**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 藉助自我管理節點來自行維護節點
叢集包含排程 Pod 的一或多個 Amazon EC2 節點。Amazon EKS 節點會在您的 AWS 帳戶中執行並透過叢集 API 伺服器端點連接至您叢集的控制平面。會根據 Amazon EC2 價格收費。如需詳細資訊,請參閱 [Amazon EC2 定價](https://aws.amazon.com/ec2/pricing/)。
一個叢集可以包含數個節點群組。每個節點群組包含一個或多個部署在 [Amazon EC2 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/AutoScalingGroup.html)的節點。群組節點的執行個體類型可能會有所不同,例如透過 [Karpenter](https://karpenter.sh/) 使用[以屬性為基礎的執行個體類型選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-fleet-attribute-based-instance-type-selection.html)時。節點群組的所有執行個體都必須使用 [Amazon EKS 節點 IAM 角色](create-node-role.md)。
Amazon EKS 提供專門的Amazon 機器映像 (AMI),稱為Amazon EKS 最佳化 AMI。AMI 已設定為搭配 Amazon EKS 一起使用。它們的元件包括 `containerd`、`kubelet` 和 AWS IAM 驗證器。AMI 還包含特殊化[啟動程序指令碼](https://github.com/awslabs/amazon-eks-ami/blob/main/templates/al2/runtime/bootstrap.sh),使其可自動探索並連接至您叢集的控制平面。
如果使用 CIDR 區塊限制對叢集公有端點的存取,則建議您也啟用私有端點存取。這樣可以讓節點與叢集通訊。若不啟用私有端點,您指定用於公有存取的 CIDR 區塊必須包含來自 VPC 的輸出來源。如需詳細資訊,請參閱 [叢集 API 伺服器端點](cluster-endpoint.md)。
若要將自我管理節點新增至 Amazon EKS 叢集,請參閱以下主題。如果手動啟動自我管理節點,請將以下標籤新增至每個節點,同時確保 `` 與您的叢集相符。如需詳細資訊,請參閱[新增和刪除個別資源的標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。如果遵循以下指南中的步驟,系統會為您自動新增必要的標籤至節點。
| 金鑰 | 值 |
| --- | --- |
| `kubernetes.io/cluster/` | `owned` |
**重要**
Amazon EC2 執行個體中繼資料服務 (IMDS) 中的標籤與 EKS 節點不相容。啟用執行個體中繼資料標籤後,不能在標籤值中使用正斜線 ('/')。此限制可能會導致無法啟動執行個體,使用 Karpenter 或叢集自動擴展期等節點管理工具時尤其如此,因為這些服務依賴於包含正斜線的標籤來提供適當的功能。
如需 Kubernetes 對節點普遍觀點的詳細資訊,請參閱 Kubernetes 文件中的[節點](https://kubernetes.io/docs/concepts/architecture/nodes/)。
**Topics**
+ [建立自我管理的 Amazon Linux 節點](launch-workers.md)
+ [建立自我管理的 Bottlerocket 節點](launch-node-bottlerocket.md)
+ [建立自我管理的 Microsoft Windows 節點](launch-windows-workers.md)
+ [建立自我管理的 Ubuntu Linux 節點](launch-node-ubuntu.md)
+ [更新您的叢集的自我管理節點](update-workers.md)
# 建立自我管理的 Amazon Linux 節點
本主題會說明如何啟動已向 Amazon EKS 叢集註冊的 Linux 節點的 Auto Scaling 群組。節點加入叢集後,您就可以將 Kubernetes 應用程式部署至其中。您也可以使用 `eksctl`或 啟動自我管理的 Amazon Linux 節點 AWS 管理主控台。如果您需要在 AWS Outposts 上啟動節點,請參閱 [在 AWS Outpost 上建立 Amazon Linux 節點](eks-outposts-self-managed-nodes.md)。
+ 現有 Amazon EKS 叢集。若要部署叢集,請參閱 [建立 Amazon EKS 叢集](create-cluster.md)。如果您在已啟用 AWS Outposts、 AWS Wavelength 或 AWS Local Zones AWS 的區域中有子網路,則這些子網路不得在您建立叢集時傳入。
+ 供節點使用的現有 IAM 角色。若要建立服務角色,請參閱[Amazon EKS 節點 IAM 角色](create-node-role.md)。如果此角色沒有任何 VPC CNI 的政策,則 VPC CNI Pod 需要以下個別角色。
+ (選用,但建議) Kubernetes 專用 Amazon VPC CNI 外掛程式的附加元件設定有自己的 IAM 角色,該角色已連接必要的 IAM 政策。如需詳細資訊,請參閱[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。
+ 熟悉[選擇最佳 Amazon EC2 節點執行個體類型](choosing-instance-type.md)中所列的考量事項。取決於您選擇的執行個體類型,您的叢集和 VPC 可能還有其他先決條件。
您可以使用下列任意一項啟動自我管理的 Linux 節點:
+ [`eksctl`](#eksctl_create_managed_amazon_linux)
+ [AWS 管理主控台](#console_create_managed_amazon_linux)
## `eksctl`
**使用 `eksctl` 啟動自我管理的 Linux 節點**
1. 在您的裝置或 AWS CloudShell 上安裝版本 `0.215.0`或更新版本的`eksctl`命令列工具。如需有關安裝或更新 `eksctl` 的指示,請參閱 `eksctl` 文件中的[安裝](https://eksctl.io/installation)一節。
1. (選用) 如果 **AmazonEKS\$1CNI\$1Policy** 受管 IAM 政策已連接至您的 [Amazon EKS 節點 IAM 角色](create-node-role.md),建議您改為將其指派給您與 Kubernetes `aws-node` 服務帳戶相關聯的 IAM 角色。如需詳細資訊,請參閱[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。
1. 以下命令會在現有的叢集建立節點群組。將 *al-nodes* 取代為您的節點群組名稱。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。使用您叢集的名稱取代 *my-cluster*。此名稱僅能使用英數字元 (區分大小寫) 和連字號。必須以英數字元開頭,且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。使用您自己的值取代其餘*範例值*。依預設,系統會使用與控制平面相同的 Kubernetes 版本來建立節點。
選擇 `--node-type` 的值之前,請檢閱[選擇最佳 Amazon EC2 節點執行個體類型](choosing-instance-type.md)。
使用 Amazon EC2 金鑰對或公有金鑰的名稱取代 *my-key*。此金鑰會在節點啟動後用於將 SSH 套用至節點。如果您還沒有 Amazon EC2 金鑰對,可以在 AWS 管理主控台中建立一個。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。
使用下列命令來建立您的節點群組。
**重要**
如果您想要將節點群組部署至 AWS Outposts、Wavelength 或 Local Zone 子網路,還有其他考量:
在建立叢集時,不得傳入子網路。
您必須使用指定子網路和 ` [volumeType](https://eksctl.io/usage/schema/#nodeGroups-volumeType): gp2` 的組態檔案來建立節點群組。如需詳細資訊,請參閱 `eksctl` 文件中的[從組態檔案建立節點群組](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file)和[組態檔案結構描述](https://eksctl.io/usage/schema/)。
```
eksctl create nodegroup \
--cluster my-cluster \
--name al-nodes \
--node-type t3.medium \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--ssh-access \
--managed=false \
--ssh-public-key my-key
```
若要部署節點群組:
+ 其可以將比預設組態更大量的 IP 位址指派給 Pod,請參閱 [將更多 IP 位址指派給具有字首的 Amazon EKS 節點](cni-increase-ip-addresses.md)。
+ 其可以從與執行個體不同的 CIDR 區塊將 `IPv4` 地址指派給 Pod,請參閱 [使用自訂聯網在替代子網路中部署 Pod](cni-custom-network.md)。
+ 其可以將 `IPv6` 地址指派給 Pod 和服務,請參閱 [了解叢集、Pod 與服務的 IPv6 位址](cni-ipv6.md)。
+ 沒有傳入網際網路存取,請參閱 [部署網際網路存取受到限制的私有叢集](private-clusters.md)。
如需所有可用選項和預設值的完整清單,請輸入以下命令。
```
eksctl create nodegroup --help
```
如果節點無法加入叢集,請參閱「故障診斷」章節中的 [節點無法加入叢集](troubleshooting.md#worker-node-fail)。
範例輸出如下。建立節點時,會有數行輸出。輸出的最後幾行之一類似於以下的範例行。
```
[✔] created 1 nodegroup(s) in cluster "my-cluster"
```
