Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge - AWS Snowball Edge Panduan Pengembang
Pengaturan awalMengkonfigurasi dan menjalankan Amazon EKS Anywhere secara otomatisMengkonfigurasi dan menjalankan Amazon EKS Anywhere secara manual

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge

Ikuti prosedur ini untuk mengonfigurasi dan memulai Amazon EKS Anywhere di perangkat Snowball Edge Anda. Kemudian, untuk mengonfigurasi Amazon EKS Anywhere agar beroperasi pada perangkat yang terputus, selesaikan prosedur tambahan sebelum memutuskan sambungan perangkat tersebut dari jaringan eksternal. Untuk informasi selengkapnya, lihat Mengkonfigurasi Amazon EKS Anywhere on AWS Snow untuk operasi terputus.

Penyiapan awal untuk Amazon EKS Anywhere di perangkat Snow Family

Lakukan pengaturan awal pada setiap perangkat Snowball Edge dengan menghubungkan perangkat ke jaringan lokal Anda, mengunduh klien Snowball Edge, mendapatkan kredensil, dan membuka kunci perangkat.

Lakukan pengaturan awal

  1. Mengunduh dan menginstal klien Snowball Edge. Untuk informasi selengkapnya, lihat Mengunduh dan menginstal Klien Snowball Edge.

  2. Hubungkan perangkat ke jaringan lokal Anda. Untuk informasi selengkapnya, lihat Menyambungkan perangkat Snow Family ke jaringan lokal Anda.

  3. Dapatkan kredensil untuk membuka kunci perangkat Anda. Untuk informasi selengkapnya, lihat Mendapatkan kredensil untuk mengakses perangkat Snow Family.

  4. Buka kunci perangkat. Untuk informasi selengkapnya, lihat Membuka kunci perangkat Keluarga Salju. Anda juga dapat menggunakan alat skrip alih-alih membuka kunci perangkat secara manual. Lihat Buka kunci perangkat.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara otomatis

Anda dapat menggunakan alat skrip sampel untuk mengatur lingkungan dan menjalankan instans admin Amazon EKS Anywhere atau Anda dapat melakukannya secara manual. Untuk menggunakan alat skrip, lihat Membuka kunci perangkat dan lingkungan penyiapan untuk Amazon EKS Anywhere. Setelah lingkungan diatur dan instans admin Amazon EKS Anywhere berjalan, jika Anda perlu mengonfigurasi Amazon EKS Anywhere untuk beroperasi di perangkat Snowball Edge saat terputus dari jaringan, lihat. Mengkonfigurasi Amazon EKS Anywhere on AWS Snow untuk operasi terputus Jika tidak, lihat Membuat dan memelihara cluster di perangkat Snowball Edge.

Untuk mengatur lingkungan secara manual dan menjalankan instans admin Amazon EKS Anywhere, lihatMengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara manual.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara manual

Sebelum mengonfigurasi Amazon EKS Anywhere pada perangkat Snowball Edge, siapkan profil untuk Snowball Edge Client. Untuk informasi selengkapnya, lihat Mengkonfigurasi dan menggunakan Snowball Edge Client.

Buat pengguna IAM lokal Amazon EKS Anywhere

Untuk praktik keamanan terbaik, buat IAM pengguna lokal Amazon EKS Anywhere di perangkat Snowball Edge. Anda dapat melakukan ini dengan menggunakan prosedur berikut secara manual.

catatan

Lakukan ini untuk setiap perangkat Snowball Edge yang Anda gunakan.

Buat pengguna lokal di perangkat Keluarga Salju

Gunakan create-user perintah untuk membuat IAM pengguna Amazon EKS Anywhere.


aws iam create-user --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name
    {
        "User": {
            "Path": "/",
            "UserName": "eks-a-user",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/eks-a-user",
            "CreateDate": "2022-04-06T00:13:35.665000+00:00"
        }
    }

Membuat kebijakan untuk pengguna lokal di perangkat Keluarga Salju

Buat dokumen kebijakan, gunakan untuk membuat IAM kebijakan, dan lampirkan kebijakan tersebut ke pengguna lokal Amazon EKS Anywhere.

