Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez et gérez des clusters Amazon EKS avec Step Functions
Découvrez comment intégrer Step Functions à Amazon EKS pour gérer les clusters Kubernetes. Step Functions propose deux types d'intégration de services APIs pour l'intégration à Amazon Elastic Kubernetes Service. L'un d'eux vous permet d'utiliser Amazon EKS APIs pour créer et gérer un cluster Amazon EKS. L'autre vous permet d'interagir avec votre cluster à l'aide de l'API Kubernetes et d'exécuter des tâches dans le cadre du flux de travail de votre application.
Vous pouvez utiliser les intégrations d'API Kubernetes avec les clusters Amazon EKS créés à l'aide de Step Functions, avec les clusters Amazon EKS créés par l'outil eksctl ou la console Amazon
Pour en savoir plus sur l'intégration aux AWS services dans Step Functions, reportez-vous Intégration des services aux sections etTransmission de paramètres à une API de service dans Step Functions.
Principales fonctionnalités de l'intégration optimisée avec Amazon EKS
-
Le modèle Exécuter une tâche (.sync) d'intégration est pris en charge.
-
Il n'y a aucune optimisation pour le modèle Réponse à la requête d'intégration.
-
Le modèle Attendre un rappel avec un jeton de tâche d'intégration n'est pas pris en charge.
Note
L'intégration EKS de Step Functions ne prend en charge que Kubernetes APIs avec accès public aux terminaux. Par défaut, les points de terminaison du serveur API des clusters EKS ont un accès public. Pour plus d'informations, consultez la section Contrôle d'accès aux points de terminaison du cluster Amazon EKS dans le guide de l'utilisateur Amazon EKS.
Step Functions ne met pas fin automatiquement à un cluster Amazon EKS si l'exécution est arrêtée. Si votre machine d'état s'arrête avant la fin de votre cluster Amazon EKS, celui-ci peut continuer à fonctionner indéfiniment et entraîner des frais supplémentaires. Pour éviter cela, assurez-vous que tout cluster Amazon EKS que vous créez est correctement résilié. Pour plus d’informations, consultez :
-
Suppression d'un cluster dans le guide de l'utilisateur Amazon EKS.
-
Exécuter une tâche (.sync)dans les modèles d'intégration des services.
Note
Il existe un quota pour la taille maximale des données d'entrée ou de résultat pour une tâche dans Step Functions. Cela vous limite à 256 KiB de données sous forme de chaîne codée en UTF-8 lorsque vous envoyez ou recevez des données d'un autre service. Consultez Quotas liés aux exécutions par les machines de l'État.
Intégrations d'API Kubernetes
Step Functions prend en charge les Kubernetes APIs suivants :
RunJob
L'intégration des eks:runJob services vous permet d'exécuter une tâche sur votre cluster Amazon EKS. La eks:runJob.sync variante vous permet d'attendre que le travail soit terminé et, éventuellement, de récupérer les journaux.
Votre serveur d'API Kubernetes doit accorder des autorisations au rôle IAM utilisé par votre machine d'état. Pour de plus amples informations, veuillez consulter Autorisations.
Pour le modèle Run a Job (.sync), le statut de la tâche est déterminé par un sondage. Step Functions interroge initialement à un rythme d'environ 1 sondage par minute. Ce taux finit par ralentir pour atteindre environ 1 sondage toutes les 5 minutes. Si vous avez besoin d'un sondage plus fréquent ou d'un meilleur contrôle de la stratégie de sondage, vous pouvez utiliser l'eks:callintégration pour demander le statut de la tâche.
L'eks:runJobintégration est spécifique à batch/v1 Kubernetes Jobs. Pour plus d'informations, consultez la section Jobseks:callintégration de services. Vous pouvez utiliser Step Functions pour créer des boucles d'interrogation, comme le montre l'Sondage sur le statut du poste avec Lambda et AWS Batchexemple de projet.
