de Fargate de un clúster es `DELETING`, hay que esperar a que se borre el perfil de Fargate antes de crear otros perfiles en ese clúster.
**nota**
Fargate actualmente no admite [topologySpreadConstraints](https://kubernetes.io/docs/concepts/scheduling-eviction/topology-spread-constraints/) de Kubernetes.
Amazon EKS y Fargate distribuyen los pods en cada una de las subredes definidas en el perfil de Fargate. Sin embargo, es posible que acabe con una propagación desigual. Si debe tener una propagación uniforme, utilice dos perfiles de Fargate. Es importante una propagación uniforme en los escenarios en los que se desea desplegar dos réplicas y no se desea ningún tiempo de inactividad. Se recomienda que cada perfil tenga solo una subred.
## Componentes de un perfil de Fargate
Un perfil de Fargate consta de los siguientes componentes.
**Rol de ejecución de pods**
Cuando el clúster crea pods en AWS Fargate, el `kubelet` que se ejecuta en la infraestructura de Fargate debe hacer llamadas a las API de AWS en su nombre. Por ejemplo, necesita hacer llamadas para extraer imágenes del contenedor de Amazon ECR. El rol de ejecución de pods de Amazon EKS proporciona los permisos de IAM para esta tarea.
Al crear un perfil de Fargate, debe especificar un rol de ejecución de pods para utilizarlo con los pods. Este rol se agrega al [control de acceso basado en roles](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) de Kubernetes del clúster para su autorización. De este modo, el `kubelet` que se está ejecutando en la infraestructura de Fargate puede registrarse en el clúster de Amazon EKS y aparecer en el clúster como un nodo. Para obtener más información, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md).
**Subredes**
Los identificadores de las subredes en las que se lanzarán los pods que utilizan este perfil. En este momento, a los pods que se ejecutan en Fargate no se les asignan direcciones IP públicas. Por lo tanto, para este parámetro solo se aceptan subredes privadas que no tengan una ruta directa a una puerta de enlace de Internet.
**Selectores**
Los selectores que deben coincidir para que los pods utilicen este perfil de Fargate. Puede especificar hasta cinco selectores en un perfil Fargate. Los selectores tienen los siguientes componentes:
+ **Espacio de nombres**: debe especificar un espacio de nombres para un selector. El selector solo coincide con los pods que se crean en este espacio de nombres. Sin embargo, puede crear varios selectores para orientar varios espacios de nombres.
+ **Etiquetas**: si lo desea, puede especificar etiquetas de Kubernetes que coincidan con el selector. El selector solo coincide con los pods que tienen todas las etiquetas especificadas en el selector.
## Comodines de perfil de Fargate
Además de los caracteres permitidos por Kubernetes, se permite utilizar `*` y `?` en los criterios del selector para los espacios de nombres, las claves de las etiquetas y los valores de las etiquetas:
+ `*` representa ninguno, uno o varios caracteres. Por ejemplo, `prod*` puede representar `prod` y `prod-metrics`.
+ `?` representa un solo carácter (por ejemplo, `value?` puede representar `valuea`). Sin embargo, no puede representar `value` y `value-a`, porque `?` solo puede representar exactamente un carácter.
Estos caracteres comodín se pueden usar en cualquier posición y en combinación (por ejemplo, `prod*`, `*dev` y `frontend*?`). No se admiten otros comodines ni formas de coincidencia de patrones, como las expresiones regulares.
Si hay varios perfiles que coinciden con el espacio de nombres y las etiquetas en la especificación del pod, Fargate elige el perfil según la clasificación alfanumérica por nombre de perfil. Por ejemplo, si tanto el perfil A (con el nombre `beta-workload`) como el perfil B (con el nombre `prod-workload`) tienen selectores coincidentes para los pods que se lanzarán, Fargate elige el perfil A (`beta-workload`) para los pods. Los pods tienen etiquetas con el perfil A en los pods (por ejemplo, `eks.amazonaws.com/fargate-profile=beta-workload`).
Si desea migrar los pods de Fargate existentes a los nuevos perfiles que utilizan comodines, hay dos maneras de hacerlo:
+ Cree un nuevo perfil con los selectores correspondientes y, a continuación, elimine los perfiles antiguos. Los pods etiquetados con perfiles antiguos se reprograman con nuevos perfiles coincidentes.
+ Si quiere migrar cargas de trabajo, pero no sabe con seguridad qué etiquetas de Fargate hay en cada pod de Fargate, puede utilizar el siguiente método. Cree un nuevo perfil con un nombre que se ordene alfanuméricamente en primer lugar entre los perfiles del mismo clúster. A continuación, recicle los pods de Fargate que deban migrar a nuevos perfiles.