Untuk membuat dokumen kebijakan dan melampirkannya ke pengguna lokal Amazon EKS Anywhere

  1. Buat dokumen kebijakan dan simpan ke komputer Anda. Salin kebijakan di bawah ini ke dokumen.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "snowballdevice:DescribeDevice",
        "snowballdevice:CreateDirectNetworkInterface",
        "snowballdevice:DeleteDirectNetworkInterface",
        "snowballdevice:DescribeDirectNetworkInterfaces",
        "snowballdevice:DescribeDeviceSoftware"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RunInstances",
        "ec2:DescribeInstances",
        "ec2:TerminateInstances",
        "ec2:ImportKeyPair",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeImages",
        "ec2:DeleteTags"
      ],
      "Resource": ["*"]
    }
  ]
}

  2. Gunakan create-policy perintah untuk membuat IAM kebijakan berdasarkan dokumen kebijakan. Nilai --policy-document parameter harus menggunakan jalur absolut ke file kebijakan. Sebagai contoh, file:///home/user/policy-name.json.

    
aws iam create-policy --policy-name policy-name --policy-document file:///home/user/policy-name.json --endpoint http://snowball-ip:6078 --profile profile-name
{
    "Policy": {
        "PolicyName": "policy-name",
        "PolicyId": "ANPACEMGEZDGNBVGY3TQOJQGEZAAAABP76TE5MKAAAABCCOTR2IJ43NBTJRZBU",
        "Arn": "arn:aws:iam::123456789012:policy/policy-name",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "CreateDate": "2022-04-06T04:46:56.907000+00:00",
        "UpdateDate": "2022-04-06T04:46:56.907000+00:00"
    }
}

  3. Gunakan attach-user-policy perintah untuk melampirkan IAM kebijakan ke pengguna lokal Amazon EKS Anywhere.

    
aws iam attach-user-policy --policy-arn policy-arn --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name

Buat kunci akses dan file kredensi di perangkat Keluarga Salju

Buat kunci akses untuk pengguna IAM lokal Amazon EKS Anywhere. Kemudian, buat file kredensi dan sertakan di dalamnya nilai-nilai AccessKeyId dan SecretAccessKey dihasilkan untuk pengguna lokal. File kredensi akan digunakan oleh instans admin Amazon EKS Anywhere nanti.

  1. Gunakan create-access-key perintah untuk membuat kunci akses untuk pengguna lokal Amazon EKS Anywhere.

    
aws iam create-access-key --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name
    {
        "AccessKey": {
            "UserName": "eks-a-user",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "Status": "Active",
            "SecretAccessKey": "RTT/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "CreateDate": "2022-04-06T04:23:46.139000+00:00"
        }
    }

  2. Buat file kredensi. Di dalamnya, simpan AccessKeyId dan SecretAccessKey nilai dalam format berikut.

    
[snowball-ip] 
aws_access_key_id = ABCDEFGHIJKLMNOPQR2T
aws_secret_access_key = AfSD7sYz/TBZtzkReBl6PuuISzJ2WtNkeePw+nNzJ
region = snow
    catatan

    Jika Anda bekerja dengan beberapa perangkat Snowball Edge, urutan kredensional dalam file tidak masalah, tetapi kredensil untuk semua perangkat harus dalam satu file.

Buat file sertifikat untuk instans admin di perangkat Snow Family

Instans admin Amazon EKS Anywhere memerlukan sertifikat perangkat Snowball Edge agar dapat berjalan di dalamnya. Buat file sertifikat yang menyimpan sertifikat untuk mengakses perangkat Snowball Edge untuk digunakan nanti oleh instans admin Amazon EKS Anywhere.

Untuk membuat file sertifikat

  1. Gunakan list-certificates perintah untuk mendapatkan sertifikat untuk setiap perangkat Snowball Edge yang Anda rencanakan untuk digunakan.

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge list-certificates --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code
{
  "Certificates" : [ {
    "CertificateArn" : "arn:aws:snowball-device:::certificate/xxx",
    "SubjectAlternativeNames" : [ "ID:JID-xxx" ]
  } ]
}

  2. Gunakan nilai CertificateArn sebagai nilai untuk --certificate-arn parameter get-certificate perintah. 

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge get-certificate --certificate-arn ARN --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  3. Buat file sertifikat perangkat. Masukkan output get-certificate ke dalam file sertifikat. Berikut ini adalah contoh cara menyimpan output.

    catatan

    Jika Anda bekerja dengan beberapa perangkat Snowball Edge, urutan kredensional dalam file tidak masalah, tetapi kredensil untuk semua perangkat harus dalam satu file.