1. (選用) 部署[範例應用程式](sample-deployment.md)以測試您的叢集和 Linux 節點。
1. 如果下列條件為真,我們建議封鎖 Pod 對 IMDS 的存取:
+ 您計劃將 IAM 角色指派給您的所有 Kubernetes 服務帳戶,以便 Pod 僅具有所需的最低許可。
+ 叢集中沒有任何 Pod 因其他原因需要存取 Amazon EC2 執行個體中繼資料服務 (IMDS),例如擷取目前 AWS 區域。
如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
## AWS 管理主控台
**步驟 1:使用 AWS 管理主控台 啟動自我管理的 Linux 節點**
1. 下載最新版本的 AWS CloudFormation 範本。
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2025-11-26/amazon-eks-nodegroup.yaml
```
1. 等待您的叢集狀態顯示為 `ACTIVE`。如果在叢集處於作用中狀態之前啟動節點,則節點向叢集註冊將會失敗,導致必須再次啟動。
1. 開啟 [AWS CloudFormation 主控台](https://console.aws.amazon.com/cloudformation/)。
1. 選擇 **Create stack** (建立堆疊),然後選取 **With new resources (standard)** (使用新資源 (標準))。
1. 針對 **Specify template** (指定範本),選取 **Upload a template file** (上傳範本檔案),然後選取 **Choose file** (選擇檔案)。
1. 選取您下載的 `amazon-eks-nodegroup.yaml` 檔案。
1. 選取**下一步**。
1. 在 **Specify stack details** (指定堆疊詳細資訊) 頁面上,據此填寫下列參數,然後選擇 **Next** (下一步):
+ **堆疊名稱**:為您的 AWS CloudFormation 堆疊選擇堆疊名稱。例如,您可以稱它為 *my-cluster-nodes*。此名稱僅能使用英數字元 (區分大小寫) 和連字號。必須以英數字元開頭,且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。
+ **ClusterName**:輸入建立 Amazon EKS 叢集時使用的名稱。此名稱必須與叢集名稱相同,否則節點無法加入叢集。
+ **ClusterControlPlaneSecurityGroup**:從您在建立 [VPC](creating-a-vpc.md) 時產生的 AWS CloudFormation 輸出中選擇 **SecurityGroups** 值。
下列步驟顯示擷取適用群組的一種操作。
1. 開啟 [Amazon EKS 主控台](https://console.aws.amazon.com/eks/home#/clusters)。
1. 選擇叢集的名稱。
1. 選擇 **Networking (網路)** 索引標籤。
1. 從 **ClusterControlPlaneSecurityGroup** 下拉式清單中選取時,請使用 **Additional Security Group** (其他安全群組) 值作為參考。
+ **ApiServerEndpoint**:輸入 EKS 叢集的 API 伺服器端點。這可在 EKS 叢集主控台的詳細資訊區段中找到
+ **CertificateAuthorityData**:輸入 base64 編碼的憑證授權機構資料,也可以在 EKS 叢集主控台的 Deatils 區段中找到。
+ **ServiceCidr**:輸入用於將 IP 地址配置到叢集內 Kubernetes 服務的 CIDR 範圍。這可在 EKS 叢集主控台的聯網索引標籤中找到。
+ **AuthenticationMode**:透過檢閱 EKS 叢集主控台中的存取索引標籤,選取 EKS 叢集中使用的身分驗證模式。
+ **NodeGroupName**:輸入節點群組的名稱。此名稱稍後可用於識別為您節點建立的 Auto Scaling 節點群組。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。
+ **NodeAutoScalingGroupMinSize**:輸入節點 Auto Scaling 群組可以縮減的最低節點數。
+ **NodeAutoScalingGroupDesiredCapacity**:堆疊建立時,輸入欲擴展的所需節點數量。
+ **NodeAutoScalingGroupMaxSize**:輸入節點 Auto Scaling 群組可以擴增的最大節點數。
+ **NodeInstanceType**:選擇節點的執行個體類型。如需詳細資訊,請參閱[選擇最佳的 Amazon EC2 節點執行個體類型](choosing-instance-type.md)。
+ **NodeImageIdSSMParam**:預先填入變數 Kubernetes 版本的最新 Amazon EKS 最佳化 Amazon Linux 2023 AMI 的 Amazon EC2 Systems Manager 參數。若要使用 Amazon EKS 支援不同的 Kubernetes 次要版本,請將 *1.XX* 取代為不同的[支援的版本](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html)。建議指定與叢集相同的 Kubernetes 版本。
您也可以將 *amazon-linux-2023* 取代為不同的 AMI 類型。如需詳細資訊,請參閱[擷取建議的 Amazon Linux AMI ID](retrieve-ami-id.md)。
**注意**
Amazon EKS 節點 AMI 以 Amazon Linux 為基礎。您可以在 Amazon Linux 安全[中心追蹤 Amazon Linux](https://alas.aws.amazon.com/alas2023.html) 2023 的安全或隱私權事件,或訂閱相關聯的 [RSS 摘要](https://alas.aws.amazon.com/AL2023/alas.rss)。安全與隱私權事件包含問題的概觀、哪些套件受到影響,以及如何更新您的執行個體以修正問題。
+ **NodeImageId**:(選用) 如果您使用自己的自訂 AMI (而非 Amazon EKS 最佳化 AMI),請輸入您 AWS 區域的節點 AMI ID。如果您在此指定值,則會覆寫 **NodeImageIdSSMParam** 欄位中的任何值。
+ **NodeVolumeSize**:為您的節點指定根磁碟區大小 (以 GiB 為單位)。
+ **NodeVolumeType**:為您的節點指定根磁碟區類型。
+ **KeyName**:輸入 Amazon EC2 SSH 金鑰對的名稱,您可以在節點啟動後使用該金鑰對來透過 SSH 連接至節點。如果您還沒有 Amazon EC2 金鑰對,可以在 AWS 管理主控台中建立一個。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。
+ **VpcId**:輸入您建立的 [VPC](creating-a-vpc.md) ID。
+ **子網路**:選擇您為 VPC 建立的子網路。如果您已依照[為您的 Amazon EKS 叢集建立 Amazon VPC](creating-a-vpc.md) 中所述的步驟建立 VPC,則只需指定要啟動節點的 VPC 中的私有子網路。您可以看到哪些子網是私有子網,方法是從叢集的 **Networking** (聯網) 標籤打開每一個子網連結。
**重要**
如有任何子網路是公有子網路,則必須啟用自動公有 IP 地址指派設定。如果未針對公有子網路啟用設定,則您部署至該公有子網路的任何節點都不會指派公有 IP 地址,也無法與叢集或其他 AWS 服務通訊。如果子網路是在 2020 年 3 月 26 日之前使用任一 [Amazon EKS AWS CloudFormation VPC 範本](creating-a-vpc.md)或使用 部署,`eksctl`則公有子網路的自動公有 IP 地址指派會停用。如需如何啟用子網路的公有 IP 地址指派的相關資訊,請參閱[修改您子網路的公有 IPv4 定址屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip)。如果節點部署到私有子網路,則可以透過 NAT 閘道與叢集和其他 AWS 服務通訊。
如果子網路無法存取網際網路,請確保您已知悉[部署網際網路存取受到限制的私有叢集](private-clusters.md)中的考量事項和額外步驟。
如果您選取 AWS Outposts、Wavelength 或 Local Zone 子網路,則建立叢集時不得傳入子網路。
1. 請在 **Configure stack options** (設定堆疊選項) 頁面上選取所需的選項,然後選擇 **Next** (下一頁)。
1. 選取**我確認 AWS CloudFormation 可能會建立 IAM 資源**的左側核取方塊,然後選擇**建立堆疊**。
1. 當當堆疊已完成建立時,從主控台將其選取,然後選擇 **Outputs (輸出)**。如果您使用的是 `EKS API`或 `EKS API and ConfigMap` 身分驗證模式,這是最後一個步驟。
1. 如果您使用`ConfigMap`身分驗證模式,請記錄已建立節點群組的 **NodeInstanceRole**。
**步驟 2:讓節點加入叢集**
**注意**
只有在 EKS 叢集中使用 Configmap 身分驗證模式時,才需要下列兩個步驟。此外,如果您在沒有傳出網際網路存取的情況下在私有 VPC 內啟動節點,請務必讓節點從 VPC 內加入您的叢集。
1. 檢查以瞭解是否有 `aws-auth` `ConfigMap`。
```
kubectl describe configmap -n kube-system aws-auth
```
1. 如果您看到 `aws-auth` `ConfigMap`,請視需要更新之。
1. 開啟 `ConfigMap` 進行編輯。
```
kubectl edit -n kube-system configmap/aws-auth
```
1. 視需要新增 `mapRoles` 個項目。將 `rolearn` 值設定為您在先前程序中記錄的 **NodeInstanceRole** 值。
```
[...]
data:
mapRoles: |
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
[...]
