Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Criar nós autogerenciados do Amazon Linux

PDF
RSS
Modo de foco
Criar nós autogerenciados do Amazon Linux - Amazon EKS
eksctlAWS Management Console

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Este tópico descreve como iniciar grupos do Auto Scaling de nós do Linux que são registrados no cluster do Amazon EKS. Depois que os nós ingressam no cluster, você pode implantar aplicações do Kubernetes neles. Além disso, é possível iniciar nós autogerenciados do Amazon Linux ao usar eksctl ou o AWS Management Console. Se você precisar lançar nós em AWS Outposts, consulte Criar nós Amazon Linux no AWS Outposts.

  • Um cluster existente do Amazon EKS. Para implantar, consulte Criar um cluster do Amazon EKS.. Se você tiver sub-redes na região AWS em que AWS Outposts, AWS Wavelength ou AWS Local Zones estiverem ativados, essas sub-redes não devem ter sido passadas quando você criou o cluster.

  • Um perfil do IAM existente para os nós usarem. Para criar uma, consulte Perfil do IAM em nós do Amazon EKS. Se essa função não tiver nenhuma das políticas da VPC CNI, a função separada a seguir será necessária para os pods da VPC CNI.

  • (Opcional, mas recomendado) O complemento plug-in CNI da Amazon VPC para Kubernetes configurado com o seu próprio perfil do IAM que tem a política do IAM necessária anexada a ele. Para ter mais informações, consulte Configurar o plug-in CNI da Amazon VPC para usar IRSA.

  • Familiaridade com as considerações listadas em Escolher um tipo de instância de nó ideal do Amazon EC2. Dependendo do tipo de instância que você escolher, pode ser que haja pré-requisitos adicionais para o seu cluster e VPC.

Você pode iniciar nós do Linux autogerenciados usando uma das seguintes opções:

eksctl

Iniciar nós autogerenciados do Linux usando eksctl

  1. Instale a versão 0.205.0 ou posterior da ferramenta de linha de comando da eksctl instalada no seu dispositivo ou AWS CloudShell. Para instalar ou atualizar o eksctl, consulte Instalação na documentação do eksctl.

  2. (Opcional) Se a política gerenciada do IAM AmazonEKS_CNI_Policy estiver anexada ao perfil do IAM do nó do Amazon EKS, recomendamos atribuí-la a um perfil do IAM associado à conta de serviço do aws-node do Kubernetes. Para ter mais informações, consulte Configurar o plug-in CNI da Amazon VPC para usar IRSA.

  3. O comando a seguir cria um grupo de nós em um cluster existente. Substitua al-nodes por um nome para o grupo de nós. O nome do grupo de nós não pode exceder 63 caracteres. Deve começar com uma letra ou um dígito, mas pode incluir hifens e sublinhados para os demais caracteres. Substitua my-cluster pelo nome do cluster. O nome só pode conter caracteres alfanuméricos (sensíveis a maiúsculas e minúsculas) e hifens. Ele deve começar com um caractere alfanumérico e não pode ter mais de 100 caracteres. O nome deve ser exclusivo na região da AWS e na conta da AWS em que você está criando o cluster. Substitua o valor de exemplo restante por seus próprios valores. Os nós são criados com a mesma versão do Kubernetes que o plano de controle, por padrão.

    Antes de escolher um valor para --node-type, revise Escolher um tipo ideal de instância de nó do Amazon EC2.

    Substitua my-key pelo nome do seu par de chaves ou chave pública do Amazon EC2. Essa chave é usada para SSH em seus nós depois que eles forem iniciados. Se ainda não tiver um par de chaves do Amazon EC2, você poderá criar um no AWS Management Console. Para obter mais informações, consulte Pares de chaves do Amazon EC2, no Guia do usuário do Amazon EC2.

    Crie seu grupo de nós com o comando a seguir.

    Importante

    Se você quiser implantar um grupo de nós nas sub-redes AWS Outposts, Wavelength ou Local Zone, há outras considerações a serem feitas:

    eksctl create nodegroup \
  --cluster my-cluster \
  --name al-nodes \
  --node-type t3.medium \
  --nodes 3 \
  --nodes-min 1 \
  --nodes-max 4 \
  --ssh-access \
  --managed=false \
  --ssh-public-key my-key

    Para implantar um grupo de nós que:

  4. (Opcional) Implante uma aplicação de exemplo para testar o cluster e os nós do Linux.

