使用控制台创建EKS

创建EKS 有多种方式，本章介绍通过控制台创建EKS

先决条件

1：给用户授予创建EKS权限

创建策略，取名AllowAccessEKS，在策略中允许使用EKS，策略JSON 如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "eks:*",
            "Resource": "*"
        }
    ]
}

将策略授予用户A

以上，用户A 便有了创建EKS 的权限，注意，这个权限一定要显示加上，就是用户有AdministratorAccess，也不代表他能直接创建EKS

2：给用户授予创建角色和查看角色权限

创建策略，允许创建角色和查看角色权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:*Role*",
                "iam:Get*",
                "iam:List*",
                "iam:Create*"
            ],
            "Resource": "*"
        }
    ]
}

将以上策略附加给用户A，用户A 便有了创建EKS Role 权限、

3：给用户授予创建EC2权限

在创建EKS 工作节点时，需要启动EC2，因此需要给用户授予创建EC2 的权限,可参考策略篇中：给⽤⼾赋予创建EC2权限

4：预先创建EKS 服务所需角色和EKS 节点所需角色

使用用户A 登录控制台，在以上操作中，我们已经给用户A授予了创建角色权限，我们先创建EKS Role

以上EKS 服务的角色创建完毕，我们在创建EKS 服务 时需要使用它

接着我们创建EKS 工作节点角色

在附加权限策略页搜索并选中这三个策略：AmazonEKSWorkerNodePolicy，AmazonEKS_CNI_Policy，AmazonEC2ContainerRegistryReadOnly

以上工作节点角色创建完成，所有先决条件满足

通过控制台创建EKS

1：创建EKS服务

最后点击创建，大约十分钟，EKS 服务启动完成

2：创建工作节点

以上工作节点创建完成，等待几分钟节点就会启动完成

验证

创建一个新的EC2，安装kubectl ,可参考AWS 推荐安装教程

在EC2 上，使用aws configure 配置用户A 的aksk (因为是用户A创建的EKS，此时只有这个用户有权限操作kubectl)

使用 AWS CLI update-kubeconfig 命令创建或更新集群的 kubeconfig,然后执行kubectl get svc 命令查看

总结

假设我们需要让用户A来创建EKS，我们需要做以下几步

• 1.给用户A 授予创建EKS权限

• 1. 给用户A授予创建角色，查看角色权限

• 1. 给用户A 授予创建EC2 权限，用于创建工作节点

• 1. 使用用户A 登录控制平台创建EKS Service role 和EKS Node Role

• 1. 使用用户A 先创建EKS 服务，此处需要使用EKS Service Role

• 1. 在EKS服务启动成功后，再创建EKS 节点组，此处需要使用 EKS Node Role

• 1. 最后验证EKS时，必须使用用户A 的aksk 来操作kubectl 命令，此时只有用户A 是EKS 的管理员，其他用户没有权限，会报error: You must be logged in to the server (Unauthorized)