## Creación de un perfil de Fargate
En esta sección se explica cómo crear un perfil de Fargate. También debe haber creado un rol de ejecución de pods para utilizarlo en su perfil de Fargate. Para obtener más información, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md). Los pods que se ejecutan en Fargate solo se admiten en subredes privadas con acceso a la [puerta de enlace de NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) a AWS, pero no una ruta directa a una puerta de enlace de Internet. Esto es para que la VPC de su clúster tenga subredes privadas disponibles.
Para crear un perfil puede realizar lo siguiente:
+ [`eksctl`](#eksctl_create_a_fargate_profile)
+ [Consola de administración de AWS](#console_create_a_fargate_profile)
## `eksctl`
**Para crear un perfil de Fargate con `eksctl` **
Cree el perfil de Fargate con el siguiente comando de `eksctl` y reemplace cada valor de ejemplo con valores propios. Debe especificar un espacio de nombres. Sin embargo, la opción `--labels` no es obligatoria.
```
eksctl create fargateprofile \
--cluster my-cluster \
--name my-fargate-profile \
--namespace my-kubernetes-namespace \
--labels key=value
```
Puede usar ciertos comodines para las etiquetas `my-kubernetes-namespace` y `key=value`. Para obtener más información, consulte [Comodines de perfil de Fargate](#fargate-profile-wildcards).
## Consola de administración de AWS
**Para crear un perfil de Fargate con Consola de administración de AWS **
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Elija el clúster para el que desea crear un perfil de Fargate.
1. Elija la pestaña **Computación**.
1. En **Perfiles de Fargate**, elija **Agregar perfil de Fargate**.
1. En la página **Configurar perfil de Fargate**, haga lo siguiente:
1. En **Name** (Nombre), ingrese un nombre único para su perfil de Fargate; por ejemplo, `my-profile`.
1. En **Rol de ejecución de pods**, elija el rol de ejecución de pods que se va a utilizar con el perfil de Fargate. Solo se muestran los roles de IAM con la entidad principal del servicio de `eks-fargate-pods.amazonaws.com`. Si no ve ningún rol, debe crear uno. Para obtener más información, consulte [Rol de IAM de ejecución de pods de Amazon EKS](pod-execution-role.md).
1. Modifique las **Subredes** seleccionadas según sea necesario.
**nota**
Solo las subredes privadas son compatibles con los pods que se ejecutan en Fargate.
1. En **Etiquetas**, puede etiquetar su perfil de Fargate si lo desea. Estas etiquetas no se propagan a otros recursos asociados con el perfil, como los pods.
1. Elija **Siguiente**.
1. En la página **Configurar la selección de pods**, haga lo siguiente:
1. En **Espacio de nombres**, ingrese un espacio de nombres que coincida con los pods.
+ Puede usar espacios de nombres específicos para que coincidan, como `kube-system` o `default`.
+ Puede usar ciertos comodines (por ejemplo, `prod-*`) para que coincidan con varios espacios de nombres (por ejemplo, `prod-deployment` y `prod-test`). Para obtener más información, consulte [Comodines de perfil de Fargate](#fargate-profile-wildcards).
1. (Opcional) Agregue etiquetas de Kubernetes al selector. Agréguelos específicamente al selector con el que deben coincidir los pods del espacio de nombres especificado.
+ Puede agregar la etiqueta `infrastructure: fargate` al selector para que solo los pods del espacio de nombres especificado que también tengan la etiqueta `infrastructure: fargate` de Kubernetes coincidan con el selector.
+ Puede usar ciertos comodines (por ejemplo, `key?: value?`) para que coincidan con varios espacios de nombres (por ejemplo, `keya: valuea` y `keyb: valueb`). Para obtener más información, consulte [Comodines de perfil de Fargate](#fargate-profile-wildcards).
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, revise la información de su perfil de Fargate y elija **Crear**.
# Eliminación de un perfil de Fargate
En este tema se explica cómo eliminar un perfil de Fargate. Al eliminar un perfil de Fargate, se eliminan todos los pods que se programaron en Fargate con el perfil. Si esos pods coinciden con otro perfil de Fargate, se programan en Fargate con ese perfil. Si ya no coinciden con ningún perfil de Fargate, significa que no están programados en Fargate y pueden permanecer como pendientes.
Solo un perfil de Fargate de un clúster puede tener el estado `DELETING` a la vez. Espere a que un perfil de Fargate termine de eliminarse para poder eliminar cualquier otro perfil de ese clúster.
