**Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea nodi con Bottlerocket ottimizzato AMIs
<a name="eks-optimized-ami-bottlerocket"></a>

 [Bottlerocket](https://aws.amazon.com/bottlerocket/) è una distribuzione Linux open source sponsorizzata e supportata da. AWS Bottlerocket è progettato appositamente per ospitare carichi di lavoro in container. Con Bottlerocket, puoi migliorare la disponibilità delle implementazioni containerizzate e ridurre i costi operativi automatizzando gli aggiornamenti dell’infrastruttura dei container. Bottlerocket include solo il software essenziale per eseguire i container, che migliora l’utilizzo delle risorse, riduce le minacce alla sicurezza e riduce i costi di gestione. L'AMI Bottlerocket include e AWS IAM `containerd` `kubelet` Authenticator. Oltre che dai gruppi di nodi gestiti e di nodi autogestiti, Bottlerocket è supportato anche da [Karpenter](https://karpenter.sh/).

## Vantaggi
<a name="bottlerocket-advantages"></a>

L'utilizzo di Bottlerocket con il cluster Amazon EKS presenta i seguenti vantaggi:
+  **Tempi di attività maggiori con costi operativi inferiori e minore complessità di gestione**: Bottlerocket necessita di un minore utilizzo di risorse, tempi di avvio più brevi ed è meno vulnerabile alle minacce alla sicurezza rispetto ad altre distribuzioni Linux. L’ingombro ridotto di Bottlerocket aiuta a ridurre i costi utilizzando meno risorse di archiviazione, elaborazione e rete.
+  **Maggiore sicurezza grazie agli aggiornamenti automatici del sistema operativo** – gli aggiornamenti a Bottlerocket vengono applicati come una singola unità che può essere ripristinata, se necessario. Ciò elimina il rischio di aggiornamenti danneggiati o non riusciti che possono lasciare il sistema in uno stato inutilizzabile. Con Bottlerocket, gli aggiornamenti di sicurezza possono essere applicati automaticamente non appena sono disponibili con un impatto minimo e possono essere ripristinati in caso di guasti.
+  **Supporto premium**: le AWS versioni fornite di Bottlerocket su Amazon EC2 sono coperte dagli stessi piani di AWS supporto che coprono anche AWS servizi come Amazon, Amazon EKS e EC2 Amazon ECR.

## Considerazioni
<a name="bottlerocket-considerations"></a>

Quando utilizzi Bottlerocket per il tuo tipo di AMI, considera quanto segue:
+ Bottlerocket supporta EC2 istanze Amazon con `x86_64` processori. `arm64`
+ Bottlerocket supporta EC2 istanze Amazon con. GPUs Per ulteriori informazioni, consulta [Usa l'accelerazione ottimizzata per EKS per le istanze AMIs GPU](ml-eks-optimized-ami.md).
+ Le immagini Bottlerocket non includono un server SSH o una shell. Puoi utilizzare metodi di out-of-band accesso per consentire SSH. Questi approcci consentono di utilizzare il container dell'amministratore e saltare alcune fasi di configurazione di bootstrap con i dati utente. Per ulteriori informazioni, consulta le seguenti sezioni in [Bottlerocket](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md) OS su: GitHub
  +  [Esplorazione](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#exploration) 
  +  [Container amministratore](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container) 
  +  [Impostazioni Kubernetes](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#kubernetes-settings) 
+ Bottlerocket utilizza diversi tipi di container:
  + Per impostazione predefinita, è abilitato un [container di controllo](https://github.com/bottlerocket-os/bottlerocket-control-container). Questo contenitore esegue l'[agente AWS Systems Manager](https://github.com/aws/amazon-ssm-agent) che puoi utilizzare per eseguire comandi o avviare sessioni di shell su istanze Amazon EC2 Bottlerocket. Per ulteriori informazioni, vedere [Configurazione di Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html) nella *Guida per l'utente di AWS Systems Manager*.
  + Se viene fornita una chiave SSH durante la creazione del gruppo di nodi, viene abilitato un container dell'amministratore. Consigliamo di utilizzare il container amministratore solo per scenari di sviluppo e test. Non è consigliabile utilizzarlo in ambienti di produzione. Per ulteriori informazioni, consulta [Container amministratore](https://github.com/bottlerocket-os/bottlerocket/blob/develop/README.md#admin-container) su GitHub.