```
1. 儲存檔案並結束您的文字編輯器。
1. 如果您收到一個錯誤,說明 "`Error from server (NotFound): configmaps "aws-auth" not found`,那麼請套用股票 `ConfigMap`。
1. 下載組態對應。
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml
```
1. 在 `aws-auth-cm.yaml` 檔案中,將 `rolearn` 值設定為您在先前程序中紀錄的 **NodeInstanceRole** 值。您可以使用文字編輯器來完成此操作,或者透過取代 *my-node-instance-role* 並執行下列命令:
```
sed -i.bak -e 's||my-node-instance-role|' aws-auth-cm.yaml
```
1. 套用組態。此命令可能需要幾分鐘的時間來完成。
```
kubectl apply -f aws-auth-cm.yaml
```
1. 查看節點的狀態,並等待他們到達 `Ready` 狀態。
```
kubectl get nodes --watch
```
輸入 `Ctrl`\$1`C` 傳回 Shell 提示。
**注意**
如果您收到任何授權或資源類型錯誤,請參閱故障診斷主題中的[未經授權或存取遭拒 (`kubectl`)](troubleshooting.md#unauthorized)。
如果節點無法加入叢集,請參閱「故障診斷」章節中的 [節點無法加入叢集](troubleshooting.md#worker-node-fail)。
1. (僅限 GPU 節點) 若您選擇了 GPU 執行個體類型和 Amazon EKS 最佳化加速 AMI,則必須套用 [Kubernetes 專用 NVIDIA 裝置外掛程式](https://github.com/NVIDIA/k8s-device-plugin)作為叢集上的 DaemonSet。請先以您想要的 [NVIDIA/k8s-device-plugin](https://github.com/NVIDIA/k8s-device-plugin/releases) 版本來取代 *vX.X.X*,然後再執行下列命令。
```
kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
```
**步驟 3:其他動作**
1. (選用) 部署[範例應用程式](sample-deployment.md)以測試您的叢集和 Linux 節點。
1. (選用) 如果 **AmazonEKS\$1CNI\$1Policy** 受管 IAM 政策 (如果您有 `IPv4` 叢集) 或 *AmazonEKS\$1CNI\$1IPv6\$1Policy* (您[自我建立的政策](cni-iam-role.md#cni-iam-role-create-ipv6-policy),前提是如果您有 `IPv6` 叢集) 連接至 [Amazon EKS 節點 IAM 角色](create-node-role.md),建議改為將其指派給您與 Kubernetes `aws-node` 服務帳戶相關聯的 IAM 角色。如需詳細資訊,請參閱[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。
1. 如果下列條件為真,我們建議封鎖 Pod 對 IMDS 的存取:
+ 您計劃將 IAM 角色指派給您的所有 Kubernetes 服務帳戶,以便 Pod 僅具有所需的最低許可。
+ 叢集中沒有任何 Pod 因其他原因需要存取 Amazon EC2 執行個體中繼資料服務 (IMDS),例如擷取目前 AWS 區域。
如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
# 建立自我管理的 Bottlerocket 節點
**注意**
受管節點群組可能會為您的使用案例提供一些優勢。如需詳細資訊,請參閱[透過受管節點群組來簡化節點生命週期](managed-node-groups.md)。
本主題會說明如何啟動向 Amazon EKS 叢集註冊的 [Bottlerocket](https://aws.amazon.com/bottlerocket/) 節點的 Auto Scaling 群組。Bottlerocket 是以 Linux 為基礎的開放原始碼作業系統 AWS ,可用於在虛擬機器或裸機主機上執行容器。節點加入叢集後,您就可以將 Kubernetes 應用程式部署至其中。如需 Bottlerocket 的詳細資訊,請參閱 GitHub 上的[搭配 Amazon EKS 使用 Bottlerocket AMI](https://github.com/bottlerocket-os/bottlerocket/blob/develop/QUICKSTART-EKS.md) 和 `eksctl` 文件上的[自訂 AMI 支援](https://eksctl.io/usage/custom-ami-support/)。
如需就地升級的資訊,請參閱 GitHub 上的 [Bottlerocket 更新運算子](https://github.com/bottlerocket-os/bottlerocket-update-operator)。
**重要**
Amazon EKS 節點為標準 Amazon EC2 執行個體,會根據一般 Amazon EC2 執行個體價格向您收取這些節點的費用。如需詳細資訊,請參閱 [Amazon EC2 定價](https://aws.amazon.com/ec2/pricing/)。
您可以在 AWS Outposts 上的 Amazon EKS 擴充叢集中啟動 Bottlerocket 節點,但無法在 AWS Outposts 的本機叢集中啟動它們。如需詳細資訊,請參閱[使用 AWS Outposts 在內部部署 Amazon EKS](eks-outposts.md)。
您可以使用 `x86` 或 Arm 處理器部署至 Amazon EC2 執行個體。不過,您無法部署至具有 Inferentia 晶片的執行個體。
Bottlerocket 與 AWS CloudFormation 相容。但是,沒有可複製的官方 CloudFormation 範本來部署 Amazon EKS 的 Bottlerocket 節點。
Bottlerocket 映像不會隨附 SSH 伺服器或 Shell。您可以使用頻外存取方法來允許 SSH 啟用管理員容器,並傳遞一些引導組態步驟與使用者資料。如需詳細資訊,請參閱 GitHub 上 [bottlerocket README.md](https://github.com/bottlerocket-os/bottlerocket) 中的這些部分:
[探勘](https://github.com/bottlerocket-os/bottlerocket#exploration)
[管理員容器](https://github.com/bottlerocket-os/bottlerocket#admin-container)
[Kubernetes 設定](https://github.com/bottlerocket-os/bottlerocket#kubernetes-settings)
此程序需要 `eksctl` 版本 `0.215.0` 或更新版本。您可使用以下命令檢查您的版本:
```
eksctl version
```
如需如何安裝或升級 `eksctl` 的指示,請參閱 `eksctl` 文件中的[安裝](https://eksctl.io/installation)。注意:此程序僅適用於使用 `eksctl` 建立的叢集。
1. 將以下內容複製到您的裝置。使用您叢集的名稱取代 *my-cluster*。此名稱僅能使用英數字元 (區分大小寫) 和連字號。必須以英數字元開頭,且長度不可超過 100 個字元。名稱在您要建立叢集 AWS 的區域和 AWS 帳戶中必須是唯一的。使用您的節點群組名稱取代 *ng-bottlerocket*。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。若要在 Arm 執行個體上部署,請使用 Arm 執行個體類型取代 *m5.large*。使用 Amazon EC2 SSH 金鑰對名稱取代 *my-ec2-keypair-name*,您可以在節點啟動後使用該金鑰對來透過 SSH 連接至節點。如果您還沒有 Amazon EC2 金鑰對,可以在 AWS 管理主控台中建立一個。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。使用您自己的值取代其餘所有範例值。完成取代後,請執行修改後的命令以建立 `bottlerocket.yaml` 檔案。
如果指定 Arm Amazon EC2 執行個體類型,則請在部署前檢閱 [Amazon EKS 最佳化 Arm Amazon Linux AMI](eks-optimized-ami.md#arm-ami) 的考量事項。如需了解如何使用自訂 AMI 部署,請參閱 GitHub 上的[建置 Bottlerocket](https://github.com/bottlerocket-os/bottlerocket/blob/develop/BUILDING.md) 和 `eksctl` 文件中的[自訂 AMI 支援](https://eksctl.io/usage/custom-ami-support/)。若要部署受管節點群組,請使用啟動範本部署自訂 AMI。如需詳細資訊,請參閱[使用啟動範本自訂受管節點](launch-templates.md)。
**重要**
若要將節點群組部署至 AWS Outposts、 AWS Wavelength 或 AWS Local Zone 子網路,請勿在建立叢集時傳遞 AWS Outposts、 AWS Wavelength 或 AWS Local Zone 子網路。您必須在下列範例中指定子網路。如需詳細資訊,請參閱 `eksctl` 文件中的[從組態檔案建立節點群組](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file)和[組態檔案結構描述](https://eksctl.io/usage/schema/)。將 *region-code* 取代為您的叢集所在的 AWS 區域。
```
cat >bottlerocket.yaml <
本主題說明如何啟動已向 Amazon EKS 叢集註冊的 Windows 節點的 Auto Scaling 群組。節點加入叢集後,您就可以將 Kubernetes 應用程式部署至其中。