Les paramètres pris en charge incluent :
-
ClusterName: nom du cluster Amazon EKS que vous souhaitez appeler.-
Type:String -
Obligatoire : oui
-
-
CertificateAuthority: les données de certificat codées en Base64 nécessaires pour communiquer avec votre cluster. Vous pouvez obtenir cette valeur à partir de la console Amazon EKSou à l'aide de l'DescribeClusterAPI Amazon EKS. -
Type:String -
Obligatoire : oui
-
-
Endpoint: URL du point de terminaison de votre serveur d'API Kubernetes. Vous pouvez obtenir cette valeur à partir de la console Amazon EKSou à l'aide de l'DescribeClusterAPI Amazon EKS. -
Type:String -
Obligatoire : oui
-
-
Namespace: espace de noms dans lequel exécuter le job. S'il n'est pas fourni, l'espace de nomsdefaultest utilisé.-
Type:String -
Obligatoire : non
-
-
Job: définition du Kubernetes Job. Consultez la section Jobsdans la documentation de Kubernetes. -
Type:JSONouString -
Obligatoire : oui
-
-
LogOptions: ensemble d'options permettant de contrôler la récupération facultative des journaux. Applicable uniquement si le modèle d'intégration du service Run a Job (.sync) est utilisé pour attendre la fin de la tâche.-
Type:JSON -
Obligatoire : non
-
Les journaux sont inclus dans la réponse sous la clé
logs. La tâche peut comporter plusieurs modules, chacun contenant plusieurs conteneurs.{ ... "logs": { "pods": { "pod1": { "containers": { "container1": { "log":<log>}, ... } }, ... } } -
La récupération des journaux est effectuée dans la mesure du possible. En cas d'erreur lors de la récupération d'un journal, le
logchamp sera remplacé par les champserroretcause.
-
-
LogOptions.RetrieveLogs: active la récupération du journal une fois le travail terminé. Par défaut, les journaux ne sont pas récupérés.-
Type:Boolean -
Obligatoire : non
-
-
LogOptions.RawLogs: S'ilRawLogsest défini sur true, les journaux seront renvoyés sous forme de chaînes brutes sans qu'il soit nécessaire de les analyser en JSON. Par défaut, les journaux sont désérialisés au format JSON si possible. Dans certains cas, une telle analyse peut introduire des modifications indésirables, telles que la limitation de la précision des nombres contenant de nombreux chiffres.-
Type:Boolean -
Obligatoire : non
-
-
LogOptions.LogParameters: L'API Read Log de l'API Kubernetes prend en charge les paramètres de requête pour contrôler la récupération des journaux. Par exemple, vous pouvez utilisertailLinesoulimitByteslimiter la taille des journaux récupérés tout en respectant le quota de taille des données de Step Functions. Pour plus d'informations, consultez la section Read Logde la référence des API Kubernetes. -
Type:Carte deStringàList of Strings -
Obligatoire : non
-
Exemple :
"LogParameters": { "tailLines": [ "6" ] }
-
L'exemple suivant inclut un Task état qui exécute une tâche, attend qu'elle soit terminée, puis extrait les journaux de la tâche :
{
"StartAt": "Run a job on EKS",
"States": {
"Run a job on EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:runJob.sync",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://AKIAIOSFODNN7EXAMPLE.yl4.us-east-1.eks.amazonaws.com",
"LogOptions": {
"RetrieveLogs": true
},
"Job": {
"apiVersion": "batch/v1",
"kind": "Job",
"metadata": {
"name": "example-job"
},
"spec": {
"backoffLimit": 0,
"template": {
"metadata": {
"name": "example-job"
},
"spec": {
"containers": [
{
"name": "pi-2000",
"image": "perl",
"command": [ "perl" ],
"args": [
"-Mbignum=bpi",
"-wle",
"print bpi(2000)"
]
}
],
"restartPolicy": "Never"
}
}
}
}
},
"End": true
}
}
}Call
L'intégration des eks:call services vous permet d'utiliser l'API Kubernetes pour lire et écrire des objets de ressources Kubernetes via un point de terminaison d'API Kubernetes.
Votre serveur d'API Kubernetes doit accorder des autorisations au rôle IAM utilisé par votre machine d'état. Pour de plus amples informations, veuillez consulter Autorisations.
Pour plus d'informations sur les opérations disponibles, consultez la référence des API Kubernetes.