## Ulteriori informazioni
<a name="bottlerocket-more-information"></a>

Per ulteriori informazioni sull'uso di Bottlerocket ottimizzato per Amazon EKS AMIs, consulta le seguenti sezioni:
+ Per i dettagli su Bottlerocket, consulta la [documentazione di Bottlerocket](https://bottlerocket.dev/en/).
+ Per le risorse informative sulla versione, consulta [Recupero delle informazioni sulla versione delle AMI Bottlerocket](eks-ami-versions-bottlerocket.md).
+ Per utilizzare Bottlerocket con gruppi di nodi gestiti, consulta [Semplifica il ciclo di vita dei nodi con gruppi di nodi gestiti](managed-node-groups.md).
+ Per avviare i nodi autogestiti di Bottlerocket, consulta [Crea nodi autogestiti Bottlerocket](launch-node-bottlerocket.md).
+ Per recuperare la versione più recente IDs del Bottlerocket AMIs ottimizzato per Amazon EKS, consulta. [Recupero degli ID AMI Bottlerocket consigliati](retrieve-ami-id-bottlerocket.md)
+ Per informazioni dettagliate sul supporto per la conformità, consulta la sezione [Soddisfare i requisiti di conformità con Bottlerocket](bottlerocket-compliance-support.md).

# Recupero delle informazioni sulla versione delle AMI Bottlerocket
<a name="eks-ami-versions-bottlerocket"></a>

Ogni versione delle AMI Bottlerocket include varie versioni di [kubelet](https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/), del kernel Bottlerocket e di [containerd](https://containerd.io/). Le versioni dell’AMI accelerata includono anche varie versioni del driver NVIDIA. È possibile trovare queste informazioni sulla versione nell’argomento relativo al sistema operativo [OS](https://bottlerocket.dev/en/os/) della *documentazione di Bottlerocket*. Da questa pagina, andare all’argomento secondario *Version Information* applicabile.

A volte la *documentazione di Bottlerocket* può essere in ritardo rispetto alle versioni disponibili su GitHub. È possibile trovare un elenco di modifiche relative alle versioni più recenti alla pagina [releases](https://github.com/bottlerocket-os/bottlerocket/releases) su GitHub.

# Recupero degli ID AMI Bottlerocket consigliati
<a name="retrieve-ami-id-bottlerocket"></a>

Durante la distribuzione dei nodi, è possibile specificare un ID per un’Amazon Machine Image (AMI) preconfigurata e ottimizzata per Amazon EKS. Per recuperare un ID AMI adatto alla configurazione desiderata, interroga l’API AWS Systems Manager Parameter Store. L’utilizzo di tale parametro consente di evitare la ricerca manuale degli ID AMI ottimizzata per Amazon EKS. Per ulteriori informazioni, consulta [Ottenere parametro](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html). Il [principale IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) che usi deve disporre dell'autorizzazione IAM `ssm:GetParameter` per recuperare i metadati dell'AMI ottimizzata per Amazon EKS.

È possibile recuperare l’ID immagine della versione più recente dell’AMI Bottlerocket ottimizzata per Amazon EKS consigliata con il seguente comando AWS CLI, che utilizza il parametro secondario `image_id`. Apportare le seguenti modifiche al comando, se necessario, quindi esegui il comando modificato:
+ Sostituisci la *versione Kubernetes* con una [versione della piattaforma](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html) supportata.
+ Sostituisci *-flavor* con una delle seguenti opzioni.
  + Rimuovi *-flavor* per le varianti senza GPU.
  + Utilizza *-nvidia* per le varianti abilitate per la GPU.
  + Utilizza *-fips* per le varianti compatibili con FIPS.
+ Sostituisci *architettura* con una delle seguenti opzioni.
  + Utilizza *x86\$164* per le istanze basate su `x86`.
  + Utilizza *arm64* per le istanze ARM.
+ Sostituisci *codice regione* con una [regione AWS supportata da Amazon EKS](https://docs.aws.amazon.com/general/latest/gr/eks.html) per la quale si desidera l’ID AMI.

```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-kubernetes-version-flavor/architecture/latest/image_id \
    --region region-code --query "Parameter.Value" --output text
```

