**Ajudar a melhorar esta página**
Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.
# Criar um cluster do Amazon EKS
**nota**
Este tópico aborda a criação de clusters do Amazon EKS sem o modo automático do EKS.
Para obter instruções detalhadas sobre como criar um cluster do Modo Automático do EKS, consulte [Criar um cluster do Modo Automático do Amazon EKS](create-cluster-auto.md).
Para começar a usar o Modo Automático do EKS, consulte [Conceitos básicos do Amazon EKS \$1 Modo Automático do EKS](getting-started-automode.md).
Este tópico dá uma visão geral das opções disponíveis e descreve o que deve ser considerado ao criar um cluster do Amazon EKS. Se você precisar criar um cluster com a infraestrutura on-premises como a computação para nós, consulte [Criar um cluster do Amazon EKS com nós híbridos](hybrid-nodes-cluster-create.md). Se esta for a primeira vez que você cria um cluster do Amazon EKS, recomendamos que siga um de nossos guias em [Começar a usar o Amazon EKS](getting-started.md). Esses guias ajudam a criar um cluster simples e padrão sem expandir para todas as opções que estão disponíveis.
## Pré-requisitos
+ Uma VPC e sub-redes existentes que atendem aos [requisitos do Amazon EKS](network-reqs.md). Antes de implantar um cluster para uso em ambientes de produção, convém ter uma compreensão integral dos requisitos da VPC e da sub-rede. Se você não tiver um VPC e sub-redes, poderá criá-los usando um [modelo do Amazon EKS fornecido pelo AWS CloudFormation](creating-a-vpc.md).
+ A ferramenta da linha de comando `kubectl` está instalada no seu dispositivo ou no AWS CloudShell. A versão pode ser a mesma ou até uma versão secundária anterior ou posterior à versão do Kubernetes do seu cluster. Para instalar ou atualizar o `kubectl`, consulte [Configurar o `kubectl` e o `eksctl`](install-kubectl.md).
+ Versão `2.12.3` ou posterior ou versão `1.27.160` ou posterior da AWS Command Line Interface (AWS CLI) instalada e configurada no seu dispositivo ou no AWS CloudShell. Para verificar sua versão atual, use `aws --version | cut -d / -f2 | cut -d ' ' -f1`. Os gerenciadores de pacotes, como `yum`, `apt-get` ou Homebrew para macOS, geralmente estão várias versões atrás da versão mais recente da AWS CLI. Para instalar a versão mais recente, consulte [Installing](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) e [Quick configuration with aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config), no *Guia do usuário da AWS Command Line Interface*. A versão da AWS CLI instalada no AWS CloudShell também pode estar várias versões atrás da versão mais recente. Para atualizá-lo, consulte [Instalar a AWS CLI no seu diretório pessoal](https://docs.aws.amazon.com/cloudshell/latest/userguide/vm-specs.html#install-cli-software), no * Guia do usuário do AWS CloudShell*.
+ Uma [entidade principal do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) com permissões para `create` e `describe` um cluster do Amazon EKS. Para obter mais informações, consulte [Criar um cluster local do Kubernetes em um Outpost](security-iam-id-based-policy-examples.md#policy-create-local-cluster) e [Listar ou descrever todos os clusters](security-iam-id-based-policy-examples.md#policy-example2).
## Etapa 1: Criar perfil IAM de cluster
1. Se já tiver um perfil do IAM de cluster ou se for criar seu cluster com `eksctl`, você poderá ignorar essa etapa. Por padrão, `eksctl` cria um perfil para você.
1. Execute o comando a seguir para criar um arquivo JSON de política de confiança do IAM:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Crie o perfil do IAM do cluster do Amazon EKS. Se necessário, prefixe *eks-cluster-role-trust-policy.json* com o caminho no computador no qual você gravou o arquivo na etapa anterior. O comando associa a política de confiança criada na etapa anterior à função. Para criar um perfil do IAM, a [entidade principal do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que estiver criando o perfil deverá ser atribuída à seguinte ação `iam:CreateRole` (permissão):
```
aws iam create-role --role-name myAmazonEKSClusterRole --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"
```
1. Você pode atribuir a política gerenciada do Amazon EKS ou criar sua própria política personalizada. Para obter as permissões mínimas que você deve usar em sua política personalizada, consulte [Função do IAM do cluster do Amazon EKS](cluster-iam-role.md).