Les paramètres pris en charge Call incluent :
-
ClusterName: nom du cluster Amazon EKS que vous souhaitez appeler.-
Type: chaîne -
Obligatoire : oui
-
-
CertificateAuthority: les données de certificat codées en Base64 nécessaires pour communiquer avec votre cluster. Vous pouvez obtenir cette valeur à partir de la console Amazon EKSou à l'aide de l'DescribeClusterAPI Amazon EKS. -
Type:String -
Obligatoire : oui
-
-
Endpoint: URL du point de terminaison de votre serveur d'API Kubernetes. Vous pouvez trouver cette valeur sur la console Amazon EKSou en utilisant l' DescribeCluster API Amazon EKS. -
Type:String -
Obligatoire : oui
-
-
Method: méthode HTTP de votre requête. SoitGET,POST,PUT,DELETE,HEADouPATCH.-
Type:String -
Obligatoire : oui
-
-
Path: chemin HTTP de l'opération de l'API REST de Kubernetes.-
Type:String -
Obligatoire : oui
-
-
QueryParameters: paramètres de requête HTTP de l'opération de l'API REST de Kubernetes.-
Type:Carte deStringàList of Strings -
Obligatoire : non
-
Exemple :
"QueryParameters": { "labelSelector": [ "job-name=example-job" ] }
-
-
RequestBody: corps du message HTTP de l'opération de l'API REST de Kubernetes.-
Type:JSONouString -
Obligatoire : non
-
Ce qui suit inclut un Task état qui permet eks:call de répertorier les pods appartenant à la tâcheexample-job.
{
"StartAt": "Call EKS",
"States": {
"Call EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "GET",
"Path": "/api/v1/namespaces/default/pods",
"QueryParameters": {
"labelSelector": [
"job-name=example-job"
]
}
},
"End": true
}
}
}Ce qui suit inclut un Task état utilisé eks:call pour supprimer la tâche example-job et définit le propagationPolicy pour garantir que les modules de la tâche sont également supprimés.
{
"StartAt": "Call EKS",
"States": {
"Call EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "DELETE",
"Path": "/apis/batch/v1/namespaces/default/jobs/example-job",
"QueryParameters": {
"propagationPolicy": [
"Foreground"
]
}
},
"End": true
}
}
}Amazon EKS optimisé APIs
Amazon EKS APIs et sa syntaxe pris en charge incluent :
-
-
Lorsqu'un cluster Amazon EKS est créé à l'aide de l'intégration de
eks:createClusterservices, le rôle IAM est ajouté à la table d'autorisation Kubernetes RBAC en tant qu'administrateur (avec les autorisations system:masters). Au départ, seule cette entité IAM peut effectuer des appels au serveur d'API Kubernetes. Pour plus d’informations, consultez :-
Gestion des utilisateurs ou des rôles IAM pour votre cluster dans le guide de l'utilisateur Amazon EKS
-
La Autorisations section
Amazon EKS utilise des rôles liés à un service qui contiennent les autorisations dont Amazon EKS a besoin pour appeler d'autres services en votre nom. Si ces rôles liés à un service n'existent pas déjà dans votre compte, vous devez ajouter l'
iam:CreateServiceLinkedRoleautorisation au rôle IAM utilisé par Step Functions. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur Amazon EKS.Le rôle IAM utilisé par Step Functions doit disposer des
iam:PassRoleautorisations nécessaires pour transmettre le rôle IAM du cluster à Amazon EKS. Pour plus d'informations, consultez le rôle IAM du cluster Amazon EKS dans le guide de l'utilisateur Amazon EKS. -
-
-
Vous devez supprimer tous les profils Fargate ou groupes de nœuds avant de supprimer un cluster.
-
-
Amazon EKS utilise des rôles liés à un service qui contiennent les autorisations dont Amazon EKS a besoin pour appeler d'autres services en votre nom. Si ces rôles liés à un service n'existent pas déjà dans votre compte, vous devez ajouter l'
iam:CreateServiceLinkedRoleautorisation au rôle IAM utilisé par Step Functions. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur Amazon EKS.Amazon EKS on Fargate n'est peut-être pas disponible dans toutes les régions. Pour plus d'informations sur la disponibilité des régions, consultez la section sur Fargate dans le guide de l'utilisateur Amazon EKS.
Le rôle IAM utilisé par Step Functions doit disposer des
iam:PassRoleautorisations nécessaires pour transmettre le rôle IAM d'exécution du pod à Amazon EKS. Pour plus d'informations, consultez la section Rôle d'exécution du Pod dans le guide de l'utilisateur Amazon EKS.