Puede eliminar perfiles con cualquiera de las siguientes herramientas:
+ [`eksctl`](#eksctl_delete_a_fargate_profile)
+ [Consola de administración de AWS](#console_delete_a_fargate_profile)
+ [AWS CLI](#awscli_delete_a_fargate_profile)
## `eksctl`
**Elimine un perfil de Fargate con `eksctl` **
Utilice el siguiente comando para eliminar un perfil de un clúster. Reemplace los *valores de ejemplo* por sus propios valores.
```
eksctl delete fargateprofile --name my-profile --cluster my-cluster
```
## Consola de administración de AWS
**Elimine un perfil de Fargate con Consola de administración de AWS **
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. En el panel de navegación izquierdo, elija **Clusters (Clústeres)**. En la lista de clústeres, elija el clúster del que desea eliminar el perfil de Fargate.
1. Elija la pestaña **Computación**.
1. Elija el perfil de Fargate que desea eliminar y, a continuación, elija **Delete** (Eliminar).
1. En la página **Delete Fargate Profile** (Eliminar perfil de Fargate), ingrese el nombre del perfil y, a continuación, elija **Delete** (Eliminar).
## AWS CLI
**Elimine un perfil de Fargate con la AWS CLI**
Utilice el siguiente comando para eliminar un perfil de un clúster. Reemplace los *valores de ejemplo* por sus propios valores.
```
aws eks delete-fargate-profile --fargate-profile-name my-profile --cluster-name my-cluster
```
# Descripción de los detalles de configuración de pods de Fargate
En esta sección se describen algunos de los detalles de configuración únicos de los pods para ejecutar pods de Kubernetes en AWS Fargate.
## Memoria y CPU de los pods
Con Kubernetes, puede definir solicitudes, una cantidad mínima de vCPU y recursos de memoria que se asignan a cada contenedor en un pod. Kubernetes programa los pods para garantizar que al menos los recursos solicitados para cada pod estén disponibles en el recurso informático. Para obtener más información, consulte la [administración de recursos de computación para contenedores](https://kubernetes.io/docs/concepts/configuration/manage-compute-resources-container/) en la documentación de Kubernetes.
**nota**
Dado que Amazon EKS Fargate ejecuta solo un pod por nodo, no se produce el escenario de expulsión de pods en caso de menos recursos. Todos los pods de Amazon EKS Fargate se ejecutan con prioridad garantizada, por lo que la CPU y la memoria solicitadas deben ser iguales al límite de todos los contenedores. A fin de obtener más información, consulte [Configurar la calidad del servicio para los pods](https://kubernetes.io/docs/tasks/configure-pod-container/quality-service-pod/) en la documentación de Kubernetes.
Cuando los pods están programados en Fargate, las reservas de vCPU y memoria dentro de la especificación del pod determinan cuánta CPU y memoria se debe aprovisionar para el pod.
+ La solicitud máxima de cualquier contenedor Init se utiliza para determinar los requisitos de vCPU y de memoria de la solicitud Init.
+ Las solicitudes para todos los contenedores de larga duración se suman para determinar los requisitos de memoria y vCPU de las solicitudes de larga duración.
+ El mayor de los dos valores anteriores se elige para la solicitud de vCPU y de memoria que se utilizará para el pod.
+ Fargate agrega 256 MB a la reserva de memoria de cada pod para los componentes requeridos de Kubernetes (`kubelet`, `kube-proxy` y `containerd`).
Fargate redondea hasta la siguiente configuración de computación que más se acerque a la suma de las solicitudes de vCPU y memoria para garantizar que los pods siempre tengan los recursos que necesitan para ejecutarse.
Si no especifica una combinación de vCPU y memoria, se utilizará la combinación más chica disponible (0,25 vCPU y 0,5 GB de memoria).
En la siguiente tabla se muestran las combinaciones de vCPU y memoria disponibles para los pods que se ejecutan en Fargate.
| Valor de vCPU | Valor de memoria |
| --- | --- |
| 0,25 vCPU | 0,5 GB, 1 GB, 2 GB |
| 0,5 vCPU | 1 GB, 2 GB, 3 GB, 4 GB |
| 1 vCPU | 2 GB, 3 GB, 4 GB, 5 GB, 6 GB, 7 GB, 8 GB |
| 2 vCPU | Entre 4 GB y 16 GB en incrementos de 1 GB |
| 4 vCPU | Entre 8 GB y 30 GB en incrementos de 1 GB |
| 8 vCPU | Entre 16 GB y 60 GB en incrementos de 4 GB |
| 16 vCPU | Entre 32 GB y 120 GB en incrementos de 8 GB |
La memoria adicional reservada para los componentes de Kubernetes puede generar una tarea de Fargate con más vCPU de las que se solicitaron aprovisionar. Por ejemplo, una solicitud de 1 vCPU y 8 GB de memoria tendrá 256 MB agregados a su solicitud de memoria y aprovisionará una tarea de Fargate con 2 vCPU y 9 GB de memoria, ya que no hay ninguna tarea con 1 vCPU y 9 GB de memoria disponible.
