创建 Amazon EKS 集群。

如果您已经拥有集群 IAM 角色，或者您将使用 eksctl 创建集群，则可以跳过此步骤。默认情况下，eksctl 会为您创建角色。

运行以下命令以创建 IAM 信任策略 JSON 文件。

cat >eks-cluster-role-trust-policy.json <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
EOF

创建 Amazon EKS 集群 IAM 角色。如有必要，使用您在上一步中将文件写入到的计算机上的路径为 eks-cluster-role-trust-policy.json 添加前言。该命令将您在上一步中创建的信任策略与角色关联。要创建 IAM 角色，必须为正在创建角色的 IAM 主体分配 iam:CreateRole 操作（权限）。

aws iam create-role --role-name myAmazonEKSClusterRole --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"

您可以分配 Amazon EKS 托管策略或创建自己的自定义策略。有关必须在自定义策略中使用的最低权限，请参阅 Amazon EKS 集群 IAM 角色。

将名为 AmazonEKSClusterPolicy 的 Amazon EKS 托管 IAM 策略附加到角色。要将 IAM 策略附加到某个 IAM 主体，必须为附加该策略的主体分配以下 IAM 操作（权限）之一：iam:AttachUserPolicy 或 iam:AttachRolePolicy。

aws iam attach-role-policy --policy-arn arn:aws-cn:iam::aws:policy/AmazonEKSClusterPolicy --role-name myAmazonEKSClusterRole

您需要在设备或 Amazon CloudShell 上安装 0.205.0 版或更高版本的 eksctl 命令行工具。要安装或更新 eksctl，请参阅 eksctl 文档中的 Installation。

在默认 Amazon 区域中，使用 Amazon EKS 默认 Kubernetes 版本创建 Amazon EKS IPv4 集群。在运行命令之前，进行以下替换：

将 region-code 替换为您要在其中创建集群的 Amazon 区域。

将 my-cluster 替换为您的集群名称。名称只能包含字母数字字符（区分大小写）和连字符。该名称必须以字母数字字符开头，且不得超过 100 个字符。对于您在其中创建集群的 Amazon 区域和 Amazon 账户，该名称必须在其内具有唯一性。

将 1.32 替换为任何 Amazon EKS 支持的版本。

更改 vpc-private-subnets 的值以满足您的要求。您还可以添加其他 ID。您必须指定至少两个子网 ID。如果您想要指定公有子网，您可以将 --vpc-private-subnets 更改为 --vpc-public-subnets。公有子网有一个与互联网网关的路由相关联的路由，但私有子网没有关联的路由表。我们建议尽可能使用私有子网。

您选择的子网必须符合 Amazon EKS 子网要求。在选择子网之前，我们建议您熟悉所有的 Amazon EKS VPC 以及子网要求和注意事项。

运行以下命令：

eksctl create cluster --name my-cluster --region region-code --version 1.32 --vpc-private-subnets subnet-ExampleID1,subnet-ExampleID2 --without-nodegroup

集群预配置需要几分钟时间。在创建集群时，将显示几行输出。输出的最后一行类似于以下示例行。

[✓]  EKS cluster "my-cluster" in "region-code" region is ready

继续第 3 步：更新 kubeconfig

打开 Amazon EKS 控制台。

请选择 Add cluster（添加集群），然后选择 Create（创建）。

在配置选项下，选择自定义配置

在 EKS 自动模式下，将使用 EKS 自动模式切换为关闭。

在 Configure cluster（配置集群）页面上，输入以下字段：

在“配置集群”页面的集群访问权限部分中，输入以下字段：

在 Specify networking (指定联网) 页面上，为以下字段选择值：

您只能在使用 IPv4 地址系列和创建集群时指定此选项。如果没有指定此选项，Kubernetes 会从 10.100.0.0/16 或 172.20.0.0/16 CIDR 块分配服务 IP 地址。

（可选）在配置可观测性页面上，选择要开启的指标和控制面板日志记录选项。默认情况下，每种日志类型都处于关闭状态。

完成此页面后，请选择下一步。

在 Select add-ons（选择附加组件）页面上，选择要添加到集群的附加组件。预先选择特定附加组件。您可以根据需要选择任意数量的 Amazon EKS 附加组件和 Amazon Marketplace 附加组件。如果未列出要安装的 Amazon Marketplace 附加组件，则您可以单击页码编号查看更多页面结果或通过在搜索框中输入文本来搜索可用的 Amazon Marketplace 附加组件。您也可以按类别、供应商或定价模式进行搜索，然后从搜索结果中选择附加组件。创建集群时，您可以查看、选择和安装任何支持 EKS 容器组身份的附加组件，详情请参阅了解 EKS 容器组身份如何向容器组（pod）授予对 Amazon 服务的访问权限。

完成此页面后，请选择下一步。

系统会默认安装 Amazon VPC CNI、CoreDNS 和 kube-proxy 等插件。如果您禁用任何默认插件，则可能会影响您运行 Kubernetes 应用程序的能力。

