Créez une solution autogérée Bottlerocket nœuds - Amazon EKS

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une solution autogérée Bottlerocket nœuds

Note

Les groupes de nœuds gérés peuvent offrir certains avantages pour votre cas d'utilisation. Pour de plus amples informations, veuillez consulter Simplifiez le cycle de vie des nœuds avec des groupes de nœuds gérés.

Cette rubrique explique comment lancer des groupes Auto Scaling de nœuds Bottlerocket enregistrés auprès de votre cluster Amazon. EKS Bottlerocket est un Linuxsystème d'exploitation open source basé sur AWS lequel vous pouvez utiliser pour exécuter des conteneurs sur des machines virtuelles ou des hôtes bare metal. Une fois que les nœuds ont rejoint le cluster, vous pouvez déployer Kubernetes applications qui leur sont adressées. Pour plus d'informations sur Bottlerocket, voir Utilisation d'un Bottlerocket AMIavec Amazon EKS sur GitHub et AMIsupport personnalisé dans la eksctl documentation.

Pour plus d'informations sur les mises à niveau sur place, voir Bottlerocket Mettre à jour l'opérateur sur GitHub.

Important

  • Les EKS nœuds Amazon sont des EC2 instances Amazon standard, et ils vous sont facturés sur la base des prix habituels des EC2 instances Amazon. Pour plus d'informations, consultez les EC2tarifs Amazon.

  • Vous pouvez lancer des nœuds Bottlerocket dans des clusters Amazon EKS Extended sur AWS Outposts, mais vous ne pouvez pas les lancer dans des clusters locaux sur Outposts. AWS Pour de plus amples informations, veuillez consulter Déployez EKS Amazon sur site avec AWS Outposts.

  • Vous pouvez effectuer un déploiement sur EC2 des instances Amazon avec x86 ou Arm processeurs. Toutefois, vous ne pouvez pas déployer sur des instances qui ont Inferentia chips.

  • Bottlerocket est compatible avec AWS CloudFormation. Cependant, aucun CloudFormation modèle officiel ne peut être copié pour être déployé Bottlerocket nœuds pour AmazonEKS.

  • Bottlerocket les images ne sont pas accompagnées d'un SSH un serveur ou un shell. Vous pouvez utiliser des méthodes out-of-band d'accès pour autoriser SSH activer le conteneur d'administration et passer certaines étapes de configuration d'amorçage avec les données utilisateur. Pour plus d'informations, consultez ces sections dans le fichier READMEbottlerocket.md sur GitHub:

Pour lancer Bottlerocket nœuds utilisant eksctl

Cette procédure nécessite eksctl version 0.191.0 ou ultérieure. Vous pouvez vérifier votre version avec la commande suivante :

eksctl version

Pour les instructions d'installation ou de mise à niveau de eksctl, consultez la rubrique Installation dans la documentation eksctl.

Note

Cette procédure fonctionne uniquement pour les clusters créés avec eksctl.

  1. Copiez les contenus suivants sur votre appareil. Remplacez my-cluster par le nom de votre cluster. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne doit pas dépasser 100 caractères. Le nom doit être unique dans le Région AWS et dans Compte AWS lequel vous créez le cluster. Remplacer ng-bottlerocket avec un nom pour votre groupe de nœuds. Le nom du groupe de nœuds ne peut pas dépasser 63 caractères. Il doit commencer par une lettre ou un chiffre, mais peut également inclure des tirets et des traits de soulignement pour les autres caractères. Pour effectuer un déploiement sur des instances Arm, remplacez m5.large par un type d'instance Arm. my-ec2-keypair-nameRemplacez-le par le nom d'une paire de EC2 SSH clés Amazon que vous pourrez utiliser pour vous connecter à vos nœuds après leur lancement. SSH Si vous ne possédez pas encore de paire de EC2 clés Amazon, vous pouvez en créer une dans le AWS Management Console. Pour plus d'informations, consultez les paires de EC2 clés Amazon dans le guide de EC2 l'utilisateur Amazon. Remplacez tout le reste exemples de valeurs avec vos propres valeurs. Une fois les remplacements effectués, exécutez la commande modifiée pour créer le fichier bottlerocket.yaml.