No hay correlación entre el tamaño del pod que se ejecuta en Fargate y el tamaño del nodo informado por Kubernetes con `kubectl get nodes`. El tamaño del nodo informado suele ser mayor que la capacidad del pod. Puede verificar la capacidad de los pods con el siguiente comando. Reemplace *default* por el espacio de nombres del pod y *pod-name* por el nombre del pod.
```
kubectl describe pod --namespace default pod-name
```
Un ejemplo de salida sería el siguiente.
```
[...]
annotations:
CapacityProvisioned: 0.25vCPU 0.5GB
[...]
```
La anotación `CapacityProvisioned` representa la capacidad del pod forzada y determina el costo del pod que se ejecuta en Fargate. Para obtener información sobre los precios de las configuraciones informáticas, consulte [Precios de AWS Fargate](https://aws.amazon.com/fargate/pricing/).
## Almacenamiento de Fargate
Un pod que se ejecuta en Fargate monta automáticamente un sistema de archivos de Amazon EFS, sin necesidad de seguir pasos manuales para la instalación de controladores. No se puede utilizar el aprovisionamiento dinámico de volúmenes persistentes con nodos de Fargate, pero se puede utilizar el aprovisionamiento estático. Para obtener más información, consulte [Controlador de CSI de Amazon EFS](https://github.com/kubernetes-sigs/aws-efs-csi-driver/blob/master/docs/README.md) en GitHub.
Cuando se aprovisiona, cada pod que se ejecuta en Fargate recibe un almacenamiento efímero predeterminado de 20 GiB. Este tipo de almacenamiento se elimina después de que un pod se detenga. Los nuevos pods lanzados en Fargate tienen el cifrado del volumen de almacenamiento efímero habilitado de forma predeterminada. El almacenamiento de pod efímero se cifra con un algoritmo de cifrado AES-256 mediante claves administradas por AWS Fargate.
**nota**
El almacenamiento utilizable predeterminado para pods de Amazon EKS que se ejecuta en Fargate tiene menos de 20 GiB. Esto se debe a que parte del espacio lo utilizan `kubelet` y otros módulos de Kubernetes que se cargan dentro del pod.
La cantidad total de almacenamiento efímero se puede aumentar hasta un máximo de 175 GiB. Para configurar el tamaño con Kubernetes, especifique las solicitudes del recurso de `ephemeral-storage` para cada contenedor en un pod. Cuando Kubernetes programa pods, asegura que la suma de las solicitudes de recursos para cada pod es inferior a la capacidad de la tarea de Fargate. Para obtener más información, consulte [Resource Management for Pods and Containers](https://kubernetes.io/docs/concepts/configuration/manage-compute-resources-container/) en la documentación de Kubernetes.
Amazon EKS Fargate proporciona más almacenamiento efímero del solicitado para el uso del sistema. Por ejemplo, una solicitud de 100 GiB aprovisionará una tarea de Fargate con 115 GiB de almacenamiento efímero.
# Definición de acciones para los eventos de aplicación de revisiones del sistema operativo de AWS Fargate
Amazon EKS debe aplicar parches periódicamente del sistema operativo para los nodos de AWS Fargate a fin de mantenerlos seguros. Como parte del proceso de aplicación de parches, reciclamos los nodos para instalar los parches del sistema operativo. Las actualizaciones se intentan de tal manera que se produzca el menor impacto en sus servicios. Sin embargo, si los pods no se expulsan correctamente, hay ocasiones en que deben eliminarse. A continuación, se muestran las acciones que puede realizar para minimizar las posibles interrupciones:
+ Establezca los presupuestos de interrupción de pods (PDB) adecuados para controlar el número de pods que están inactivos simultáneamente.
+ Cree reglas de Amazon EventBridge para controlar las expulsiones fallidas antes de que se eliminen los pods.
+ Reinicie manualmente los pods afectados antes de la fecha de expulsión que se indica en la notificación que reciba.
+ Cree una configuración de notificaciones en Notificaciones de usuario de AWS.