    
-----BEGIN CERTIFICATE-----
ZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGUgZWtzYSBzbm93IHRlc3QgY2VydGlm  
aWNhdGVla3NhIHNub3cgdGVzdCBjZXJ0aWZpY2F0ZWVrc2Egc25vdyB0ZXN0IGNl  
cnRpZmljYXRlZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGVla3NhIHNub3cgdGVz  
dCBjZXJ0aWZpY2F0ZQMIIDXDCCAkSgAwIBAgIJAISM0nTVmbj+MA0GCSqGSIb3DQ  
...                                                               
-----END CERTIFICATE-----

  4. Ulangi Buat pengguna IAM lokal Amazon EKS Anywhere untuk membuat pengguna IAM lokal untuk Amazon EKS Anywhere di semua perangkat Snowball Edge.

(Opsional) Membuat dan mengimpor kunci Secure Shell pada perangkat Snow Family

Gunakan prosedur opsional ini untuk membuat kunci Secure Shell (SSH) untuk mengakses semua instance node Amazon EKS Anywhere dan untuk mengimpor kunci publik ke semua perangkat Snowball Edge. Simpan dan amankan file kunci ini.

Jika Anda melewati prosedur ini, Amazon EKS Anywhere akan membuat dan mengimpor SSH kunci secara otomatis bila perlu. Kunci ini akan disimpan pada instance admin di${PWD}/${CLUSTER_NAME}/eks-a-id_rsa.

Buat SSH kunci dan impor ke instans Amazon EKS Anywhere

  1. Gunakan ssh-keygen perintah untuk menghasilkan SSH kunci.

    
ssh-keygen -t rsa -C "key-name" -f path-to-key-file

  2. Gunakan import-key-pair perintah untuk mengimpor kunci dari komputer Anda ke perangkat Snowball Edge.

    catatan

    Nilai key-name parameter harus sama saat Anda mengimpor kunci ke semua perangkat.

    
aws ec2 import-key-pair --key-name key-name --public-key-material fileb:///path/to/key-file --endpoint http://snowball-ip:8008 --profile profile-name 
{
    "KeyFingerprint": "5b:0c:fd:e1:a0:69:05:4c:aa:43:f3:3b:3e:04:7f:51",
    "KeyName": "default",
    "KeyPairId": "s.key-85edb5d820c92a6f8"
}

Jalankan instans admin Amazon EKS Anywhere di perangkat Snow Family dan transfer file kredensi dan sertifikat ke perangkat tersebut

Jalankan instans admin Amazon EKS Anywhere di perangkat Snow Family

Ikuti prosedur ini untuk menjalankan instans admin Amazon EKS Anywhere secara manual, mengonfigurasi Antarmuka Jaringan Virtual (VNI) untuk instance admin, periksa status instance, buat SSH kunci, dan sambungkan ke instance admin dengannya. Anda dapat menggunakan alat skrip contoh untuk mengotomatiskan pembuatan instans admin Amazon EKS Anywhere dan mentransfer file kredensi dan sertifikat ke instance ini. Lihat Membuat instans admin Amazon EKS Anywhere. Setelah alat skrip selesai, Anda dapat ssh ke dalam instance dan membuat cluster dengan mengacu pada. Membuat dan memelihara cluster di perangkat Snowball Edge Jika Anda ingin mengatur instans Amazon EKS Anywhere secara manual, gunakan langkah-langkah berikut..

catatan

Jika Anda menggunakan lebih dari satu perangkat Snowball Edge untuk menyediakan cluster, Anda dapat meluncurkan instans admin Amazon EKS Anywhere di salah satu perangkat Snowball Edge.