**重要**
Amazon EKS 節點為標準 Amazon EC2 執行個體,會根據一般 Amazon EC2 執行個體價格向您收取這些節點的費用。如需詳細資訊,請參閱 [Amazon EC2 定價](https://aws.amazon.com/ec2/pricing/)。
您可以在 AWS Outposts 上的 Amazon EKS 延伸叢集中啟動 Windows 節點,但無法在 AWS Outposts 的本機叢集中啟動它們。如需詳細資訊,請參閱[使用 AWS Outposts 在內部部署 Amazon EKS](eks-outposts.md)。
為您的叢集啟用 Windows 支援。我們建議您在啟動 Windows 節點群組之前,先檢閱重要的考量。如需詳細資訊,請參閱[啟用 Windows 支援](windows-support.md#enable-windows-support)。
您可以使用下列任意一項啟動自我管理的 Windows 節點:
+ [`eksctl`](#eksctl_create_windows_nodes)
+ [AWS 管理主控台](#console_create_windows_nodes)
## `eksctl`
**使用 `eksctl` 啟動自我管理的 Windows 節點**
此程序需要您已安裝 `eksctl`,且您的 `eksctl` 版本至少是 `0.215.0`。您可使用以下命令檢查您的版本。
```
eksctl version
```
如需有關安裝或更新 `eksctl` 的指示,請參閱 `eksctl` 文件中的 [Installation](https://eksctl.io/installation) 一節。
**注意**
此程序只適用於使用 `eksctl` 所建立的叢集。
1. (選用) 如果 **AmazonEKS\$1CNI\$1Policy** 受管 IAM 政策 (如果您有 `IPv4` 叢集) 或 *AmazonEKS\$1CNI\$1IPv6\$1Policy* (您[自我建立的政策](cni-iam-role.md#cni-iam-role-create-ipv6-policy),前提是如果您有 `IPv6` 叢集) 連接至 [Amazon EKS 節點 IAM 角色](create-node-role.md),建議改為將其指派給您與 Kubernetes `aws-node` 服務帳戶相關聯的 IAM 角色。如需詳細資訊,請參閱[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。
1. 此程序假設您有現有的叢集。如果您尚未擁有可新增 Windows 節點群組的 Amazon EKS 叢集和 Amazon Linux 節點群組,我們建議您遵循 [Amazon EKS 入門 – `eksctl`](getting-started-eksctl.md)。該指南提供了建立具有 Amazon Linux 節點的 Amazon EKS 叢集的完整演練。
使用下列命令來建立您的節點群組。將 *region-code* 取代為您的叢集所在的 AWS 區域。使用您的叢集名稱取代 *my-cluster*。此名稱僅能使用英數字元 (區分大小寫) 和連字號。必須以英數字元開頭,且長度不可超過 100 個字元。在您建立叢集 AWS 的區域和 AWS 帳戶中,名稱必須是唯一的。使用您的節點群組名稱取代 *ng-windows*。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。您可以使用 取代 *2019* `2022` 以使用 Windows Server 2022 或使用 `2025` Windows Server 2025。使用您自己的值取代範例值的其餘部分。
**重要**
若要將節點群組部署至 AWS Outposts、 AWS Wavelength 或 AWS Local Zone 子網路,請勿在建立叢集時傳遞 AWS Outposts、Wavelength 或 Local Zone 子網路。使用組態檔案建立節點群組,指定 AWS Outposts、Wavelength 或 Local Zone 子網路。如需詳細資訊,請參閱 `eksctl` 文件中的[從組態檔案建立節點群組](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file)和[組態檔案結構描述](https://eksctl.io/usage/schema/)。
```
eksctl create nodegroup \
--region region-code \
--cluster my-cluster \
--name ng-windows \
--node-type t2.large \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--managed=false \
--node-ami-family WindowsServer2019FullContainer
```
**注意**
如果節點無法加入叢集,請參閱故障診斷指南中的 [節點無法加入叢集](troubleshooting.md#worker-node-fail)。
若要查看 `eksctl` 命令可用的選項,請輸入下列命令。
```
eksctl command -help
```
範例輸出如下。建立節點時,會有數行輸出。輸出的最後幾行之一類似於以下的範例行。
```
[✔] created 1 nodegroup(s) in cluster "my-cluster"
```
1. (選用) 部署[範例應用程式](sample-deployment.md)以測試您的叢集和 Windows 節點。
1. 如果下列條件為真,我們建議封鎖 Pod 對 IMDS 的存取:
+ 您計劃將 IAM 角色指派給您的所有 Kubernetes 服務帳戶,以便 Pod 僅具有所需的最低許可。
+ 叢集中沒有任何 Pod 因其他原因需要存取 Amazon EC2 執行個體中繼資料服務 (IMDS),例如擷取目前 AWS 區域。
如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
## AWS 管理主控台
**先決條件**
+ 現有 Amazon EKS 叢集和 Linux 節點群組。如果您沒有這些資源,我們建議您遵循我們 [開始使用 Amazon EKS](getting-started.md) 中的其中一個指南來建立這些資源。這些指南說明如何建立具有 Linux 節點的 Amazon EKS 叢集。
+ 符合 Amazon EKS 叢集要求的現有 VPC 和安全群組。如需詳細資訊,請參閱[檢視 VPC 和子網路的 Amazon EKS 聯網需求](network-reqs.md)及[檢視叢集的 Amazon EKS 安全群組要求](sec-group-reqs.md)。[開始使用 Amazon EKS](getting-started.md) 中的指南會建立符合要求的 VPC。或者,您也可以遵循[為您的 Amazon EKS 叢集建立 Amazon VPC](creating-a-vpc.md) 手動建立一個。
+ 現有的 Amazon EKS 叢集,其使用符合 Amazon EKS 叢集要求的 VPC 和安全群組。如需詳細資訊,請參閱[建立 Amazon EKS 叢集](create-cluster.md)。如果您在已啟用 AWS AWS Outposts、 AWS Wavelength 或 AWS Local Zones 的區域中有子網路,則這些子網路不得在您建立叢集時傳入。
**步驟 1:使用 AWS 管理主控台 啟動自我管理的 Windows 節點**
1. 等待您的叢集狀態顯示為 `ACTIVE`。如果在叢集處於作用中狀態之前啟動節點,則節點向叢集註冊將會失敗,導致您必須再次啟動。
1. 開啟 [AWS CloudFormation 主控台](https://console.aws.amazon.com/cloudformation/)
1. 選擇**建立堆疊**。
1. 對於 **Specify template** (指定範本),選取 **Amazon S3 URL**。
1. 複製以下 URL 並將其貼到 **Amazon S3 URL** 中。
```
https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2023-02-09/amazon-eks-windows-nodegroup.yaml
```
1. 選取 **Next** (下一步) 兩次。
1. 在 **Quick create stack** (快速建立堆疊) 頁面上,視需要輸入下列參數:
+ **堆疊名稱**:為您的 AWS CloudFormation 堆疊選擇堆疊名稱。例如,您可以稱它為 `my-cluster-nodes`。
+ **ClusterName**:輸入建立 Amazon EKS 叢集時使用的名稱。
**重要**
此名稱必須與您在[步驟 1:建立 Amazon EKS 叢集](getting-started-console.md#eks-create-cluster)中使用的名稱完全相符。否則,您的節點無法加入叢集。
+ **ClusterControlPlaneSecurityGroup**:從您在建立 [VPC](creating-a-vpc.md) 時產生的 AWS CloudFormation 輸出中選擇安全群組。下列步驟顯示擷取適用群組的一種方法。
1. 開啟 [Amazon EKS 主控台](https://console.aws.amazon.com/eks/home#/clusters)。
1. 選擇叢集的名稱。
1. 選擇 **Networking (網路)** 索引標籤。
1. 從 **ClusterControlPlaneSecurityGroup** 下拉式清單中選取時,請使用 **Additional Security Group** (其他安全群組) 值作為參考。
+ **NodeGroupName**:輸入節點群組的名稱。此名稱稍後可用於識別為您節點建立的 Auto Scaling 節點群組。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。
+ **NodeAutoScalingGroupMinSize**:輸入節點 Auto Scaling 群組可以縮減的最低節點數。
+ **NodeAutoScalingGroupDesiredCapacity**:堆疊建立時,輸入欲擴展的所需節點數量。
+ **NodeAutoScalingGroupMaxSize**:輸入節點 Auto Scaling 群組可以擴增的最大節點數。