Amazon EKS trabaja en estrecha colaboración con la comunidad de Kubernetes para que las correcciones de errores y los parches de seguridad estén disponibles lo antes posible. Todos los pods de Fargate empiezan en la versión de parche de Kubernetes más recientes, que está disponible en Amazon EKS para la versión de Kubernetes de su clúster. Si tiene un pod con una versión de parche anterior, Amazon EKS podría reciclarlo para actualizarlo a la última versión. Esto garantiza que los pods estén equipados con las últimas actualizaciones de seguridad. De esa forma, si hay un problema de [Vulnerabilidades y exposiciones comunes](https://cve.mitre.org/) (CVE) crítico, estará al tanto para reducir los riesgos de seguridad.
Cuando se actualice el sistema operativo de AWS Fargate, Amazon EKS enviará una notificación que incluirá los recursos afectados y la fecha de las próximas expulsiones de pods. Si la fecha de expulsión prevista resulta inoportuna, es posible reiniciar manualmente los pods afectados antes de la fecha de expulsión indicada en la notificación. Todos los pods creados antes del momento en que reciba la notificación están sujetos a expulsión. Consulte la [documentación de Kubernetes](https://kubernetes.io/docs/reference/kubectl/generated/kubectl_rollout/kubectl_rollout_restart) para obtener más instrucciones sobre cómo reiniciar manualmente los pods.
Para limitar el número de pods que están inactivos al mismo tiempo cuando se reciclan pods, puede establecer presupuestos de interrupción de pods (PDB). Puede utilizar PDB para definir la disponibilidad mínima en función de los requisitos de cada una de las aplicaciones y, al mismo tiempo, permitir que se produzcan actualizaciones. La disponibilidad mínima de PDB debe ser inferior al 100 %. Para obtener más información, consulte [Specifying a Disruption Budget for your Application](https://kubernetes.io/docs/tasks/run-application/configure-pdb/) en la documentación de Kubernetes.
Amazon EKS utiliza la [API de expulsión](https://kubernetes.io/docs/tasks/administer-cluster/safely-drain-node/#eviction-api) para drenar el pod de forma segura a la vez que se respetan los PDB que configuró para la aplicación. La zona de disponibilidad expulsa los pods para minimizar el impacto. Si la expulsión tiene éxito, el nuevo pod obtiene el parche más reciente y no será necesario llevar a cabo más acciones.
Cuando falla la expulsión de un pod, Amazon EKS envía un evento a su cuenta con detalles sobre los pods que han fallado la expulsión. Puede actuar en función del mensaje antes de la hora de finalización programada. El tiempo específico varía según la urgencia del parche. Cuando llega el momento, Amazon EKS intenta expulsar de nuevo los pods. Sin embargo, esta vez no se envía un nuevo evento si la expulsión falla. Si la expulsión vuelve a fallar, los pods existentes se eliminan periódicamente para que los nuevos pods puedan tener el último parche.
A continuación, se muestra un evento de ejemplo recibido cuando falla la expulsión de pods. Contiene detalles sobre el clúster, el nombre del pod, el espacio de nombres del pod, el perfil de Fargate y la hora de finalización programada.
```
{
"version": "0",
"id": "12345678-90ab-cdef-0123-4567890abcde",
"detail-type": "EKS Fargate Pod Scheduled Termination",
"source": "aws.eks",
"account": "111122223333",
"time": "2021-06-27T12:52:44Z",
"region": "region-code",
"resources": [
"default/my-database-deployment"
],
"detail": {
"clusterName": "my-cluster",
"fargateProfileName": "my-fargate-profile",
"podName": "my-pod-name",
"podNamespace": "default",
"evictErrorMessage": "Cannot evict pod as it would violate the pod's disruption budget",
"scheduledTerminationTime": "2021-06-30T12:52:44.832Z[UTC]"
}
}
```
Además, tener varios PDB asociados a un pod puede provocar un error de expulsión. Este evento devuelve el siguiente mensaje de error.
```
"evictErrorMessage": "This pod has multiple PodDisruptionBudget, which the eviction subresource does not support",
```
Puede crear una acción deseada basada en este evento. Por ejemplo, puede ajustar el presupuesto de interrupción de pods (PDB) para controlar cómo se expulsan los pods. Más concretamente, supongamos que empieza con un PDB que especifica el porcentaje objetivo de pods que están disponibles. Antes de que los pods finalicen forzosamente durante una actualización, puede ajustar el PDB a un porcentaje diferente de pods. Para recibir este evento, debe crear una regla de Amazon EventBridge en la cuenta de AWS y la región de AWS a la que pertenece el clúster. La regla debe utilizar el siguiente **patrón personalizado**. Para obtener más información, consulte [Creación de reglas de EventBridge que reaccionan a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del usuario de Amazon EventBridge*.