Anexe a política gerenciada do Amazon EKS chamada [AmazonEKSClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html#AmazonEKSClusterPolicy-json) à perfil. Para anexar uma política do IAM a uma [entidade principal do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) a entidade principal do IAM que está anexando a política deve receber uma das seguintes ações do IAM (permissões): `iam:AttachUserPolicy` ou `iam:AttachRolePolicy`.
```
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy --role-name myAmazonEKSClusterRole
```
### Perfil vinculado ao serviço
O Amazon EKS cria automaticamente um perfil vinculado ao serviço chamado `AWSServiceRoleForAmazonEKS`.
Isso é adicional ao perfil do IAM do cluster. A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Amazon EKS. O perfil permite que o Amazon EKS gerencie clusters em sua conta. Para obter mais informações, consulte [Usar funções para clusters do Amazon EKS](using-service-linked-roles-eks.md).
A identidade do IAM que você usa para criar o cluster do EKS deve ter permissão para criar o perfil vinculado ao serviço. Isso inclui a permissão `iam:CreateServiceLinkedRole`.
Caso o perfil vinculado ao serviço não exista e seu perfil do IAM atual não tenha permissões suficientes para criá-lo, a operação de criação do cluster apresentará falhas.
## Etapa 2: Criar cluster
Você pode criar um cluster usando:
+ [`eksctl`](#step2-eksctl)
+ [o Console de gerenciamento da AWS](#step2-console)
+ [a AWS CLI](#step2-cli)
### Criar cluster - eksctl
1. Você precisa da versão `0.215.0` ou posterior da ferramenta de linha de comando da `eksctl` instalada no seu dispositivo ou AWS CloudShell. Para instalar ou atualizar o `eksctl`, consulte [Instalação](https://eksctl.io/installation) na documentação do `eksctl`.
1. Crie um cluster `IPv4` do Amazon EKS com a versão padrão do Kubernetes para Amazon EKS em sua região padrão da AWS. Antes da execução do comando, realize as seguintes substituições:
1. Substitua *region-code* pela região AWS na qual você deseja criar o cluster.
1. Substitua *my-cluster* por um nome para seu cluster. O nome só pode conter caracteres alfanuméricos (sensíveis a maiúsculas e minúsculas) e hifens. Ele deve começar com um caractere alfanumérico e não pode ter mais de 100 caracteres. O nome deve ser exclusivo na região da AWS e na conta da AWS em que você está criando o cluster.
1. Substitua *1.35* por qualquer [versão compatível do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html).
1. Altere os valores para `vpc-private-subnets` para atender às suas necessidades. Também é possível adicionar outras IDs. Você deve especificar pelo menos dois IDs de sub-rede. Se preferir especificar sub-redes públicas, poderá alterar `--vpc-private-subnets` para `--vpc-public-subnets`. Sub-redes públicas têm uma tabela de rotas associada a uma rota para um gateway da Internet, mas sub-redes privadas não têm tabelas de rotas associadas. Convém utilizar sub-redes privadas sempre que possível.
As sub-redes escolhidas devem atender aos [Requisitos para sub-redes do Amazon EKS](network-reqs.md#network-requirements-subnets). Antes de selecionar sub-redes, convém estar familiarizado com todos os [Requisitos e considerações sobre VPCs e sub-redes do Amazon EKS](network-reqs.md).
1. Execute o seguinte comando:
```
eksctl create cluster --name my-cluster --region region-code --version 1.35 --vpc-private-subnets subnet-ExampleID1,subnet-ExampleID2 --without-nodegroup
```
O provisionamento de cluster leva alguns minutos. Durante a criação do cluster, várias linhas de saída são exibidas. A última linha do resultado é semelhante ao exemplo de linha a seguir.
```
[✓] EKS cluster "my-cluster" in "region-code" region is ready
```
1. Continue com [Etapa 3: atualizar o kubeconfig](#step3)
#### Configurações opcionais
Para ver a maioria das opções que podem ser especificadas ao criar um cluster com `eksctl`, use o comando `eksctl create cluster --help`. Para ver todas as opções disponíveis, é possível utilizar um arquivo `config`. Para obter mais informações, consulte [Uso dos arquivos de configuração](https://eksctl.io/usage/creating-and-managing-clusters/#using-config-files) e o [esquema de arquivo de configuração](https://eksctl.io/usage/schema/) na documentação do `eksctl`. Você pode encontrar [exemplos de arquivos de configuração](https://github.com/weaveworks/eksctl/tree/master/examples) no GitHub.