+ **NodeInstanceType**:選擇節點的執行個體類型。如需詳細資訊,請參閱[選擇最佳的 Amazon EC2 節點執行個體類型](choosing-instance-type.md)。
**注意**
最新版本的 [Kubernetes 專用 Amazon VPC CNI 外掛程式](https://github.com/aws/amazon-vpc-cni-k8s)支援的執行個體類型會在 GitHub 上的 [vpc\$1ip\$1resource\$1limit.go](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/pkg/vpc/vpc_ip_resource_limit.go) 中列出。您可能需要更新 CNI 版本,才能使用最新支援的執行個體類型。如需詳細資訊,請參閱[使用 Amazon VPC CNI 將 IP 指派給 Pod](managing-vpc-cni.md)。
+ **NodeImageIdSSMParam**:預先填入目前所建議 Amazon EKS 最佳化 Windows Core AMI ID 的 Amazon EC2 Systems Manager 參數。若要使用完整版本的 Windows,請使用 `Full` 取代 *Core*。
+ **NodeImageId**:(選用) 如果您使用自己的自訂 AMI (而非 Amazon EKS 最佳化 AMI),請輸入您 AWS 區域的節點 AMI ID。如果您在此欄位指定值,則會覆寫 **NodeImageIdSSMParam** 欄位中的任何值。
+ **NodeVolumeSize**:為您的節點指定根磁碟區大小 (以 GiB 為單位)。
+ **KeyName**:輸入 Amazon EC2 SSH 金鑰對的名稱,您可以在節點啟動後使用該金鑰對來透過 SSH 連接至節點。如果您還沒有 Amazon EC2 金鑰對,可以在 AWS 管理主控台中建立一個。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html)。
**注意**
如果您未在此處提供金鑰對,則無法建立 AWS CloudFormation 堆疊。
+ **BootstrapArguments**:指定要傳遞至節點引導指令碼的任何選用引數,例如使用 `-KubeletExtraArgs` 的額外 `kubelet` 引數。
+ **DisableIMDSv1**:預設情況下,每個節點都支援執行個體中繼資料服務版本 1 (IMDSv1) 和 IMDSv2。您可以停用 IMDSv1。若要防止節點群組中的未來節點和 Pod 使用 MDSv1,請將 **DisableIMDSv1** 設定為 **true**。如需 IMDS 的詳細資訊,請參閱[設定執行個體中繼資料服務](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。
+ **VpcId**:選取您建立的 [VPC](creating-a-vpc.md) ID。
+ **NodeSecurityGroups**:選取在建立 [VPC](creating-a-vpc.md) 時為您的 Linux 節點群組建立的安全群組。如果 Linux 節點連接了一個以上的安全群組,請指定所有的群組。例如,如果 Linux 節點群組是使用 `eksctl` 建立。
+ **Subnets** (子網路):選擇您建立的子網路。如果您已依照[為您的 Amazon EKS 叢集建立 Amazon VPC](creating-a-vpc.md) 中的步驟建立 VPC,則只需指定要啟動節點的 VPC 中的私有子網路。
**重要**
如有任何子網路是公有子網路,則必須啟用自動公有 IP 地址指派設定。如果未針對公有子網路啟用 設定,則您部署至該公有子網路的任何節點都不會指派公有 IP 地址,也無法與叢集或其他 AWS 服務通訊。如果子網路是在 2020 年 3 月 26 日之前使用任一 [Amazon EKS AWS CloudFormation VPC 範本](creating-a-vpc.md)或使用 部署,`eksctl`則會停用公有子網路的自動公有 IP 地址指派。如需如何啟用子網路的公有 IP 地址指派的相關資訊,請參閱[修改您子網路的公有 IPv4 定址屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip)。如果節點部署到私有子網路,則可以透過 NAT 閘道與叢集和其他 AWS 服務通訊。
如果子網路無法存取網際網路,則請確保您已知悉[部署網際網路存取受到限制的私有叢集](private-clusters.md)中的考量事項和額外步驟。
如果您選取 AWS Outpost、Wavelength 或 Local Zone 子網路,則建立叢集時不得傳入子網路。
1. 確認堆疊可建立 IAM 資源,然後選擇 **Create stack** (建立堆疊)。
1. 當當堆疊已完成建立時,從主控台將其選取,然後選擇 **Outputs (輸出)**。
1. 為已建立的節點群組記錄 **NodeInstanceRole**。當您設定 Amazon EKS Windows 節點時會需要此值。
**步驟 2:讓節點加入叢集**
1. 檢查以瞭解是否有 `aws-auth` `ConfigMap`。
```
kubectl describe configmap -n kube-system aws-auth
```
1. 如果您看到 `aws-auth` `ConfigMap`,請視需要更新之。
1. 開啟 `ConfigMap` 進行編輯。
```
kubectl edit -n kube-system configmap/aws-auth
```
1. 視需要新增 `mapRoles` 個項目。將 `rolearn` 值設定為您在先前程序中記錄的 **NodeInstanceRole** 值。
```
[...]
data:
mapRoles: |
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn:
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- eks:kube-proxy-windows
[...]
```
1. 儲存檔案並結束您的文字編輯器。
1. 如果您收到一個錯誤,說明 "`Error from server (NotFound): configmaps "aws-auth" not found`,那麼請套用股票 `ConfigMap`。
1. 下載組態對應。
```
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm-windows.yaml
```
1. 在 `aws-auth-cm-windows.yaml` 檔案中,將 `rolearn` 值設定為您在先前程序中記錄的適用 **NodeInstanceRole** 值。您可以使用文字編輯器來完成此操作,或者透過取代範例值並執行下列命令:
```
sed -i.bak -e 's||my-node-linux-instance-role|' \
-e 's||my-node-windows-instance-role|' aws-auth-cm-windows.yaml
```
**重要**
請勿修改此檔案中的任何其他行。
請勿為 Windows 節點和 Linux 節點使用相同的 IAM 角色。
1. 套用組態。此命令可能需要幾分鐘的時間來完成。
```
kubectl apply -f aws-auth-cm-windows.yaml
```
1. 查看節點的狀態,並等待他們到達 `Ready` 狀態。
```
kubectl get nodes --watch
```
輸入 `Ctrl`\$1`C` 傳回 Shell 提示。
**注意**
如果您收到任何授權或資源類型錯誤,請參閱故障診斷主題中的[未經授權或存取遭拒 (`kubectl`)](troubleshooting.md#unauthorized)。
如果節點無法加入叢集,請參閱「故障診斷」章節中的 [節點無法加入叢集](troubleshooting.md#worker-node-fail)。
**步驟 3:其他動作**
1. (選用) 部署[範例應用程式](sample-deployment.md)以測試您的叢集和 Windows 節點。
1. (選用) 如果 **AmazonEKS\$1CNI\$1Policy** 受管 IAM 政策 (如果您有 `IPv4` 叢集) 或 *AmazonEKS\$1CNI\$1IPv6\$1Policy* (您[自我建立的政策](cni-iam-role.md#cni-iam-role-create-ipv6-policy),前提是如果您有 `IPv6` 叢集) 連接至 [Amazon EKS 節點 IAM 角色](create-node-role.md),建議改為將其指派給您與 Kubernetes `aws-node` 服務帳戶相關聯的 IAM 角色。如需詳細資訊,請參閱[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。
1. 如果下列條件為真,我們建議封鎖 Pod 對 IMDS 的存取:
+ 您計劃將 IAM 角色指派給您的所有 Kubernetes 服務帳戶,以便 Pod 僅具有所需的最低許可。
+ 叢集中沒有任何 Pod 因其他原因需要存取 Amazon EC2 執行個體中繼資料服務 (IMDS),例如擷取目前 AWS 區域。
如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
# 建立自我管理的 Ubuntu Linux 節點
**注意**
受管節點群組可能會為您的使用案例提供一些優勢。如需詳細資訊,請參閱[透過受管節點群組來簡化節點生命週期](managed-node-groups.md)。
本主題會說明如何啟動向 Amazon EKS 叢集註冊的 [Amazon Elastic Kubernetes Service (EKS) 上的 Ubuntu](https://cloud-images.ubuntu.com/aws-eks/) 或 [Amazon Elastic Kubernetes Service (EKS) 上的 Ubuntu Pro](https://ubuntu.com/blog/ubuntu-pro-for-eks-is-now-generally-available) 節點的 Auto Scaling 群組。Ubuntu 和 Ubuntu Pro for EKS 是以官方 Ubuntu Minimal LTS 為基礎,包括與 共同開發的自訂 AWS 核心 AWS,並專門為 EKS 建置。Ubuntu Pro 透過支援 EKS 延長支援期間、核心 livepatch、FIPS 合規以及執行無限 Pro 容器的能力來新增額外的安全涵蓋範圍。