```
{
"source": ["aws.eks"],
"detail-type": ["EKS Fargate Pod Scheduled Termination"]
}
```
Se puede establecer un objetivo adecuado para que el evento lo capture. Para obtener una lista completa de los destinos admitidos, consulte [Destinos de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) en la *Guía del usuario de Amazon EventBridge*. También puede crear una configuración de notificaciones en Notificaciones de usuario de AWS. Al utilizar la Consola de administración de AWS para crear la notificación, en **Reglas de eventos**, seleccione **Elastic Kubernetes Service (EKS)** para el ** AWS nombre del servicio** y **Terminación programada de EKS Fargate Pod** para el **tipo de evento**. Para obtener más información, consulte [Introducción a las notificaciones de usuario de AWS](https://docs.aws.amazon.com/notifications/latest/userguide/getting-started.html) en la Guía de usuario de notificaciones de usuario de AWS.
Consulte [Preguntas frecuentes: notificación de expulsión del pod de Fargate](https://repost.aws/knowledge-center/fargate-pod-eviction-notice) en *AWS re:Post* para consultar las preguntas más frecuentes sobre las expulsiones del pod de EKS.
# Recopilación de métricas de uso y aplicación de AWS Fargate
Puede recopilar métricas del sistema y métricas de uso de CloudWatch para AWS Fargate.
## Métricas de aplicación
Para aplicaciones que se ejecutan en Amazon EKS y AWS Fargate, puede utilizar AWS Distro para OpenTelemetry (ADOT). ADOT le permite recopilar métricas del sistema y enviarlas a los paneles de CloudWatch Container Insights. Para empezar a utilizar ADOT para aplicaciones que se ejecutan en Fargate, consulte [Using CloudWatch Container Insights with AWS Distro for OpenTelemetry](https://aws-otel.github.io/docs/getting-started/container-insights) (Uso de CloudWatch Container Insights con Distro for OpenTelemetry) en la documentación de ADOT.
## Métricas de uso
Puede utilizar las métricas de uso de CloudWatch para proporcionar visibilidad sobre el uso de los recursos de su cuenta. Utilice estas métricas para visualizar el uso actual del servicio en paneles y gráficos de CloudWatch.
Las métricas de uso de AWS Fargate se corresponden con las Service Quotas de servicio de AWS. Puede configurar alarmas que le avisen cuando su uso se acerque a una Service Quota. Para obtener más información acerca de las cuotas de servicio de Fargate, consulte [Visualización y administración de Amazon EKS y las Service Quotas de Fargate](service-quotas.md).
AWS Fargate publica las siguientes métricas en el espacio de nombres ` AWS/Usage`.
| Métrica | Descripción |
| --- | --- |
| `ResourceCount` | El número total de los recursos especificados que se ejecutan en su cuenta. Los recursos se definen por las dimensiones asociadas a la métrica. |
Las siguientes dimensiones se utilizan para ajustar las métricas de uso que publica AWS Fargate.
| Dimensión | Descripción |
| --- | --- |
| `Service` | El nombre del servicio de AWS que contiene el recurso. Para las métricas de uso de AWS Fargate, el valor de esta dimensión es `Fargate`. |
| `Type` | El tipo de entidad que se notifica. Actualmente, el único valor válido para las métricas de uso de AWS Fargate es `Resource`. |
| `Resource` | El tipo de recurso que se ejecuta. En la actualidad, AWS Fargate devuelve información sobre la utilización bajo demanda de Fargate. El valor de recurso para la utilización bajo demanda de Fargate es `OnDemand`. [NOTA] ==== El uso bajo demanda de Fargate combina los pods de Amazon EKS que utilizan Fargate, las tareas de Amazon ECS que utilizan el tipo de lanzamiento de Fargate y las tareas de Amazon ECS que utilizan el proveedor de capacidad de `FARGATE`. ==== |
| `Class` | La clase de recurso a la que se realiza el seguimiento. En la actualidad, AWS Fargate no utiliza la dimensión de clase. |
### Creación de una alarma de CloudWatch para monitorear las métricas de uso de recursos de Fargate
AWS Fargate proporciona métricas de uso de CloudWatch que corresponden a las Service Quotas de AWS para el uso de recursos bajo demanda de Fargate. En la consola de Service Quotas, puede ver el uso en un gráfico. También puede configurar alarmas que le avisen cuando su uso se acerque a una cuota de servicio. Para obtener más información, consulte [Recopilación de métricas de uso y aplicación de AWS Fargate](#monitoring-fargate-usage).
Siga estos pasos para crear una alarma de CloudWatch basada en las métricas de uso de recursos de Fargate.