Veja a seguir as configurações opcionais que, se necessário, devem ser adicionadas ao comando anterior. Apenas é possível habilitar essas opções ao criar o cluster, e não depois. Se precisar especificar essas opções, você deverá criar o cluster com um [arquivo de configuração eksctl](https://eksctl.io/usage/creating-and-managing-clusters/#using-config-files) e especificar as configurações, em vez de usar o comando anterior.
+ Se você quiser especificar um ou mais grupos de segurança que o Amazon EKS atribui às interfaces de rede que ele cria, especifique a opção [securityGroup](https://eksctl.io/usage/schema/#vpc-securityGroup).
Independentemente de você escolher algum grupo de segurança, o Amazon EKS cria um grupo de segurança que permite comunicação entre seu cluster e sua VPC. O Amazon EKS associa esse grupo de segurança, e qualquer um que você escolher, às interfaces de rede que ele cria. Para saber mais sobre o grupo de segurança de cluster criado pelo Amazon EKS, consulte [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md). É possível modificar as regras no grupo de segurança do cluster criado pelo Amazon EKS.
+ Se quiser especificar de qual bloco `IPv4` de Encaminhamento Entre Domínios Sem Classificação (CIDR) o Kubernetes atribui endereços IP de serviço, especifique a opção [serviceIPv4CIDR](https://eksctl.io/usage/schema/#kubernetesNetworkConfig-serviceIPv4CIDR).
Especificar seu próprio intervalo pode ajudar a evitar conflitos entre serviços do Kubernetes e outras redes com emparelhamento ou conectadas à VPC. Insira um intervalo em notação CIDR. Por exemplo: `10.2.0.0/16`.
O bloco CIDR deve atender aos seguintes requisitos:
+ Estar dentro de um dos seguintes intervalos: `10.0.0.0/8`, `172.16.0.0/12` ou `192.168.0.0/16`.
+ Ter um tamanho mínimo de `/24` e máximo de `/12`.
+ Não se sobrepor ao intervalo da VPC para seus recursos do Amazon EKS.
Apenas é possível especificar essa opção ao utilizar a família de endereços `IPv4` e somente ao criar o cluster. Se isso não for especificado, o Kubernetes atribuirá endereços IP de serviço de qualquer um dos blocos CIDR `10.100.0.0/16` ou `172.20.0.0/16`.
+ Se estiver criando um cluster e quiser que ele atribua endereços `IPv6` a pods e serviços em vez de endereços `IPv4`, especifique a opção [ipFamily](https://eksctl.io/usage/schema/#kubernetesNetworkConfig-ipFamily).
Por padrão, o Kubernetes atribui endereços `IPv4` aos pods e serviços. Antes de optar por utilizar a família `IPv6`, familiarize-se com todas as considerações e requisitos nos tópicos [Requisitos e considerações para VPCs](network-reqs.md#network-requirements-vpc), [Requisitos e considerações para sub-redes](network-reqs.md#network-requirements-subnets), [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md) e [Saiba mais sobre endereços IPv6 para clusters, pods e serviços](cni-ipv6.md). Caso escolha a família `IPv6`, você não poderá especificar um intervalo de endereços para o Kubernetes atribuir endereços de serviço `IPv6` da mesma forma que faz para a família `IPv4`. O Kubernetes atribui endereços de serviço do intervalo exclusivo de endereços locais (`fc00::/7`).
### Criar cluster - AWS console
1. Abra o [console do Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Escolha **Add cluster** (Adicionar cluster) e, em seguida, **Create** (Criar).
1. Em **Opções de configuração**, selecione **Configuração personalizada**.
+ Para obter informações sobre como criar rapidamente um cluster com o Modo Automático do EKS, consulte [Criar um cluster do Modo Automático do EKS com o Console de gerenciamento da AWS](automode-get-started-console.md).
1. Em **Modo Automático do EKS**, desative a opção **Usar Modo Automático do EKS**.
+ Para obter informações sobre como criar um cluster do Modo Automático do EKS com configuração personalizada, consulte [Criar um cluster do Modo Automático do Amazon EKS](create-cluster-auto.md).
1. Na página **Configure cluster** (Configurar cluster), preencha os seguintes campos:
+ **Name** (Nome): um nome exclusivo para o cluster. O nome pode conter apenas caracteres alfanuméricos (diferencia maiúsculas de minúsculas), hifens e sublinhados. Ele deve começar com um caractere alfanumérico e não pode ter mais de 100 caracteres. O nome deve ser exclusivo na região da AWS e na conta da AWS em que você está criando o cluster.