-
-
Amazon EKS utilise des rôles liés à un service qui contiennent les autorisations dont Amazon EKS a besoin pour appeler d'autres services en votre nom. Si ces rôles liés à un service n'existent pas déjà dans votre compte, vous devez ajouter l'
iam:CreateServiceLinkedRoleautorisation au rôle IAM utilisé par Step Functions. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur Amazon EKS.Le rôle IAM utilisé par Step Functions doit disposer des
iam:PassRoleautorisations nécessaires pour transmettre le rôle IAM du nœud à Amazon EKS. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur Amazon EKS.
Ce qui suit inclut un Task qui crée un cluster Amazon EKS.
{
"StartAt": "CreateCluster.sync",
"States": {
"CreateCluster.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createCluster.sync",
"Parameters": {
"Name": "MyCluster",
"ResourcesVpcConfig": {
"SubnetIds": [
"subnet-053e7c47012341234",
"subnet-027cfea4b12341234"
]
},
"RoleArn": "arn:aws:iam::123456789012:role/MyEKSClusterRole"
},
"End": true
}
}
}Ce qui suit inclut un Task état qui supprime un cluster Amazon EKS.
{
"StartAt": "DeleteCluster.sync",
"States": {
"DeleteCluster.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteCluster.sync",
"Parameters": {
"Name": "MyCluster"
},
"End": true
}
}
}Ce qui suit inclut un Task état qui crée un profil Fargate.
{
"StartAt": "CreateFargateProfile.sync",
"States": {
"CreateFargateProfile.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createFargateProfile.sync",
"Parameters": {
"ClusterName": "MyCluster",
"FargateProfileName": "MyFargateProfile",
"PodExecutionRoleArn": "arn:aws:iam::123456789012:role/MyFargatePodExecutionRole",
"Selectors": [{
"Namespace": "my-namespace",
"Labels": { "my-label": "my-value" }
}]
},
"End": true
}
}
}Ce qui suit inclut un Task état qui supprime un profil Fargate.
{
"StartAt": "DeleteFargateProfile.sync",
"States": {
"DeleteFargateProfile.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteFargateProfile.sync",
"Parameters": {
"ClusterName": "MyCluster",
"FargateProfileName": "MyFargateProfile"
},
"End": true
}
}
}Ce qui suit inclut un Task état qui crée un groupe de nœuds.
{
"StartAt": "CreateNodegroup.sync",
"States": {
"CreateNodegroup.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createNodegroup.sync",
"Parameters": {
"ClusterName": "MyCluster",
"NodegroupName": "MyNodegroup",
"NodeRole": "arn:aws:iam::123456789012:role/MyNodeInstanceRole",
"Subnets": ["subnet-09fb51df01234", "subnet-027cfea4b1234"]
},
"End": true
}
}
}Ce qui suit inclut un Task état qui supprime un groupe de nœuds.
{
"StartAt": "DeleteNodegroup.sync",
"States": {
"DeleteNodegroup.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteNodegroup.sync",
"Parameters": {
"ClusterName": "MyCluster",
"NodegroupName": "MyNodegroup"
},
"End": true
}
}
}Autorisations
Lorsqu'un cluster Amazon EKS est créé à l'aide de l'intégration de eks:createCluster services, le rôle IAM est ajouté à la table d'autorisation Kubernetes RBAC en tant qu'administrateur, avec des autorisations. system:masters Au départ, seule cette entité IAM peut effectuer des appels au serveur d'API Kubernetes. Par exemple, vous ne pourrez pas utiliser kubectl pour interagir avec votre serveur d'API Kubernetes, sauf si vous assumez le même rôle que votre machine d'état Step Functions ou si vous configurez Kubernetes pour accorder des autorisations à des entités IAM supplémentaires. Pour plus d'informations, consultez la section Gestion des utilisateurs ou des rôles IAM pour votre cluster dans le guide de l'utilisateur Amazon EKS.
Vous pouvez ajouter des autorisations pour des entités IAM supplémentaires, telles que des utilisateurs ou des rôles, en les ajoutant à l'espace de noms aws-auth ConfigMap in the kube-system. Si vous créez votre cluster à partir de Step Functions, utilisez l'intégration eks:call de services.
Ce qui suit inclut un Task état qui crée un aws-auth ConfigMap et accorde system:masters l'autorisation à l'utilisateur arn:aws:iam::123456789012:user/my-user et au rôle arn:aws:iam::123456789012:role/my-role IAM.