1. Abra la consola de Service Quotas en https://console.aws.amazon.com/servicequotas/.
1. En el panel de navegación de la izquierda, elija **Servicios de AWS**.
1. En la lista **Servicios de AWS**, busque y seleccione **AWS Fargate**.
1. En la lista **Service quotas** (Cuotas de servicio), elija la cuota de utilización de Fargate para la que desee crear una alarma.
1. En la sección Amazon CloudWatch alarms (Alarmas de Amazon CloudWatch), elija **Create** (Crear).
1. En **Alarm threshold (Umbral de alarma)**, elija el porcentaje del valor de la cuota aplicada que desee establecer como valor de la alarma.
1. En **Alarm name (Nombre de la alarma)**, escriba el nombre de la alarma y elija **Create (Crear)**.
# Inicio del registro de AWS Fargate para un clúster
Amazon EKS en Fargate ofrece un enrutador de registros integrado basado en Fluent Bit. Esto significa que no ejecuta explícitamente un contenedor de Fluent Bit como archivo sidecar, sino que Amazon lo ejecuta. Todo lo que tiene que hacer es configurar el enrutador de registros. La configuración se realiza a través de un `ConfigMap` dedicado que debe cumplir los siguientes criterios:
+ Tener un `aws-logging` con nombre.
+ Haber sido creado en un espacio de nombres dedicado llamado `aws-observability`.
+ No puede superar los 5300 caracteres.
Una vez que haya creado el `ConfigMap`, Amazon EKS en Fargate lo detecta automáticamente y configura el enrutador de registros con él. Fargate utiliza una versión de AWS para Fluent Bit, una distribución conforme del cliente al servidor de Fluent Bit administrada por AWS. Para obtener más información, consulte [AWS para Fluent Bit](https://github.com/aws/aws-for-fluent-bit) en GitHub.
El enrutador de registros le permite utilizar la amplia gama de servicios de AWS para el análisis y el almacenamiento de registros. Puede transmitir registros desde Fargate directamente a Amazon CloudWatch, Amazon OpenSearch Service. También puede transmitir registros a destinos como [Amazon S3](https://aws.amazon.com/s3/), [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/) y herramientas de socios a través de [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/).
+ Un perfil de Fargate existente que especifica un espacio de nombres de Kubernetes existente en el que se implementan pods de Fargate. Para obtener más información, consulte [Paso 3: creación de un perfil de Fargate para el clúster](fargate-getting-started.md#fargate-gs-create-profile).
+ Un rol de ejecución de pods de Fargate existente. Para obtener más información, consulte [Paso 2: creación de un rol de ejecución de pods de Fargate](fargate-getting-started.md#fargate-sg-pod-execution-role).
## Configuración del enrutador de registros
**importante**
Para que los registros se publiquen correctamente, debe haber acceso de red desde la VPC en la que se encuentra el clúster hasta el destino de los registros. Esto se aplica principalmente a los usuarios que personalizan las reglas de salida de la VPC. Para ver un ejemplo con CloudWatch, consulte la sección *Uso de Registros de CloudWatch con puntos de conexión de VPC de interfaz* en la [Guía del usuario de los Registros de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html).
En los siguientes pasos, reemplace cada *valor de ejemplo* por valores propios.
1. Cree un espacio de nombres de Kubernetes dedicado llamado `aws-observability`.
1. Guarde el siguiente contenido en un archivo llamado `aws-observability-namespace.yaml` en el equipo. El valor de `name` debe ser `aws-observability` y la etiqueta `aws-observability: enabled` es obligatoria.
```
kind: Namespace
apiVersion: v1
metadata:
name: aws-observability
labels:
aws-observability: enabled
```
1. Cree el espacio de nombres.
```
kubectl apply -f aws-observability-namespace.yaml
```
1. Cree un `ConfigMap` con un valor de datos de `Fluent Conf` para enviar los registros de contenedores a un destino. Fluent Conf es Fluent Bit, que es un lenguaje de configuración del procesador de registros rápido y ligero que se utiliza para dirigir los registros del contenedor a un destino de registro de su elección. Para obtener más información, consulte [Archivo de configuración](https://docs.fluentbit.io/manual/administration/configuring-fluent-bit/classic-mode/configuration-file) en la documentación de Fluent Bit.
**importante**
En un `Fluent Conf` típico, las secciones principales incluidas son `Service`, `Input`, `Filter` y `Output`. Sin embargo, el enrutador de registros de Fargate solo acepta:
Las secciones `Filter` y `Output`.
Una sección `Parser`.
Si proporciona otras secciones, se rechazarán.
El enrutador de registros de Fargate administra las secciones `Service` e `Input`. Tiene la siguiente sección `Input`, la cual no se puede modificar y no es necesaria en su `ConfigMap`. Sin embargo, puede obtener información a partir de ella, como el límite del búfer de memoria y la etiqueta aplicada a los registros.