+ **Perfil do IAM do cluster**: escolha o perfil do IAM do cluster do Amazon EKS que você criou para permitir que o ambiente de gerenciamento do Kubernetes gerencie os recursos da AWS em seu nome.
+ **Kubernetes version (Versão do Kubernetes)** – a versão do Kubernetes a ser usada para o cluster. Recomendamos que você selecione a versão mais recente, a menos que precise de uma versão anterior.
+ **Tipo de suporte**: a política de versão do Kubernetes que você deseja definir para o cluster. Se desejar que seu cluster seja executado somente em uma versão com suporte padrão, escolher **Suporte padrão** é uma opção possível. Se desejar que seu cluster entre no suporte estendido ao final do suporte padrão para uma versão, escolha **Suporte estendido**. Caso selecione uma versão do Kubernetes que esteja atualmente com suporte estendido, você não poderá selecionar o suporte padrão como opção.
+ **Secrets encryption** (Criptografia de segredos): (Opcional) Escolha habilitar a criptografia de segredos do Kubernetes usando uma chave do KMS. Também é possível isso depois de criar o cluster. Antes de habilitar esse recurso, familiarize-se com as informações em [Criptografar segredos do Kubernetes com o KMS em clusters existentes](enable-kms.md).
+ **Tags** (Etiquetas) – (opcional) adicione etiquetas ao cluster. Para obter mais informações, consulte [Organizar recursos do Amazon EKS com tags](eks-using-tags.md).
+ **Mudança de zona do ARC**: (opcional) você pode usar o Controlador de Recuperação de Aplicações do Route 53 para mitigar zonas de disponibilidade prejudicadas. Para obter mais informações, consulte [Saiba mais sobre a mudança de zona do Controlador de Recuperação de Aplicações da Amazon (ARC, na sigla em inglês) no Amazon EKS](zone-shift.md).
1. Na seção **Acesso ao cluster** da página de configuração do cluster, preencha os seguintes campos:
+ **Inicialização do acesso de administrador do cluster**: o criador do cluster é automaticamente um administrador do Kubernetes. Caso deseje desabilitar essa opção, selecione **Desabilitar acesso de administrador ao cluster**.
+ **Modo de autenticação do cluster**: determine como você deseja conceder aos usuários e perfis do IAM acesso às APIs do Kubernetes. Para obter mais informações, consulte [Definir modo de autenticação do cluster](grant-k8s-access.md#set-cam).
Após terminar com essa página, escolha **Próximo**.
1. Na página **Specify networking** (Especificar redes), selecione valores para os seguintes campos:
+ **VPC**: escolha uma VPC existente que atenda aos [Requisitos de VPC do Amazon EKS](network-reqs.md#network-requirements-vpc) na qual criar o cluster. Antes de escolher uma VPC, recomendamos familiarizar-se com todos os requisitos e considerações em [Exibir os requisitos de rede do Amazon EKS para VPC e sub-redes](network-reqs.md). Não será possível alterar quais VPCs você deseja utilizar depois de criar o cluster. Se nenhuma VPC estiver listada, você precisará criar uma primeiro. Para obter mais informações, consulte [Criar uma Amazon VPC para o cluster do Amazon EKS](creating-a-vpc.md).
+ **Subnets** (Sub-redes): por padrão, as sub-redes disponíveis na VPC especificada no campo anterior são pré-selecionadas. É necessário selecionar pelo menos duas.
As sub-redes escolhidas devem atender aos [Requisitos para sub-redes do Amazon EKS](network-reqs.md#network-requirements-subnets). Antes de selecionar sub-redes, convém estar familiarizado com todos os [Requisitos e considerações sobre VPCs e sub-redes do Amazon EKS](network-reqs.md).
**Security groups** (Grupos de segurança) (Opcional): especifique um ou mais grupos de segurança que você deseja que o Amazon EKS associe às interfaces de rede que ele cria.
Independentemente de você escolher algum grupo de segurança, o Amazon EKS cria um grupo de segurança que permite comunicação entre seu cluster e sua VPC. O Amazon EKS associa esse grupo de segurança, e qualquer um que você escolher, às interfaces de rede que ele cria. Para saber mais sobre o grupo de segurança de cluster criado pelo Amazon EKS, consulte [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md). É possível modificar as regras no grupo de segurança do cluster criado pelo Amazon EKS.
+ **Escolher família de endereços IP do cluster**: é possível escolher **IPv4** e **IPv6**.