Untuk menjalankan instans admin Amazon EKS Anywhere

  1. Gunakan create-key-pair perintah untuk membuat SSH kunci untuk instans admin Amazon EKS Anywhere. Perintah menyimpan kunci ke$PWD/key-file-name.

    
aws ec2 create-key-pair --key-name key-name --query 'KeyMaterial' --output text --endpoint http://snowball ip:8008 --profile profile-name > key-file-name

  2. Gunakan describe-images perintah untuk menemukan nama gambar yang dimulai dengan eks-anywhere-admin dari output.

    
aws ec2 describe-images --endpoint http://snowball-ip:8008 --profile profile-name

  3. Gunakan run-instance perintah untuk memulai instance admin eks-a dengan gambar admin Amazon EKS Anywhere. 

    
aws ec2 run-instances --image-id eks-a-admin-image-id --key-name key-name --instance-type sbe-c.xlarge --endpoint http://snowball-ip:8008 --profile profile-name

  4. Gunakan describe-instances perintah untuk memeriksa status instans Amazon EKS Anywhere. Tunggu sampai perintah menunjukkan status instance running sebelum melanjutkan.

    
aws ec2 describe-instances --instance-id instance-id --endpoint http://snowball-ip:8008 --profile profile-name

  5. Dari output describe-device perintah, perhatikan nilai PhysicalNetworkInterfaceId untuk antarmuka jaringan fisik yang terhubung ke jaringan Anda. Anda akan menggunakan ini untuk membuatVNI.

     
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge describe-device --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  6. Buat instance admin VNI untuk Amazon EKS Anywhere. Gunakan nilai PhysicalNetworkInterfaceId sebagai nilai physical-network-interface-id parameter.

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge create-virtual-network-interface --ip-address-assignment dhcp --physical-network-interface-id PNI --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  7. Gunakan nilai IpAddress sebagai nilai public-ip parameter associate-address perintah untuk mengaitkan alamat publik ke instans admin Amazon EKS Anywhere.

    
aws ec2 associate-address --instance-id instance-id --public-ip VNI-IP --endpoint http://snowball-ip:8008 --profile profile-name

  8. Connect ke instans admin Amazon EKS Anywhere olehSSH.

    
ssh -i path-to-key ec2-user@VNI-IP

Transfer file sertifikat dan kredensi ke instans admin di perangkat Snow Family

Setelah instans admin Amazon EKS Anywhere berjalan, transfer kredensional dan sertifikat perangkat Snowball Edge Anda ke instans admin. Jalankan perintah berikut dari direktori yang sama tempat Anda menyimpan file kredensi dan sertifikat di Buat kunci akses dan file kredensi di perangkat Keluarga Salju dan. Buat file sertifikat untuk instans admin di perangkat Snow Family


scp -i path-to-key path-to-credentials-file path-to-certificates-file ec2-user@eks-admin-instance-ip:~

Verifikasi isi file di instans admin Amazon EKS Anywhere. Berikut ini adalah contoh file kredensi dan sertifikat.


[192.168.1.1] 
aws_access_key_id = EMGEZDGNBVGY3TQOJQGEZB5ULEAAIWHWUJDXEXAMPLE 
aws_secret_access_key = AUHpqjO0GZQHEYXDbN0neLNlfR0gEXAMPLE 
region = snow 

[192.168.1.2] 
aws_access_key_id = EMGEZDGNBVGY3TQOJQGEZG5O7F3FJUCMYRMI4KPIEXAMPLE 
aws_secret_access_key = kY4Cl8+RJAwq/bu28Y8fUJepwqhDEXAMPLE 
region = snow        
      

-----BEGIN CERTIFICATE-----                                      
ZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGUgZWtzYSBzbm93IHRlc3QgY2VydGlm  
aWNhdGVla3NhIHNub3cgdGVzdCBjZXJ0aWZpY2F0ZWVrc2Egc25vdyB0ZXN0IGNl  
cnRpZmljYXRlZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGVla3NhIHNub3cgdGVz  
dCBjZXJ0aWZpY2F0ZQMIIDXDCCAkSgAwIBAgIJAISM0nTVmbj+MA0GCSqGSIb3DQ  
...                                                               
-----END CERTIFICATE-----                                         

-----BEGIN CERTIFICATE-----                                       
KJ0FPl2PAYPEjxr81/PoCXfZeARBzN9WLUH5yz1ta+sYUJouzhzWuLJYA1xqcCPY  
mhVlkRsN4hVdlBNRnCCpRF766yjdJeibKVzXQxoXoZBjrOkuGwqRy3d3ndjK77h4  
OR5Fv9mjGf7CjcaSjk/4iwmZvRSaQacb0YG5GVeb4mfUAuVtuFoMeYfnAgMBAAGj  
azBpMAwGA1UdEwQFMAMBAf8wHQYDVR0OBBYEFL/bRcnBRuSM5+FcYFa8HfIBomdF  
...                                                              
-----END CERTIFICATE-----