Ecco un comando esemplificativo dopo la sostituzione dei segnaposto.

```
aws ssm get-parameter --name /aws/service/bottlerocket/aws-k8s-1.31/x86_64/latest/image_id \
    --region us-west-2 --query "Parameter.Value" --output text
```

Di seguito viene riportato un output di esempio:

```
ami-1234567890abcdef0
```

# Soddisfare i requisiti di conformità con Bottlerocket
<a name="bottlerocket-compliance-support"></a>

Bottlerocket è conforme alle raccomandazioni definite da varie organizzazioni:
+ È stato definito un [Benchmark CIS](https://www.cisecurity.org/benchmark/bottlerocket) per Bottlerocket. In una configurazione predefinita, l’immagine Bottlerocket presenta la maggior parte dei controlli richiesti dal profilo di configurazione CIS Level 1. Puoi implementare i controlli necessari per un profilo di configurazione CIS di livello 2. Per ulteriori informazioni, consulta [Validating Amazon EKS optimized Bottlerocket AMI against the CIS Benchmark](https://aws.amazon.com/blogs/containers/validating-amazon-eks-optimized-bottlerocket-ami-against-the-cis-benchmark) sul blog AWS.
+ Il set di funzionalità ottimizzato e la superficie di attacco ridotta fanno sì che le istanze Bottlerocket richiedano meno configurazioni per soddisfare i requisiti PCI DSS. Il [Benchmark CIS per Bottlerocket](https://www.cisecurity.org/benchmark/bottlerocket) è una risorsa eccellente per le linee guida in materia di hardening e supporta i requisiti per gli standard di configurazione sicuri ai sensi del requisito PCI DSS 2.2. Puoi sfruttare [Fluent Bit](https://opensearch.org/blog/technical-post/2022/07/bottlerocket-k8s-fluent-bit/) per supportare i requisiti di registrazione degli audit a livello di sistema operativo ai sensi del requisito PCI DSS 10.2. AWS pubblica periodicamente nuove istanze Bottlerocket (con patch) per soddisfare i requisiti PCI DSS 6.2 (per la versione 3.2.1) e il requisito 6.3.3 (per la versione 4.0).
+ Bottlerocket è una funzionalità idonea alla normativa HIPAA autorizzata per l’uso con carichi di lavoro regolamentati sia per Amazon EC2 che per Amazon EKS. Per ulteriori informazioni, consulta [HIPAA Eligible Services Reference](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/).
+ Sono disponibili AMI Bottlerocket preconfigurate per utilizzare moduli crittografici convalidati FIPS 140-3. Sono inclusi il modulo crittografico Amazon Linux 2023 Kernel Crypto API e il modulo crittografico AWS-LC. Per ulteriori informazioni, consulta [Prepara i tuoi nodi di lavoro con FIPS con Bottlerocket FIPS AMIs](bottlerocket-fips-amis.md).

# Prepara i tuoi nodi di lavoro con FIPS con Bottlerocket FIPS AMIs
<a name="bottlerocket-fips-amis"></a>

La pubblicazione 140-3 del Federal Information Processing Standard (FIPS) è uno standard di sicurezza dei governi degli Stati Uniti e del Canada che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. Bottlerocket semplifica l'adesione a FIPS offrendo un kernel FIPS. AMIs 

Questi AMIs sono preconfigurati per utilizzare moduli crittografici convalidati FIPS 140-3. Ciò include il modulo crittografico Amazon Linux 2023 Kernel Crypto API e il modulo crittografico AWS-LC.