Por padrão, o Kubernetes atribui endereços `IPv4` aos pods e serviços. Antes de decidir usar a família `IPv6`, verifique se você está familiarizado com todas as considerações e requisitos dos tópicos [Requisitos e considerações da VPC](network-reqs.md#network-requirements-vpc), [Requisitos e considerações para sub-redes](network-reqs.md#network-requirements-subnets), [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md) e [Saiba mais sobre endereços IPv6 para clusters, pods e serviços](cni-ipv6.md). Caso escolha a família `IPv6`, você não poderá especificar um intervalo de endereços para o Kubernetes atribuir endereços de serviço `IPv6` da mesma forma que faz para a família `IPv4`. O Kubernetes atribui endereços de serviço do intervalo exclusivo de endereços locais (`fc00::/7`).
+ (Opcional) Escolha **Configurar intervalo de endereços IP do Kubernetes** e especifique um **Intervalo `IPv4` de serviços**.
Especificar seu próprio intervalo pode ajudar a evitar conflitos entre serviços do Kubernetes e outras redes com emparelhamento ou conectadas à VPC. Insira um intervalo em notação CIDR. Por exemplo: `10.2.0.0/16`.
O bloco CIDR deve atender aos seguintes requisitos:
+ Estar dentro de um dos seguintes intervalos: `10.0.0.0/8`, `172.16.0.0/12` ou `192.168.0.0/16`.
+ Ter um tamanho mínimo de `/24` e máximo de `/12`.
+ Não se sobrepor ao intervalo da VPC para seus recursos do Amazon EKS.
Apenas é possível especificar essa opção ao utilizar a família de endereços `IPv4` e somente ao criar o cluster. Se isso não for especificado, o Kubernetes atribuirá endereços IP de serviço de qualquer um dos blocos CIDR `10.100.0.0/16` ou `172.20.0.0/16`.
+ Para **Cluster endpoint access** (Acesso ao endpoint do cluster), selecione uma opção. Depois de criar o cluster, você poderá alterar essa opção. Antes de selecionar uma opção não padrão, familiarize-se com as opções e suas implicações. Para obter mais informações, consulte [Endpoint do servidor de API do cluster](cluster-endpoint.md).
Após terminar com essa página, escolha **Próximo**.
1. (Opcional) Na página **Configurar observabilidade**, escolha quais opções de **Métricas** e **Log do ambiente de gerenciamento** deseja ativar. Por padrão, o cada tipo de log está desativado.
+ Para obter mais informações sobre as opções de métricas do Prometheus, consulte [Etapa 1: ativar as métricas do Prometheus](prometheus.md#turn-on-prometheus-metrics).
+ Para obter mais informações sobre as opções do **Log do ambiente de gerenciamento**, consulte [Enviar logs do ambiente de gerenciamento para o CloudWatch Logs](control-plane-logs.md).
Após terminar com essa página, escolha **Próximo**.
1. Na página **Selecionar complementos**, escolha os complementos que você deseja adicionar ao cluster. Alguns complementos são pré-selecionados. Você pode escolher quantos **complementos do Amazon EKS** e ** do AWS Marketplace** desejar. Se os **complementos do AWS Marketplace** que você deseja instalar não estiverem listados, será possível clicar na numeração da página para visualizar resultados de páginas adicionais ou pesquisar os **complementos disponíveis no AWS Marketplace** inserindo algum texto na caixa de pesquisa. Você também poderá pesquisar por **categoria**, **fornecedor** ou **modelo de preços** e depois escolher os complementos nos resultados da pesquisa. Ao criar um cluster, é possível visualizar, selecionar e instalar qualquer complemento que ofereça suporte às Identidade de Pods do EKS, conforme detalhado em [Saiba como a Identidade de Pods do EKS concede aos pods acesso aos serviços da AWS](pod-identities.md).
Após terminar com essa página, escolha **Próximo**.
Alguns complementos, como Amazon VPC CNI, CoreDNS e kube-proxy, são instalados por padrão. Se você desabilitar qualquer um dos complementos padrão, isso poderá afetar sua capacidade de executar aplicações do Kubernetes.
1. Na página **Configurar opções de complementos selecionados**, selecione a versão que deseja instalar. Você sempre pode atualizar para uma versão posterior após a criação do cluster.