在配置选定插件设置页面上，选择要安装的版本。创建集群后，您可以随时更新到更高版本。

对于支持 EKS 容器组身份的附加组件，您可以使用控制台自动生成角色，其中包含专门为该附加组件预先填充的名称、Amazon 托管策略和信任策略。您可以重复使用现有角色或为支持的附加组件创建新角色。有关使用控制台为支持 EKS 容器组身份的附加组件创建角色的步骤，请参阅创建附加组件（Amazon 控制台）。如果附加组件不支持 EKS 容器组身份，则系统会显示一条消息，说明如何在创建集群后使用向导为服务账户（IRSA）创建 IAM 角色。

创建集群后，您可以更新每个附加组件的配置。有关配置附加组件的更多信息，请参阅更新 Amazon EKS 附加组件。完成此页面后，请选择下一步。

在 Review and create (审核和创建) 页面上，审核您在之前页面输入或选择的信息。如果需要进行更改，请选择 Edit（编辑）。在您感到满意后，选择创建。Status（状态）字段在预置集群时显示 CREATING（正在创建）。

集群预配置需要几分钟时间。

继续第 3 步：更新 kubeconfig

使用以下命令创建集群。在运行命令之前，进行以下替换：

您只能在使用 IPv4 地址系列和创建集群时指定此选项。如果没有指定此选项，Kubernetes 会从 10.100.0.0/16 或 172.20.0.0/16 CIDR 块分配服务 IP 地址。

预置集群需要几分钟时间。可使用以下命令查询集群的状态。

aws eks describe-cluster --region region-code --name my-cluster --query "cluster.status"

在返回的输出为 ACTIVE 之前，请勿继续执行下一步。

继续第 3 步：更新 kubeconfig

如果您使用 eksctl 创建了集群，则可以跳过此步骤。这是因为 eksctl 已经为您完成了此步骤。通过向 kubectl config 文件添加新上下文来启用 kubectl 与您的集群通信。有关如何创建和更新文件的更多信息，请参阅 通过创建 kubeconfig 文件将 kubectl 连接到 EKS 集群。

aws eks update-kubeconfig --region region-code --name my-cluster

示例输出如下。

Added new context arn:aws-cn:eks:region-code:111122223333:cluster/my-cluster to /home/username/.kube/config

通过运行以下命令以确认与集群的通信。

kubectl get svc

示例输出如下。

NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   28h

（推荐）要使用某些 Amazon EKS 附加组件，或启用个别 Kubernetes 工作负载以具有特定 Amazon Identity and Access Management（IAM）权限，请为集群创建一个 IAM OpenID Connect（OIDC）提供者。您只需为集群创建一次 IAM OIDC 提供程序。要了解有关 Amazon EKS 附加组件的详情，请参阅 Amazon EKS 附加组件。要了解有关将特定 IAM 权限分配给工作负载的详情，请参阅 服务账户的 IAM 角色。

（推荐）在将 Amazon EC2 节点部署到集群之前，为适用于 Kubernetes 的 Amazon VPC CNI 插件配置集群。默认情况下，该插件随集群一起安装。当您将 Amazon EC2 节点添加到集群时，插件将自动部署到您添加的每个 Amazon EC2 节点上。该插件要求您将以下 IAM 策略之一附加到 IAM 角色。如果集群使用 IPv4 系列，请使用 AmazonEKS_CNI_Policy 托管 IAM 策略。如果您的集群使用 IPv6 系列，请使用您创建的 IAM 策略。

您将策略附加到的 IAM 角色可以是节点 IAM 角色，也可以是仅用于插件的专用角色。我们建议将策略附加到此角色。有关创建角色的更多信息，请参阅配置 Amazon VPC CNI 插件以使用 IRSA或 Amazon EKS 节点 IAM 角色。

如果您使用 Amazon Web Services Management Console 部署了集群，则可以跳过此步骤。默认情况下，Amazon Web Services Management Console 会部署适用于 Kubernetes 的 Amazon VPC CNI 插件、CoreDNS 和 kube-proxy Amazon EKS 附加组件。

如果使用 eksctl 或 Amazon CLI 部署集群，则系统将部署适用于 Kubernetes 的 Amazon VPC CNI 插件、CoreDNS 和 kube-proxy 自主管理型附加组件。您可以将使用集群部署的适用于 Kubernetes 的 Amazon VPC CNI 插件、CoreDNS 和 kube-proxy 自主管理型附加组件迁移到 Amazon EKS 附加组件。有关更多信息，请参阅 Amazon EKS 附加组件。

（可选）如果您尚未执行此操作，可以为集群启用 Prometheus 指标。有关更多信息，请参阅《Amazon Managed Service for Prometheus 用户指南》中的创建抓取程序。

如果您计划将工作负载部署到使用 Amazon EBS 卷的集群，并且您创建了 1.23 或更高版本的集群，则在部署工作负载之前，您必须将 Amazon EBS CSI 安装到您的集群。