  5. Recomendamos bloquear o acesso dos pods ao IMDS se as seguintes condições a forem verdadeiras:

    • Você planeja atribuir perfis do IAM a todas as suas contas de serviço do Kubernetes para que os pods tenham apenas as permissões mínimas de que precisam.

    • Nenhum pod no cluster exige acesso ao serviço de metadados de instância (IMDS) do Amazon EC2 por outros motivos, como recuperação da região atual da AWS.

    Para obter mais informações, consulte Restringir o acesso ao perfil da instância atribuído ao nó de processamento.

AWS Management Console

Etapa 1: iniciar nós autogerenciados do Linux usando AWS Management Console

  1. Baixe a versão mais recente do modelo do AWS CloudFormation.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml

  2. Aguarde até que o status do cluster seja exibido como ACTIVE. Se você executar os nós antes que o cluster esteja ativo, o registro dos nós no cluster falhará, e você terá de executá-los novamente.

  3. Abra o console do AWS CloudFormation.

  4. Selecione Create stack (Criar pilha) e With new resources (standard) (Com novos recursos, padrão).

  5. Para Specify template (Especificar modelo), selecione Upload a template file (Fazer upload de um arquivo de modelo) e depois Choose file (Escolher arquivo).

  6. Selecione o arquivo amazon-eks-nodegroup.yaml que você baixou.

  7. Escolha Próximo.

  8. Na página Specify stack details (Especificar detalhes da pilha), insira os parâmetros de acordo e escolha Next (Próximo):

    • Nome da pilha: escolha um nome para a pilha do AWS CloudFormation. Por exemplo, você pode chamá-lo de my-cluster-nodes. O nome só pode conter caracteres alfanuméricos (sensíveis a maiúsculas e minúsculas) e hifens. Ele deve começar com um caractere alfanumérico e não pode ter mais de 100 caracteres. O nome deve ser exclusivo na região da AWS e na conta da AWS em que você está criando o cluster.

    • ClusterName: insira o nome que você usou ao criar o cluster do Amazon EKS. Esse nome deve ser igual ao nome do cluster, ou seus nós não poderão ingressar no cluster.

    • ClusterControlPlaneSecurityGroup: Escolha o valor SecurityGroups da saída do AWS CloudFormation que você gerou ao criar sua VPC.

      As etapas a seguir mostram uma operação para recuperar o grupo aplicável.

      1. Abra o console do Amazon EKS.

      2. Escolha o nome do cluster.

      3. Escolha a guia Redes.

      4. Use o valor de Additional security group (Grupos de segurança adicionais) como referência ao selecionar na lista suspensa ClusterControlPlaneSecurityGroup.

    • NodeGroupName: insira um nome para o grupo de nós. Esse nome poderá ser usado superiormente para identificar o grupo de nós do Auto Scaling que for criado para os nós. O nome do grupo de nós não pode exceder 63 caracteres. Deve começar com uma letra ou um dígito, mas pode incluir hifens e sublinhados para os demais caracteres.

    • NodeAutoScalingGroupMinSize: digite o número mínimo de nós para o qual o grupo Auto Scaling de nós pode ser escalado.

    • NodeAutoScalingGroupDesiredCapacity: insira o número desejado de nós para o qual dimensionar quando a pilha for criada.

    • NodeAutoScalingGroupMaxSize: digite o número máximo de nós para o qual o grupo Auto Scaling de nós pode ser escalado.

    • NodeInstanceType: escolha um tipo de instância para os nós. Para ter mais informações, consulte Escolher um tipo de instância de nó do Amazon EC2 ideal.

    • NodeImageIdSSMParam: pré-preenchido com o parâmetro do Amazon EC2 Systems Manager de uma AMI recente otimizada para Amazon EKS, para uma versão variável do Kubernetes. Para usar uma versão secundária diferente do Kubernetes compatível com o Amazon EKS, substitua 1.XX por uma versão compatível diferente. Recomendamos especificar a mesma versão do Kubernetes que seu cluster.