Para complementos com suporte para Identidade de Pods do EKS, é possível usar o console para gerar automaticamente o perfil com o nome, a política gerenciada pela AWS e a política de confiança pré-preenchidos especificamente para o complemento. É possível reutilizar perfis existentes ou criar novos perfis para complementos com suporte. Para obter as etapas de uso do console para criar perfis para complementos que ofereçam suporte às Identidades de Pods do EKS, consulte [Criar complemento (console do AWS)](creating-an-add-on.md#create_add_on_console). Se um complemento não oferecer suporte à Identidade de Pods do EKS, uma mensagem será exibida com instruções para usar o assistente para criar os perfis do IAM para contas de serviço (IRSA) após a criação do cluster.
Você pode atualizar a configuração de cada complemento após a criação do cluster. Para obter mais informações sobre a configuração de complementos, consulte [Atualizar um complemento do Amazon EKS](updating-an-add-on.md). Após terminar com essa página, escolha **Próximo**.
1. Na página **Review and create (Revisar e criar)**, revise as informações que você inseriu ou selecionou nas páginas anteriores. Se precisar fazer alterações, escolha **Edit** (Editar). Quando estiver satisfeito, escolha **Criar**. O campo **Status** mostra o campo **CREATING** (Criando) enquanto o cluster é provisionado.
**nota**
Talvez você receba um erro porque uma das zonas de disponibilidade em sua solicitação não tem capacidade suficiente para criar um cluster do Amazon EKS. Se isso acontecer, o resultado do erro conterá as zonas de disponibilidade que são compatíveis com o novo cluster. Tente criar o cluster com pelo menos duas sub-redes que estejam localizadas nas zonas de disponibilidade compatíveis de sua conta. Para obter mais informações, consulte [Capacidade insuficiente](troubleshooting.md#ice).
O provisionamento de cluster leva alguns minutos.
1. Continue com [Etapa 3: atualizar o kubeconfig](#step3)
### Crar cluster: AWS CLI
1. Crie o cluster usando o comando a seguir. Antes da execução do comando, realize as seguintes substituições:
+ Substitua *region-code* pela região AWS na qual você deseja criar o cluster.
+ Substitua *my-cluster* por um nome para seu cluster. O nome pode conter apenas caracteres alfanuméricos (diferencia maiúsculas de minúsculas), hifens e sublinhados. Ele deve começar com um caractere alfanumérico e não pode ter mais de 100 caracteres. O nome deve ser exclusivo na região da AWS e na conta da AWS em que você está criando o cluster.
+ Substitua *1.35* por qualquer [versão compatível do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html).
+ Substitua *111122223333* pelo ID da sua conta e *myAmazonEKSClusterRole* pelo nome do perfil IAM do cluster.
+ Substitua os valores de `subnetIds` pelos seus próprios valores. Também é possível adicionar outras IDs. Você deve especificar pelo menos dois IDs de sub-rede.
As sub-redes escolhidas devem atender aos [Requisitos para sub-redes do Amazon EKS](network-reqs.md#network-requirements-subnets). Antes de selecionar sub-redes, convém estar familiarizado com todos os [Requisitos e considerações sobre VPCs e sub-redes do Amazon EKS](network-reqs.md).
+ Se não quiser especificar um ID de grupo de segurança, remova `,securityGroupIds=sg-` do comando. Se quiser especificar um ou mais IDs de grupo de segurança, substitua os valores de `securityGroupIds` pelos seus próprios. Também é possível adicionar outras IDs.
Independentemente de você escolher algum grupo de segurança, o Amazon EKS cria um grupo de segurança que permite comunicação entre seu cluster e sua VPC. O Amazon EKS associa esse grupo de segurança, e qualquer um que você escolher, às interfaces de rede que ele cria. Para saber mais sobre o grupo de segurança de cluster criado pelo Amazon EKS, consulte [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md). É possível modificar as regras no grupo de segurança do cluster criado pelo Amazon EKS.
```
aws eks create-cluster --region region-code --name my-cluster --kubernetes-version 1.35 \
--role-arn arn:aws:iam::111122223333:role/myAmazonEKSClusterRole \
--resources-vpc-config subnetIds=subnet-ExampleID1,subnet-ExampleID2,securityGroupIds=sg-ExampleID1
```
**nota**
Talvez você receba um erro porque uma das zonas de disponibilidade em sua solicitação não tem capacidade suficiente para criar um cluster do Amazon EKS. Se isso acontecer, o resultado do erro conterá as zonas de disponibilidade que são compatíveis com o novo cluster. Tente criar o cluster com pelo menos duas sub-redes que estejam localizadas nas zonas de disponibilidade compatíveis de sua conta. Para obter mais informações, consulte [Capacidade insuficiente](troubleshooting.md#ice).