```
[INPUT]
Name tail
Buffer_Max_Size 66KB
DB /var/log/flb_kube.db
Mem_Buf_Limit 45MB
Path /var/log/containers/*.log
Read_From_Head On
Refresh_Interval 10
Rotate_Wait 30
Skip_Long_Lines On
Tag kube.*
```
Al crear el `ConfigMap`, debe tener en cuenta las siguientes reglas que Fargate utiliza para validar campos:
+ Se supone que `[FILTER]`, `[OUTPUT]` y `[PARSER]` deben especificarse en cada clave correspondiente. Por ejemplo, `[FILTER]` debe estar en `filters.conf`. Puede tener uno o más `[FILTER]` en `filters.conf`. Las secciones `[OUTPUT]` y `[PARSER]` también deben estar en sus claves correspondientes. Mediante la especificación de varias secciones `[OUTPUT]`, puede dirigir sus registros a diferentes destinos al mismo tiempo.
+ Fargate valida las claves requeridas para cada sección. `Name` y `match` son necesarias para cada `[FILTER]` y `[OUTPUT]`. `Name` y `format` son necesarias para cada `[PARSER]`. Las claves distinguen entre mayúsculas y minúsculas.
+ Las variables de entorno, como `${ENV_VAR}` no se permiten en `ConfigMap`.
+ La sangría tiene que ser la misma para la política o el par clave-valor dentro de cada `filters.conf`, `output.conf` y `parsers.conf`. Los pares clave-valor deben tener más sangría que las políticas.
+ Fargate valida con los siguientes filtros compatibles: `grep`, `parser`, `record_modifier`, `rewrite_tag`, `throttle`, `nest`, `modify` y `kubernetes`.
+ Fargate verifica las siguientes salidas compatibles: `es`, `firehose`, `kinesis_firehose`, `cloudwatch`, `cloudwatch_logs` y `kinesis`.
+ Se debe proporcionar al menos un complemento de `Output` compatible en el `ConfigMap` a fin de habilitar el registro. `Filter` y `Parser` no son necesarios para habilitar el registro.
También puede ejecutar Fluent Bit en Amazon EC2 con la configuración deseada para solucionar cualquier problema que surja de la validación. Cree su `ConfigMap` con uno de los siguientes ejemplos.
**importante**
El registro de Fargate de Amazon EKS no admite la configuración dinámica del `ConfigMap`. Cualquier cambio en `ConfigMap` solo se aplica a los pods nuevos. Los cambios no se aplican a los pods existentes.
Cree un `ConfigMap` con el ejemplo para el destino de registro deseado.
**nota**
También puede utilizar Amazon Kinesis Data Streams como destino para su registro. Si usa Kinesis Data Streams, asegúrese de que la función de ejecución del pod tenga otorgado el permiso `kinesis:PutRecords`. Para obtener más información, consulte [Permisos](https://docs.fluentbit.io/manual/pipeline/outputs/kinesis#permissions) de Amazon Kinesis Data Streams en * Fluent Bit: Manual oficial*.
**Example**
------
#### [ CloudWatch ]
Tiene dos opciones de salida al utilizar CloudWatch:
+ [Un complemento de salida escrito en C](https://docs.fluentbit.io/manual/v/1.5/pipeline/outputs/cloudwatch)
+ [Un complemento de salida escrito en Golang](https://github.com/aws/amazon-cloudwatch-logs-for-fluent-bit)
En el siguiente ejemplo se muestra cómo utilizar el complemento de `cloudwatch_logs` para enviar registros a CloudWatch.
1. Guarde los siguientes contenidos en un archivo llamado `aws-logging-cloudwatch-configmap.yaml`. Reemplace *region-code* por la región de AWS en la que se encuentra el clúster. Se requieren los parámetros en `[OUTPUT]`.
```
kind: ConfigMap
apiVersion: v1
metadata:
name: aws-logging
namespace: aws-observability
data:
flb_log_cw: "false" # Set to true to ship Fluent Bit process logs to CloudWatch.
filters.conf: |
[FILTER]
Name parser
Match *
Key_name log
Parser crio
[FILTER]
Name kubernetes
Match kube.*
Merge_Log On
Keep_Log Off
Buffer_Size 0
Kube_Meta_Cache_TTL 300s
output.conf: |
[OUTPUT]
Name cloudwatch_logs
Match kube.*
region region-code
log_group_name my-logs
log_stream_prefix from-fluent-bit-
log_retention_days 60
auto_create_group true
parsers.conf: |
[PARSER]
Name crio
Format Regex
Regex ^(?