節點加入叢集後,您就可以將容器化應用程式部署至其中。如需詳細資訊,請參閱 `eksctl` 文件中的 [AWS上的 Ubuntu](https://documentation.ubuntu.com/aws/en/latest/) 和[自訂 AMI 支援](https://eksctl.io/usage/custom-ami-support/)。
**重要**
Amazon EKS 節點為標準 Amazon EC2 執行個體,會根據一般 Amazon EC2 執行個體價格向您收取這些節點的費用。如需詳細資訊,請參閱 [Amazon EC2 定價](https://aws.amazon.com/ec2/pricing/)。
您可以在 AWS Outposts 上的 Amazon EKS 擴充叢集中啟動 Ubuntu 節點,但無法在 AWS Outposts 的本機叢集中啟動它們。如需詳細資訊,請參閱[使用 AWS Outposts 在內部部署 Amazon EKS](eks-outposts.md)。
您可以使用 `x86` 或 Arm 處理器部署至 Amazon EC2 執行個體。不過,具有 Inferentia 晶片的執行個體可能需要先安裝 [Neuron SDK](https://awsdocs-neuron.readthedocs-hosted.com/en/latest/)。
此程序需要 `eksctl` 版本 `0.215.0` 或更新版本。您可使用以下命令檢查您的版本:
```
eksctl version
```
如需如何安裝或升級 `eksctl` 的指示,請參閱 `eksctl` 文件中的[安裝](https://eksctl.io/installation)。注意:此程序僅適用於使用 `eksctl` 建立的叢集。
1. 將以下內容複製到您的裝置。使用您叢集的名稱取代 `my-cluster`。此名稱僅能使用英數字元 (區分大小寫) 和連字號。必須以字母字元開頭,且長度不可超過 100 個字元。將 `ng-ubuntu` 取代為您的節點群組名稱。節點群組名稱不可超過 63 個字元。它必須以字母或數字開頭,但剩餘字元也可以包含連字符和底線。若要在 Arm 執行個體上部署,請以 Arm 執行個體類型取代 `m5.large`。使用 Amazon EC2 SSH 金鑰對名稱取代 `my-ec2-keypair-name`,您可以在節點啟動後使用該金鑰對來透過 SSH 連接至節點。如果您還沒有 Amazon EC2 金鑰對,可以在 AWS 管理主控台中建立一個。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。使用您自己的值取代其餘所有範例值。完成取代後,請執行修改後的命令以建立 `ubuntu.yaml` 檔案。
**重要**
若要將節點群組部署至 AWS Outposts、 AWS Wavelength 或 AWS Local Zone 子網路,請勿在建立叢集時傳遞 AWS Outposts、 AWS Wavelength 或 AWS Local Zone 子網路。您必須在下列範例中指定子網路。如需詳細資訊,請參閱 `eksctl` 文件中的[從組態檔案建立節點群組](https://eksctl.io/usage/nodegroups/#creating-a-nodegroup-from-a-config-file)和[組態檔案結構描述](https://eksctl.io/usage/schema/)。將 *region-code* 取代為您的叢集所在的 AWS 區域。
```
cat >ubuntu.yaml <
全新 Amazon EKS 最佳化 AMI 發行時,請考量以新 AMI 取代自我管理節點群組中的節點。同樣地,如果更新 Amazon EKS 叢集的 Kubernetes 版本,請更新節點以使用具相同 Kubernetes 版本的節點。
**重要**
本主題涵蓋自我管理節點的節點更新。若使用[受管節點群組](managed-node-groups.md),則請參閱 [更新叢集的受管節點群組](update-managed-node-group.md)。
有兩種基本方法可以將叢集中的自我管理節點群組更新成使用新的 AMI:
**[將應用程式移轉至新的節點群組](migrate-stack.md)**
建立新的節點群組,並將 Pod 移轉至該群組。移轉至新節點群組比在現有 AWS CloudFormation 堆疊中更新 AMI ID 更順利。這是因為移轉過程會將舊節點群組[汙染](https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/)為 `NoSchedule`,並在新堆疊準備好接受現有的 Pod 工作負載之後耗盡節點。
**[更新 AWS CloudFormation 節點堆疊](update-stack.md)**
更新現有節點群組的 AWS CloudFormation 堆疊,以使用新的 AMI。不支援對使用 `eksctl` 建立的節點群組使用這個方法。
# 將應用程式移轉至新的節點群組
此主題會說明如何建立新的節點群組,將現有的應用程式從容遷移至新群組,接著從叢集移除舊的節點群組。您可以使用 `eksctl` 或 AWS 管理主控台遷移至新的節點群組。
+ [`eksctl`](#eksctl_migrate_apps)
+ [AWS 管理主控台 和 AWS CLI](#console_migrate_apps)
## `eksctl`
**使用 `eksctl` 將應用程式移轉至新的節點群組**
如需有關將 eksctl 用於移轉的詳細資訊,請參閱 `eksctl` 文件中的[未受管的節點群組](https://eksctl.io/usage/nodegroup-unmanaged/)。
此程序需要 `eksctl` 版本 `0.215.0` 或更新版本。您可使用以下命令檢查您的版本:
```
eksctl version
```
如需有關安裝或更新 `eksctl` 的指示,請參閱 `eksctl` 文件中的 [Installation](https://eksctl.io/installation) 一節。
**注意**
此程序只適用於使用 `eksctl` 所建立的叢集和節點群組。
1. 擷取現有節點群組的名稱,使用叢集名稱取代 *my-cluster*。
```
eksctl get nodegroups --cluster=my-cluster
```
範例輸出如下。
```
CLUSTER NODEGROUP CREATED MIN SIZE MAX SIZE DESIRED CAPACITY INSTANCE TYPE IMAGE ID
default standard-nodes 2019-05-01T22:26:58Z 1 4 3 t3.medium ami-05a71d034119ffc12
```
1. 使用以下命令啟動具備 `eksctl` 的新節點群組。在命令中,使用您自己的值取代每一個*範例值*。版本編號不能晚於控制平面的 Kubernetes 版本。也不能比控制平面的 Kubernetes 版本早兩個以上的次要版本。建議使用與控制平面相同的版本。
如果下列條件為真,我們建議封鎖 Pod 對 IMDS 的存取:
+ 您計劃將 IAM 角色指派給您的所有 Kubernetes 服務帳戶,以便 Pod 僅具有所需的最低許可。
+ 叢集中沒有任何 Pod 因其他原因需要存取 Amazon EC2 執行個體中繼資料服務 (IMDS),例如擷取目前 AWS 區域。
如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
若要封鎖 Pod 對 IMDS 的存取,請將 `--disable-pod-imds` 選項新增至下列命令。
**注意**
如需更多可用旗標及其描述的資訊,請參閱 https://eksctl.io/。
```
eksctl create nodegroup \
--cluster my-cluster \
--version 1.35 \
--name standard-nodes-new \
--node-type t3.medium \
--nodes 3 \
--nodes-min 1 \
--nodes-max 4 \
--managed=false
```
1. 之前的命令完成時,使用下列命令來確認所有節點已達到 `Ready` 狀態:
```
kubectl get nodes
```
1. 使用下列命令來刪除原始的節點群組。在命令中,使用您的叢集和節點群組名稱取代每一個*範例值*:
```
eksctl delete nodegroup --cluster my-cluster --name standard-nodes-old
```
## AWS 管理主控台 和 AWS CLI
**使用 AWS 管理主控台 和 AWS CLI 將應用程式遷移至新的節點群組**
1. 依照[建立自我管理的 Amazon Linux 節點](launch-workers.md)中概述的步驟啟動新的節點群組。
1. 當當堆疊已完成建立時,從主控台將其選取,然後選擇 **Outputs (輸出)**。
1. 為已建立的節點群組記錄 **NodeInstanceRole**。您需要這樣才能新增 Amazon EKS 節點至叢集。
**注意**
如果已將任何額外的 IAM 政策連接至舊節點群組 IAM 角色,則請將相同政策連接至新節點群組 IAM 角色,以便在新群組維持該功能。例如,如果為 Kubernetes [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler) 新增許可,則適用此操作。
1. 更新兩個節點群組的安全群組,使其能夠互相通訊。如需詳細資訊,請參閱[檢視叢集的 Amazon EKS 安全群組要求](sec-group-reqs.md)。
1. 記錄兩個節點群組的安全群組 ID。這在 AWS CloudFormation 堆疊輸出中顯示為 **NodeSecurityGroup** 值。
您可以使用下列 AWS CLI 命令,從堆疊名稱取得安全群組 IDs。在這些命令中, `oldNodes`是舊版節點堆疊的 AWS CloudFormation 堆疊名稱,而 `newNodes`是您要遷移至的堆疊名稱。使用您自己的值取代每一個*範例值*。
```
oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"
oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
```