Veja a seguir as configurações opcionais que, se necessário, devem ser adicionadas ao comando anterior. Apenas é possível habilitar essas opções ao criar o cluster, e não depois.
+ Por padrão, o EKS instala vários complementos de rede durante a criação do cluster. Isso inclui o Amazon VPC CNI, o CoreDNS e o kube-proxy.
Se você quiser desabilitar a instalação desses complementos de rede padrão, use o parâmetro abaixo. Essa opção poderá ser usada para CNIs alternativos, como Cilium. Para obter mais informações, confira a [API Reference do EKS](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html).
`aws eks create-cluster --no-bootstrap-self-managed-addons …`
+ Se quiser especificar de qual bloco de Encaminhamento Entre Domínios Sem Classificação (CIDR) `IPv4` o Kubernetes atribui endereços IP de serviço, será necessário especificá-lo adicionando `--kubernetes-network-config serviceIpv4Cidr=` ao comando a seguir.
Especificar seu próprio intervalo pode ajudar a evitar conflitos entre serviços do Kubernetes e outras redes com emparelhamento ou conectadas à VPC. Insira um intervalo em notação CIDR. Por exemplo: `10.2.0.0/16`.
O bloco CIDR deve atender aos seguintes requisitos:
+ Estar dentro de um dos seguintes intervalos: `10.0.0.0/8`, `172.16.0.0/12` ou `192.168.0.0/16`.
+ Ter um tamanho mínimo de `/24` e máximo de `/12`.
+ Não se sobrepor ao intervalo da VPC para seus recursos do Amazon EKS.
Apenas é possível especificar essa opção ao utilizar a família de endereços `IPv4` e somente ao criar o cluster. Se isso não for especificado, o Kubernetes atribuirá endereços IP de serviço de qualquer um dos blocos CIDR `10.100.0.0/16` ou `172.20.0.0/16`.
+ Se estiver criando um cluster e quiser que o cluster atribua endereços `IPv6` a pods e serviços em vez de endereços `IPv4`, adicione `--kubernetes-network-config ipFamily=ipv6` ao comando a seguir.
Por padrão, o Kubernetes atribui endereços `IPv4` aos pods e serviços. Antes de decidir usar a família `IPv6`, verifique se você está familiarizado com todas as considerações e requisitos dos tópicos [Requisitos e considerações da VPC](network-reqs.md#network-requirements-vpc), [Requisitos e considerações para sub-redes](network-reqs.md#network-requirements-subnets), [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md) e [Saiba mais sobre endereços IPv6 para clusters, pods e serviços](cni-ipv6.md). Caso escolha a família `IPv6`, você não poderá especificar um intervalo de endereços para o Kubernetes atribuir endereços de serviço `IPv6` da mesma forma que faz para a família `IPv4`. O Kubernetes atribui endereços de serviço do intervalo exclusivo de endereços locais (`fc00::/7`).
1. Leva alguns minutos para provisionar o cluster. Você pode consultar o status do cluster com o comando a seguir.
```
aws eks describe-cluster --region region-code --name my-cluster --query "cluster.status"
```
Não prossiga para a próxima etapa até que a saída recebida esteja `ACTIVE`.
1. Continue com [Etapa 3: atualizar o kubeconfig](#step3)
## Etapa 3: atualizar o kubeconfig
1. Se você criou seu cluster usando `eksctl`, pode ignorar esta etapa. Isso ocorre porque `eksctl` já concluiu essa etapa para você. Habilite o `kubectl` para se comunicar com o cluster adicionando um novo contexto ao arquivo `kubectl` `config`. Para obter mais informações sobre como criar e atualizar o arquivo, consulte [Conecte o kubectl a um cluster de EKS criando um arquivo kubeconfig](create-kubeconfig.md).
```
aws eks update-kubeconfig --region region-code --name my-cluster
```
Veja um exemplo de saída abaixo.
```
Added new context arn:aws:eks:region-code:111122223333:cluster/my-cluster to /home/username/.kube/config
```
1. Confirme a comunicação com o cluster, executando o seguinte comando:
```
kubectl get svc
```
Veja abaixo um exemplo de saída.