      Você também pode substituir o amazon-linux-2 por um tipo diferente de AMI. Para ter mais informações, consulte Recuperar IDs de AMI do Amazon Linux recomendadas.

      nota

      As AMIs dos nós do Amazon EKS são baseadas no Amazon Linux. Você pode monitorar eventos de segurança ou privacidade para o Amazon Linux 2 no Centro de segurança do Amazon Linux ou fazendo a assinatura do feed RSS associado. Os eventos de segurança e privacidade incluem uma visão geral do problema, quais pacotes são afetadas e como atualizar suas instâncias para corrigir o problema.

    • NodeImageId: (opcional) se estiver usando sua própria AMI personalizada (em vez da AMI otimizada do Amazon EKS), insira um ID de AMI de nó para a região da AWS. Se você especificar um valor aqui, ele substituirá todos os valores no campo NodeImageIdSSMParam.

    • NodeVolumeSize: especifique um tamanho de volume raiz para os nós, em GiB.

    • NodeVolumeType: especifique um tipo de volume raiz para os nós.

    • KeyName: insira o nome de um par de chaves SSH do Amazon EC2; que você pode usar para conectar-se usando SSH em seus nós, depois de iniciados. Se ainda não tiver um par de chaves do Amazon EC2, você poderá criar um no AWS Management Console. Para obter mais informações, consulte Pares de chaves do Amazon EC2, no Guia do usuário do Amazon EC2.

      nota

      Se você não fornecer um par de chaves aqui, a criação da pilha do AWS CloudFormation falhará.

    • BootstrapArguments: especifique argumentos opcionais para passar para o script de bootstrap do nó, como argumentos kubelet adicionais. Para obter mais informações, consulte as informações de uso do script de inicialização no GitHub.

      Para implantar um grupo de nós que:

    • DisableIMDSv1: por padrão, cada nó oferece suporte ao serviço de metadados de instância versão 1 (IMDSv1) e IMDSv2. Você pode desabilitar IMDSv1. Para evitar que nós e pods futuros no grupo de nós usem o MDSv1, defina DisableIMDSv1 como true. Para obter mais informações, consulte Configuring the instance metadata service (Configurar o serviço de metadados de instância). Para obter mais informações sobre como restringir o acesso a ele em seus nós, consulte Restringir o acesso ao perfil da instância atribuído ao nó de processamento.

    • VpcId: insira o ID da VPC que você criou.

    • Sub-redes: escolha as sub-redes criadas para a sua VPC. Se você criou sua VPC usando as etapas descritas em Criar uma Amazon VPC para seu cluster do Amazon EKS, especifique apenas as sub-redes privadas dentro da VPC para que seus nós sejam iniciados. É possível ver quais sub-redes são privadas abrindo cada link de sub-rede na guia Networking (Redes) do cluster.

      Importante

      • Se alguma das sub-redes for pública, ela deverá ter a atribuição automática de atribuição de endereço IP público habilitada. Se a configuração não estiver habilitada para a sub-rede pública, os nós implantados nessa sub-rede pública não receberão um endereço IP público e não poderão se comunicar com o cluster nem com outros produtos da AWS. Se a sub-rede tiver sido implantada antes de 26 de março de 2020 usando um dos modelos de VPC do Amazon EKS AWS CloudFormation ou usando eksctl, a atribuição automática de endereço IP público estará desativada para sub-redes públicas. Para obter informações sobre como habilitar a atribuição de endereço IP público para uma sub-rede, consulte Modificar o atributo de endereçamento IPv4 público para a sub-rede. Se o nó for implantado em uma sub-rede privada, ele poderá se comunicar com o cluster e com outros produtos da AWS por um gateway NAT.

      • Se as sub-redes não tiverem acesso à Internet, certifique-se de estar ciente das considerações e etapas adicionais em Implantar clusters privados com acesso limitado à Internet.

      • Se você selecionar as sub-redes AWS Outposts, Wavelength ou Local Zone, as sub-redes não devem ter sido passadas quando você criou o cluster.