1. 新增輸入規則至每個節點安全群組,使其接受彼此的流量。
下列 AWS CLI 命令會將傳入規則新增至每個安全群組,以允許來自其他安全群組的所有通訊協定上的所有流量。此組態可讓每個節點群組中的 Pod 在您將工作負載移轉至新群組時互相通訊。
```
aws ec2 authorize-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 authorize-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1
```
1. 編輯 `aws-auth` configmap 以在 RBAC 中對應新的節點執行個體角色。
```
kubectl edit configmap -n kube-system aws-auth
```
為新節點群組新增 `mapRoles` 項目。
```
apiVersion: v1
data:
mapRoles: |
- rolearn: ARN of instance role (not instance profile)
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes>
- rolearn: arn:aws: iam::111122223333:role/nodes-1-16-NodeInstanceRole-U11V27W93CX5
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
```
使用您在[上一個步驟](#node-instance-role-step)中記錄的 **NodeInstanceRole** 值來取代*執行個體角色 ARN (非執行個體設定檔)* 程式碼片段。接著,儲存並關閉檔案以套用更新的 configmap。
1. 注意節點狀態並等待新的節點加入叢集和達到 `Ready` 狀態。
```
kubectl get nodes --watch
```
1. (選用) 如果您使用的是 [Kubernetes Cluster Autoscaler](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler),請將部署縮減為零 (0) 個複本以避免衝突的擴展動作。
```
kubectl scale deployments/cluster-autoscaler --replicas=0 -n kube-system
```
1. 使用以下命令污染每個您想要用 `NoSchedule` 移除的節點。這樣就不會在您要取代的節點上排程或重新排程新的 Pod。如需詳細資訊,請參閱 Kubernetes 文件中的[污點和容差](https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/)。
```
kubectl taint nodes node_name key=value:NoSchedule
```
如果要將節點升級至新的 Kubernetes 版本,您可以使用以下程式碼片段識別並標示特定 Kubernetes 版本 (在此情況下為 `1.33`) 的所有節點。版本編號不能晚於控制平面的 Kubernetes 版本。也不能比控制平面的 Kubernetes 版本早兩個以上的次要版本。建議使用與控制平面相同的版本。
```
K8S_VERSION=1.33
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
echo "Tainting $node"
kubectl taint nodes $node key=value:NoSchedule
done
```
1. 判斷叢集的 DNS 提供商。
```
kubectl get deployments -l k8s-app=kube-dns -n kube-system
```
範例輸出如下。此叢集針對 DNS 解析度使用 CoreDNS,但您的叢集可能會傳回 `kube-dns`:
```
NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE
coredns 1 1 1 1 31m
```
1. 如果您目前的部署執行少於 2 個複本,請將部署擴增為 2 個複本。如果您先前的命令輸出傳回該項目,請以 `kubedns` 取代 *coredns*。
```
kubectl scale deployments/coredns --replicas=2 -n kube-system
```
1. 使用以下命令清空您想要從叢集移除的每個節點:
```
kubectl drain node_name --ignore-daemonsets --delete-local-data
```
如果您要將節點升級至新的 Kubernetes 版本,請使用下列程式碼片段識別並耗盡特定 Kubernetes 版本 (在本例中為 *1.33*) 的所有節點。
```
K8S_VERSION=1.33
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
echo "Draining $node"
kubectl drain $node --ignore-daemonsets --delete-local-data
done
```
1. 在舊的節點完成消耗後,請撤銷您先前授權的安全群組傳入規則。然後,刪除 AWS CloudFormation 堆疊以終止執行個體。
**注意**
如果您將任何其他 IAM 政策連接至舊節點群組 IAM 角色,例如新增 [Kubernetes Cluster Autoscaler](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler) 的許可,請先從角色分離這些其他政策,然後才能刪除 AWS CloudFormation 堆疊。
1. 撤銷您先前為節點安全群組建立的傳入規則。在這些命令中, `oldNodes`是舊版節點堆疊的 AWS CloudFormation 堆疊名稱,而 `newNodes`是您要遷移至的堆疊名稱。
```
oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"
oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
aws ec2 revoke-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 revoke-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1
```
1. 開啟 [AWS CloudFormation 主控台](https://console.aws.amazon.com/cloudformation/)。
1. 選取舊的節點堆疊。
1. 選擇 **刪除**。
1. 在 **Delete stack** (刪除堆疊) 確認對話方塊中,選擇 **Delete stack** (刪除堆疊)。
1. 編輯 `aws-auth` configmap 以從 RBAC 移除舊的節點執行個體角色。
```
kubectl edit configmap -n kube-system aws-auth
```
刪除舊節點群組的 `mapRoles` 項目。
```
apiVersion: v1
data:
mapRoles: |
- rolearn: arn:aws: iam::111122223333:role/nodes-1-16-NodeInstanceRole-W70725MZQFF8
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn: arn:aws: iam::111122223333:role/nodes-1-15-NodeInstanceRole-U11V27W93CX5
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes>
```
儲存並關閉檔案以套用更新的 configmap。
1. (選用) 如果您使用的是 Kubernetes [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler),請將部署縮減回 1 個複本。
**注意**
您也必須適當標記新的 Auto Scaling 群組 (例如 `k8s.io/cluster-autoscaler/enabled,k8s.io/cluster-autoscaler/my-cluster`),並更新 Cluster Autoscaler 部署的命令,以指向新標記的 Auto Scaling 群組。如需詳細資訊,請參閱 [Cluster Autoscaler on AWS](https://github.com/kubernetes/autoscaler/tree/cluster-autoscaler-release-1.3/cluster-autoscaler/cloudprovider/aws)。
```
kubectl scale deployments/cluster-autoscaler --replicas=1 -n kube-system
```
1. (選用) 確認您使用的是最新版本的 [Kubernetes 專用 Amazon VPC CNI 外掛程式](https://github.com/aws/amazon-vpc-cni-k8s)。您可能需要更新 CNI 版本,才能使用最新支援的執行個體類型。如需詳細資訊,請參閱[使用 Amazon VPC CNI 將 IP 指派給 Pod](managing-vpc-cni.md)。
1. 如果您的叢集針對 DNS 解析度使用 `kube-dns` (請參閱 [[migrate-determine-dns-step]](#migrate-determine-dns-step)),請將 `kube-dns` 部署縮減至一個複本。
```
kubectl scale deployments/kube-dns --replicas=1 -n kube-system
```
# 更新 an AWS CloudFormation 節點堆疊
本主題說明如何使用新的 AMI 更新現有的 AWS CloudFormation 自我管理節點堆疊。您可以使用此程序在叢集更新後將節點更新至新版本的 Kubernetes。否則,您可以針對現有 Kubernetes 版本更新至最新的 Amazon EKS 最佳化 AMI。
**重要**
本主題涵蓋自我管理節點的節點更新。若要了解[透過受管節點群組來簡化節點生命週期](managed-node-groups.md)的相關詳細資訊,請參閱 [更新叢集的受管節點群組](update-managed-node-group.md)。