```
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.100.0.1 443/TCP 28h
```
## Etapa 4: configuração do cluster
1. (Recomendado) Para usar alguns complementos do Amazon EKS ou para permitir que workloads individuais do Kubernetes tenham permissões específicas do AWS Identity and Access Management (IAM), [crie um provedor OpenID Connect (OIDC) do IAM](enable-iam-roles-for-service-accounts.md) para o cluster. Você só precisa criar um provedor OIDC do IAM para o cluster uma vez. Para saber mais sobre os complementos do Amazon EKS, consulte [Complementos do Amazon EKS](eks-add-ons.md). Para saber mais sobre a atribuição de permissões específicas do IAM às workloads, consulte [Funções do IAM para contas de serviço](iam-roles-for-service-accounts.md).
1. (Recomendado) Configure o cluster para o plug-in CNI da Amazon VPC para Kubernetes antes de implantar nós do Amazon EC2 no cluster. Por padrão, o plugin foi instalado com o seu cluster. Quando nós do Amazon EC2 são adicionados ao cluster, o plugin é implantado automaticamente em cada nó do Amazon EC2 que você adicionar. O plugin requer a anexação de uma das seguintes políticas do IAM a um perfil do IAM. Se o seu cluster usar a família `IPv4`, use a política do IAM gerenciada [AmazonEKS\$1CNI\$1Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html). Se o seu cluster usar a família `IPv6`, use uma [política do IAM criada por você](cni-iam-role.md#cni-iam-role-create-ipv6-policy).
O perfil do IAM ao qual a política é anexada pode ser o perfil do IAM do nó ou um perfil dedicado utilizado apenas para o plugin. Convém anexar a política a esse perfil. Para obter mais informações sobre como criar o perfil, consulte [Configurar o plug-in CNI da Amazon VPC para usar IRSA](cni-iam-role.md) ou [perfil do IAM de nó do Amazon EKS](create-node-role.md).
1. Se você implantou seu cluster usando o Console de gerenciamento da AWS, pode ignorar esta etapa. O Console de gerenciamento da AWS implanta os complementos CoreDNS, plug-in CNI da Amazon VPC para Kubernetes e `kube-proxy` do Amazon EKS por padrão.
Se você implementar o cluster usando o `eksctl` ou a AWS CLI, os complementos autogerenciados `kube-proxy`, CoreDNS e plug-in CNI da Amazon VPC para Kubernetes e serão implantados. É possível migrar os complementos autogerenciados `kube-proxy`, CoreDNS e plug-in CNI da Amazon VPC para Kubernetes que são implantados com o cluster, para complementos do Amazon EKS. Para obter mais informações, consulte [Complementos do Amazon EKS](eks-add-ons.md).
1. (Opcional) Se ainda não fez isso, você poderá habilitar as métricas do Prometheus para o cluster. Para obter mais informações, consulte [Criar um extrator](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-collector-how-to.html#AMP-collector-create) no *Guia do usuário do Amazon Managed Service for Prometheus*.
1. Caso planeje implementar workloads no cluster que usem volumes do Amazon EBS, você deverá instalar a [CSI do Amazon EBS](ebs-csi.md) no cluster antes de implementar as workloads.
## Próximas etapas
+ A [entidade principal do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que criou o cluster é a única que tem acesso ao cluster. [Conceda permissões a outras entidades principais do IAM](grant-k8s-access.md) para que elas possam acessar o cluster.
+ Se a entidade principal do IAM que criou o cluster tiver apenas as permissões mínimas do IAM referenciadas nos pré-requisitos, então talvez seja interessante adicionar mais permissões do Amazon EKS a essa entidade principal. Para obter mais informações sobre como conceder permissões do Amazon EKS a entidades principais do IAM, consulte [Identity and Access Management para o Amazon EKS](security-iam.md).
+ Se quiser que a entidade principal do IAM que criou o cluster, ou qualquer outra entidade principal, visualize os recursos do Kubernetes no console do Amazon EKS, conceda as [permissões necessárias](view-kubernetes-resources.md#view-kubernetes-resources-permissions) às entidades.
+ Se quiser que os nós e as entidades principais do IAM acessem o cluster do dentro da VPC, habilite o endpoint privado do seu cluster. Por padrão, o endpoint público está habilitado. É possível desativar o endpoint público depois de habilitar o endpoint privado, se desejado. Para obter mais informações, consulte [Endpoint do servidor de API do cluster](cluster-endpoint.md).
+ [Habilitar a criptografia de segredos para o seu cluster](enable-kms.md).
+ [Configurar o registro em log para o seu cluster](control-plane-logs.md).
+ [Adicionar nós ao seu cluster](eks-compute.md).