L'uso di Bottlerocket FIPS AMIs rende i nodi di lavoro «pronti per FIPS» ma non automaticamente «conformi a FIPS». [Per ulteriori informazioni, vedere Federal Information Processing Standard (FIPS) 140-3.](https://aws.amazon.com/compliance/fips/)

## Considerazioni
<a name="_considerations"></a>
+ Se il cluster usa sottoreti isolate, l’endpoint FIPS di Amazon ECR potrebbe non essere accessibile. Questo può causare il fallimento del bootstrap del nodo. Assicurati che la configurazione di rete consenta l’accesso agli endpoint FIPS necessari. *Per ulteriori informazioni, consulta [Accedere a una risorsa tramite un endpoint VPC di risorse nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html). AWS PrivateLink *
+ Se il cluster utilizza una sottorete con [PrivateLink](vpc-interface-endpoints.md), il recupero delle immagini avrà esito negativo perché gli endpoint FIPS di Amazon ECR non sono disponibili tramite. PrivateLink

## Creare un gruppo di nodi gestiti con un’AMI Bottlerocket FIPS
<a name="_create_a_managed_node_group_with_a_bottlerocket_fips_ami"></a>

L'AMI FIPS Bottlerocket è disponibile in quattro varianti per supportare i tuoi carichi di lavoro:
+  `BOTTLEROCKET_x86_64_FIPS` 
+  `BOTTLEROCKET_ARM_64_FIPS` 
+  `BOTTLEROCKET_x86_64_NVIDIA_FIPS` 
+  `BOTTLEROCKET_ARM_64_NVIDIA_FIPS` 

Per creare un gruppo di nodi gestiti con un’AMI FIPS Bottlerocket, seleziona il tipo di AMI applicabile durante il processo di creazione. Per ulteriori informazioni, consulta [Creare un gruppo di nodi gestiti per il cluster](create-managed-node-group.md).

Per ulteriori informazioni sulla scelta delle varianti compatibili con FIPS, consulta [Recupero degli ID AMI Bottlerocket consigliati](retrieve-ami-id-bottlerocket.md).

## Disabilita l'endpoint FIPS per le regioni non supportate AWS
<a name="disable_the_fips_endpoint_for_non_supported_shared_aws_regions"></a>

I FIPS Bottlerocket AMIs sono supportati direttamente negli Stati Uniti d'America, comprese le regioni AWS GovCloud (Stati Uniti). Per AWS le regioni in cui AMIs sono disponibili ma non supportate direttamente, puoi comunque utilizzarle creando un gruppo di nodi gestito con un modello di avvio. AMIs 

L’AMI FIPS Bottlerocket si basa sull’endpoint FIPS Amazon ECR durante il bootstrap, che generalmente non è disponibile al di fuori degli Stati Uniti. Per utilizzare l'AMI per il suo kernel FIPS in AWS regioni in cui non è disponibile l'endpoint FIPS Amazon ECR, procedi nel seguente modo per disabilitare l'endpoint FIPS:

1. Crea un nuovo file di configurazione con il contenuto seguente o incorpora il contenuto nel file di configurazione esistente.

```
[default]
use_fips_endpoint=false
```

1. Codifica il contenuto del file nel formato Base64.

1. Nel campo `UserData` del modello di avvio, aggiungi la seguente stringa codificata usando il formato TOML:

```
[settings.aws]
config = "<your-base64-encoded-string>"
```

[Per altre impostazioni, consulta la descrizione delle impostazioni su di Bottlerocket.](https://github.com/bottlerocket-os/bottlerocket?tab=readme-ov-file#description-of-settings) GitHub

Ecco un esempio di `UserData` in un modello di avvio:

```
[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>
```

Per ulteriori informazioni sulla creazione di un modello di avvio con i dati utente, consulta [Personalizzazione dei nodi gestiti con modelli di avvio](launch-templates.md).