  9. Selecione as opções desejadas na página Configure stack options (Configurar opções de pilha) e depois escolha Next (Próximo).

  10. Marque a caixa de seleção à esqu erda de I acknowledge that AWS CloudFormation might create IAM resources. (Eu reconheço que o CloudFormation pode criar recursos de IAM) e, em seguida, selecione Create stack (Criar pilha).

  11. Quando a criação da pilha for concluída, selecione-a no console e escolha Outputs (Saídas).

  12. Registre o valor de NodeInstanceRole para o grupo de nós criado. Você precisará dele ao configurar os nós do Amazon EKS.

Etapa 2: habilite os nós para participar do cluster

nota

Se você iniciou os nós dentro de uma VPC privada sem acesso de saída à Internet, certifique-se de habilitá-los para ingressar no cluster pela VPC.

  1. Verifique se você já tem um aws-auth ConfigMap.

    kubectl describe configmap -n kube-system aws-auth

  2. Se você receber um aws-auth ConfigMap, atualize-o conforme necessário.

    1. Abra o ConfigMap para edição.

      kubectl edit -n kube-system configmap/aws-auth

    2. Adicione uma nova mapRoles entrada conforme necessário. Defina o valor rolearn para o valor NodeInstanceRole que você registrou no procedimento anterior.

      [...]
data:
  mapRoles: |
    - rolearn: <ARN of instance role (not instance profile)>
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
[...]

    3. Salve o arquivo e saia do seu editor de texto.

  3. Se você recebeu um erro informando "Error from server (NotFound): configmaps "aws-auth" not found, aplique o estoqueConfigMap.

    1. Faça download do mapa de configuração.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml

    2. No arquivo aws-auth-cm.yaml, configure o valor rolearn para o valor NodeInstanceRole que você registrou no procedimento anterior. Você pode fazer isso com um editor de texto ou substituindo my-node-instance-role e executando o seguinte comando:

      sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml

    3. Aplique a configuração. Esse comando pode demorar alguns minutos para ser concluído.

      kubectl apply -f aws-auth-cm.yaml

  4. Observe o status de seus nós e aguarde até que eles atinjam o status Ready.

    kubectl get nodes --watch

    Insira Ctrl+C para retornar a um prompt de shell.

    nota

    Se você receber qualquer erro de autorização ou de tipo de recurso, consulte Acesso negado ou não autorizado (kubectl) no tópico de solução de problemas.

    Se os nós não conseguirem se juntar ao cluster, consulte Worker nodes fail to join cluster (Falha nos nós ao ingressar no cluster) no capítulo Solução de problemas.

  5. (Somente nós de GPU) Caso escolha um tipo de instância de GPU e a AMI acelerada otimizada para Amazon EKS, você deverá aplicar o plug-in de dispositivo NVIDIA para Kubernetes como um DaemonSet no cluster. Substitua vX.X.X pela versão desejada do NVIDIA/k8s-device-plugin antes de executar o seguinte comando.

    kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml

Etapa 3: Ações adicionais

  1. (Opcional) Implante uma aplicação de exemplo para testar o cluster e os nós do Linux.

  2. (Opcional) Se a política do IAM gerenciada AmazonEKS_CNI_Policy (se você tiver um cluster do IPv4) ou a política AmazonEKS_CNI_IPv6_Policy (que você mesmo criou caso tenha um cluster do IPv6) estiver anexada ao perfil IAM do nó do Amazon EKS, recomendamos atribuí-la a um perfil do IAM associado à conta de serviço do aws-node do Kubernetes. Para ter mais informações, consulte Configurar o plug-in CNI da Amazon VPC para usar IRSA.

  3. Recomendamos bloquear o acesso dos pods ao IMDS se as seguintes condições a forem verdadeiras:

    • Você planeja atribuir perfis do IAM a todas as suas contas de serviço do Kubernetes para que os pods tenham apenas as permissões mínimas de que precisam.

    • Nenhum pod no cluster exige acesso ao serviço de metadados de instância (IMDS) do Amazon EC2 por outros motivos, como recuperação da região atual da AWS.

    Para obter mais informações, consulte Restringir o acesso ao perfil da instância atribuído ao nó de processamento.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.