    Si vous spécifiez un type d'EC2instance Arm Amazon, passez en revue les points à prendre en compte dans la section « EKSOptimisé pour Amazon Arm Amazon Linux AMIs Avant le déploiement ». Pour obtenir des instructions sur le déploiement à l'aide d'un outil personnaliséAMI, voir Création Bottlerocketsur GitHub et AMIsupport personnalisé dans la eksctl documentation. Pour déployer un groupe de nœuds géré, déployez un nœud personnalisé AMI à l'aide d'un modèle de lancement. Pour de plus amples informations, veuillez consulter Personnalisez les nœuds gérés avec des modèles de lancement.

    Important

    Pour déployer un groupe de nœuds ou des sous-réseaux de zone AWS locale, ne transmettez pas AWS Outposts AWS Wavelength, ou des sous-réseaux de zone AWS locale lorsque vous créez le cluster. AWS Outposts AWS Wavelength Vous devez spécifier les sous-réseaux dans l'exemple suivant. Pour plus d'informations, consultez Créer un nodegroup à partir d'un fichier de configuration et Schéma du fichier de configuration dans la documentation eksctl. region-codeRemplacez-le par Région AWS celui dans lequel se trouve votre cluster. 

    cat >bottlerocket.yaml <<EOF
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: my-cluster
  region: region-code
  version: '1.31'

iam:
  withOIDC: true

nodeGroups:
  - name: ng-bottlerocket
    instanceType: m5.large
    desiredCapacity: 3
    amiFamily: Bottlerocket
    ami: auto-ssm
    iam:
       attachPolicyARNs:
          - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
          - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
          - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
          - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
    ssh:
        allow: true
        publicKeyName: my-ec2-keypair-name
EOF

  2. Deployez vos nœuds avec la commande suivante :

    eksctl create nodegroup --config-file=bottlerocket.yaml

    L'exemple qui suit illustre un résultat.

    Plusieurs lignes sont affichées pendant la création des nœuds. L'une des dernières lignes de sortie est similaire à la ligne d'exemple suivante.

    [✔]  created 1 nodegroup(s) in cluster "my-cluster"

  3. (Facultatif) Créez un Kubernetes volume persistant sur un Bottlerocket nœud utilisant le EBSCSIplugin Amazon. Le EBS pilote Amazon par défaut repose sur des outils de système de fichiers qui ne sont pas inclus dans Bottlerocket. Pour plus d'informations sur la création d'une classe de stockage à l'aide du pilote, consultezStockage Kubernetes volumes avec Amazon EBS.

  4. (Facultatif) Par défaut, kube-proxy définit le paramètre nf_conntrack_max du noyau sur une valeur par défaut qui peut être différente de Bottlerocket se fixe à l'origine au démarrage. À conserver Bottlerocketest le paramètre par défaut, modifiez la kube-proxy configuration à l'aide de la commande suivante.

    kubectl edit -n kube-system daemonset kube-proxy

    Ajoutez --conntrack-max-per-core et --conntrack-min aux arguments kube-proxy présentés dans l'exemple suivant. Un paramètre de 0 signifie aucun changement.

          containers:
      - command:
        - kube-proxy
        - --v=2
        - --config=/var/lib/kube-proxy-config/config
        - --conntrack-max-per-core=0
        - --conntrack-min=0

  5. (Facultatif) Déployez un exemple d'application pour tester votre Bottlerocket nœuds.

  6. Nous vous recommandons de bloquer Pod accès à IMDS si les conditions suivantes sont remplies :

    • Vous prévoyez d'attribuer IAM des rôles à tous vos Kubernetes comptes de service afin que Pods disposent uniquement des autorisations minimales dont ils ont besoin.

    • Non Pods dans le cluster, nécessitent l'accès au service de métadonnées d'EC2instance Amazon (IMDS) pour d'autres raisons, telles que la récupération du courant Région AWS.

    Pour plus d'informations, consultez Restreindre l'accès au profil d'instance affecté au composant master.