{
"StartAt": "Add authorized user",
"States": {
"Add authorized user": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "LS0tLS1CRUd...UtLS0tLQo=",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "POST",
"Path": "/api/v1/namespaces/kube-system/configmaps",
"RequestBody": {
"apiVersion": "v1",
"kind": "ConfigMap",
"metadata": {
"name": "aws-auth",
"namespace": "kube-system"
},
"data": {
"mapUsers": "[{ \"userarn\": \"arn:aws:iam::123456789012:user/my-user\", \"username\": \"my-user\", \"groups\": [ \"system:masters\" ] } ]",
"mapRoles": "[{ \"rolearn\": \"arn:aws:iam::123456789012:role/my-role\", \"username\": \"my-role\", \"groups\": [ \"system:masters\" ] } ]"
}
}
},
"End": true
}
}Note
L'ARN d'un rôle IAM peut s'afficher dans un format incluant le chemin /service-role/, tel que. arn:aws:iam::123456789012:role/ Ce jeton de chemin de rôle de service ne doit pas être inclus lors de la liste du rôle dans. service-role/my-roleaws-auth
Lorsque votre cluster est créé pour la aws-auth ConfigMap première fois, il n'existera pas, mais sera ajouté automatiquement si vous créez un profil Fargate. Vous pouvez récupérer la valeur actuelle deaws-auth, ajouter les autorisations supplémentaires et créer PUT une nouvelle version. Il est généralement plus facile de le créer aws-auth avant le profil Fargate.
Si votre cluster a été créé en dehors de Step Functions, vous pouvez configurer kubectl pour communiquer avec votre serveur d'API Kubernetes. Créez ensuite une nouvelle aws-auth ConfigMap utilisation kubectl apply -f aws-auth.yaml ou modifiez-en une qui existe déjà à l'aide dekubectl edit -n kube-system configmap/aws-auth. Pour plus d’informations, consultez :
-
Créez un kubeconfig pour Amazon EKS dans le guide de l'utilisateur Amazon EKS.
-
Gestion des utilisateurs ou des rôles IAM pour votre cluster dans le guide de l'utilisateur Amazon EKS.
Si votre rôle IAM ne dispose pas d'autorisations suffisantes dans Kubernetes, les intégrations de eks:runJob services eks:call ou de services échoueront avec l'erreur suivante :
Error:
EKS.401
Cause:
{
"ResponseBody": {
"kind": "Status",
"apiVersion": "v1",
"metadata": {},
"status": "Failure",
"message": "Unauthorized",
"reason": "Unauthorized",
"code": 401
},
"StatusCode": 401,
"StatusText": "Unauthorized"
}
Politiques IAM pour appeler Amazon EKS
Les exemples de modèles suivants montrent comment AWS Step Functions générer des politiques IAM en fonction des ressources contenues dans la définition de votre machine d'état. Pour plus d’informations, consultez Comment Step Functions génère des politiques IAM pour les services intégrés et Découvrez les modèles d'intégration des services dans Step Functions.
CreateCluster
Ressources
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:CreateCluster"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster",
"eks:DeleteCluster"
],
"Resource": "arn:aws:eks:sa-east-1:444455556666:cluster/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::444455556666:role/StepFunctionsSample-EKSClusterManag-EKSServiceRole-ANPAJ2UCCR6DPCEXAMPLE"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "eks.amazonaws.com"
}
}
}
]
}
CreateNodeGroup
Ressources
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"eks:CreateNodegroup"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"eks:DescribeNodegroup",
"eks:DeleteNodegroup"
],
"Resource": "arn:aws:eks:sa-east-1:444455556666:nodegroup/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListAttachedRolePolicies"
],
"Resource": "arn:aws:iam::444455556666:role/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::444455556666:role/StepFunctionsSample-EKSClusterMan-NodeInstanceRole-ANPAJ2UCCR6DPCEXAMPLE"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "eks.amazonaws.com"
}
}
}
]
}DeleteCluster
Ressources
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DeleteCluster",
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:sa-east-1:444455556666:cluster/ExampleCluster"
]
}
]
}DeleteNodegroup
Ressources
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DeleteNodegroup",
"eks:DescribeNodegroup"
],
"Resource": [
"arn:aws:eks:sa-east-1:444455556666:nodegroup/ExampleCluster/ExampleNodegroup/*"
]
}
]
}Pour plus d'informations sur l'utilisation d'Amazon EKS avec Step Functions, consultezCréez et gérez des clusters Amazon EKS avec Step Functions.