最新的預設 Amazon EKS node AWS CloudFormation 範本已設定為在移除舊執行個體之前,在叢集中啟動具有新 AMI 的執行個體,一次一個。此組態可確保您在滾動更新期間,都能掌握叢集中 Auto Scaling 群組所需的作用中執行個體計數。
**注意**
不支援對使用 `eksctl` 建立的節點群組使用這個方法。如果透過 `eksctl` 建立叢集或節點群組,則請參閱 [將應用程式移轉至新的節點群組](migrate-stack.md)。
1. 判斷叢集的 DNS 供應商。
```
kubectl get deployments -l k8s-app=kube-dns -n kube-system
```
範例輸出如下。此叢集針對 DNS 解析度使用 CoreDNS,但您的叢集可能會傳回 `kube-dns`。根據您使用的 `kubectl` 版本,輸出可能會有所不同。
```
NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE
coredns 1 1 1 1 31m
```
1. 如果您目前的部署執行少於 2 個複本,請將部署擴增為 2 個複本。如果您先前的命令輸出傳回該項目,請以 `kube-dns` 取代 *coredns*。
```
kubectl scale deployments/coredns --replicas=2 -n kube-system
```
1. (選用) 如果您使用的是 Kubernetes [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md),請將部署縮減為零 (0) 個複本以避免衝突的擴展動作。
```
kubectl scale deployments/cluster-autoscaler --replicas=0 -n kube-system
```
1. 確定目前節點群組的執行個體類型和所需執行個體計數。您稍後更新群組的 AWS CloudFormation 範本時,會輸入這些值。
1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。
1. 在左側導覽窗格中,選擇 **Launch Configurations** (啟動組態),並記下現有節點啟動組態的執行個體類型。
1. 在左側導覽窗格中,選擇 **Auto Scaling Groups** (Auto Scaling 群組),並注意現有節點 Auto Scaling 群組的 **Desired** (所需) 執行個體計數。
1. 開啟 [AWS CloudFormation 主控台](https://console.aws.amazon.com/cloudformation/)。
1. 選取您的節點群組堆疊,然後選擇 **Update** (更新)。
1. 選取 **Replace current template (取代目前的範本)**,然後選取 **Amazon S3 URL**。
1. 對於 **Amazon S3 URL**,請將下列 URL 貼到文字區域,以確保您使用的是最新版本的 node AWS CloudFormation 範本。然後選擇 **Next** (下一步):
```
https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml
```
1. 在 **Specify stack details (指定堆疊詳細資訊)** 頁面上,填寫下列參數,然後選擇 **Next (下一步)**:
+ **NodeAutoScalingGroupDesiredCapacity**:輸入在[先前步驟](#existing-worker-settings-step)中記錄的所需執行個體計數。或者,在堆疊更新時,輸入欲擴展的所需節點數量。
+ **NodeAutoScalingGroupMaxSize**:輸入節點 Auto Scaling 群組可以擴增的最大節點數。此值必須至少超過所需容量一個節點。這樣才能夠在更新期間執行節點滾動更新,而不必減少節點計數。
+ **NodeInstanceType**:選擇在[先前步驟](#existing-worker-settings-step)中記錄的執行個體類型。或者,為節點選擇不同的執行個體類型。選擇不同的執行個體類型之前,請檢閱[選擇最佳 Amazon EC2 節點執行個體類型](choosing-instance-type.md)。每個 Amazon EC2 執行個體類型都支援最大數量的彈性網路介面 (網路介面),且每個網路介面支援最大數量的 IP 地址。由於為每個工作節點和 Pod 指派了自己的 IP 位址,因此請務必選擇支援要在每個 Amazon EC2 節點上執行之最大 Pod 數量的執行個體類型。如需執行個體類型支援的網路介面和 IP 地址數量清單,請參閱[每種執行個體類型每個網路介面的 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI)。例如,`m5.large` 執行個體類型最多支援工作節點和 Pod 的 30 個 IP 位址。
**注意**
最新版本的 [Kubernetes 專用 Amazon VPC CNI 外掛程式](https://github.com/aws/amazon-vpc-cni-k8s)支援的執行個體類型會顯示在 GitHub 上的 [vpc\$1ip\$1resource\$1limit.go](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/pkg/vpc/vpc_ip_resource_limit.go)。您可能需要更新適用於 Kubernetes 的 Amazon VPC CNI 版本,才能使用最新支援的執行個體類型。如需詳細資訊,請參閱[使用 Amazon VPC CNI 將 IP 指派給 Pod](managing-vpc-cni.md)。
**重要**
有些執行個體類型可能無法在所有 AWS 區域中使用。
+ **NodeImageIdSSMParam** – 您要更新的 AMI ID 的 Amazon EC2 Systems Manager 參數。以下值對 Kubernetes `1.35` 版使用最新的 Amazon EKS 最佳化 AMI。
```
/aws/service/eks/optimized-ami/1.35/amazon-linux-2/recommended/image_id
```
您可以使用相同的[平台版本](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html)取代 *1.35*。或者比控制平面上執行的 Kubernetes 版本早一個版本號的版本。建議您將節點保持在與控制平面相同的版本。您亦可使用不同的 AMI 類型來取代 *amazon-linux-2*。如需詳細資訊,請參閱[擷取建議的 Amazon Linux AMI ID](retrieve-ami-id.md)。
**注意**
使用 Amazon EC2 Systems Manager 參數可讓您在未來更新節點,而無需查詢和指定 AMI ID。如果您的 AWS CloudFormation 堆疊使用此值,任何堆疊更新一律會針對您指定的 Kubernetes 版本啟動最新的建議 Amazon EKS 最佳化 AMI。即使沒有變更範本中的任何值,情況也會如此。
+ **NodeImageId**:若要使用您自己的自訂 AMI,請輸入要使用的 AMI 的 ID。
**重要**
此值會覆寫 **NodeImageIdSSMParam** 指定的任何值。如果您想要使用 **NodeImageIdSSMParam** 值,請確定 **NodeImageId** 的值為空白。
+ **DisableIMDSv1**:在預設情況下,每個節點都支援執行個體中繼資料服務版本 1 (IMDSv1) 和 IMDSv2。不過,您可以停用 IMDSv1。如果不想要任何節點,或節點群組中排定的任何 Pod 使用 IMDSv1,則請選取 **true** (是)。如需 IMDS 的詳細資訊,請參閱[設定執行個體中繼資料服務](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)。如果您已為服務帳戶實作 IAM 角色,請直接將必要的許可指派給需要存取 AWS 服務的所有 Pod。如此一來,叢集中沒有任何 Pod 因為其他原因需要存取 IMDS,例如擷取目前的 AWS 區域。然後,您也可以針對不使用主機聯網的 Pod 停用對 IMDSv2 的存取。如需詳細資訊,請參閱[限制存取指派給工作節點的執行個體設定檔](https://aws.github.io/aws-eks-best-practices/security/docs/iam/#restrict-access-to-the-instance-profile-assigned-to-the-worker-node)。
1. (選用) 在 **Options (選項)** 頁面上,為堆疊資源加上標籤。選擇**下一步**。
1. 在 **Review** (檢閱) 頁面上檢閱您的資訊,確認該堆疊可建立 IAM 資源,然後選擇 **Update stack** (更新堆疊)。
**注意**
叢集中每個節點的更新,都需要幾分鐘的時間。請等待所有節點更新完成再執行後續步驟。
1. 如果您叢集的 DNS 供應商為 `kube-dns`,請將 `kube-dns` 部署縮減至 1 個複本。
```
kubectl scale deployments/kube-dns --replicas=1 -n kube-system
```
1. (選用) 如果您使用的是 Kubernetes [Cluster Autoscaler](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md),請將部署縮減回您想要的複本數量。
```
kubectl scale deployments/cluster-autoscaler --replicas=1 -n kube-system
```
1. (選用) 確認您使用的是最新版本的 [Kubernetes 專用 Amazon VPC CNI 外掛程式](https://github.com/aws/amazon-vpc-cni-k8s)。您可能需要更新適用於 Kubernetes 的 Amazon VPC CNI 版本,才能使用最新支援的執行個體類型。如需詳細資訊,請參閱[使用 Amazon VPC CNI 將 IP 指派給 Pod](managing-vpc-cni.md)。