Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea nodi Amazon Linux autogestiti
Questo argomento descrive come avviare gruppi di Auto Scaling di Linux nodi che si registrano nel tuo cluster Amazon EKS. Dopo che i nodi si sono uniti al cluster, puoi eseguire la distribuzione Kubernetes applicazioni destinate a loro. Puoi anche avviare nodi Amazon Linux autogestiti con eksctl
o. AWS Management Console Se devi avviare nodi su AWS Outposts, consulta. Crea nodi Amazon Linux su AWS Outposts
-
Un cluster Amazon EKS esistente. Per implementarne uno, consulta Crea un cluster Amazon EKS. Se hai delle sottoreti nella AWS regione in cui hai abilitato AWS Outposts, AWS Wavelength o AWS Local Zones, tali sottoreti non devono essere state passate al momento della creazione del cluster.
-
Un ruolo IAM esistente per i nodi da utilizzare. Per crearne uno, consulta Ruolo IAM del nodo Amazon EKS. Se questo ruolo non ha nessuna delle politiche per il VPC CNI, per i pod VPC CNI è necessario il ruolo separato che segue.
-
(Facoltativo, ma consigliato) Il Amazon VPC CNI plugin for Kubernetes componente aggiuntivo configurato con un proprio ruolo IAM a cui è associata la politica IAM necessaria. Per ulteriori informazioni, consulta Configurare il plug-in Amazon VPC CNI per utilizzare IRSA.
-
Conoscenza delle considerazioni elencate in Scegli un tipo di istanza di EC2 nodo Amazon ottimale. A seconda del tipo di istanza scelto, potrebbero esserci ulteriori prerequisiti per il cluster e il VPC.
Puoi avviare nodi Linux autogestiti utilizzando uno dei seguenti metodi:
eksctl
Avvia nodi Linux autogestiti utilizzando eksctl
-
Installa la versione
0.199.0
o successiva dello strumento da riga dieksctl
comando installato sul tuo dispositivo o AWS CloudShell. Per l'installazione o l'aggiornamento dieksctl
, consulta la sezione Installationnella documentazione di eksctl
. -
(Facoltativo) Se la policy IAM gestita da Amazoneks_CNI_Policy è allegata al ruolo IAM del nodo Amazon EKS, ti consigliamo di assegnarla a un ruolo IAM da associare al Kubernetes
aws-node
account di servizio invece. Per ulteriori informazioni, consulta Configurare il plug-in Amazon VPC CNI per utilizzare IRSA. -
Il comando seguente crea un gruppo di nodi in un cluster esistente. Sostituisci
al-nodes
con un nome per il gruppo di nodi. Il nome del gruppo di nodi non può superare i 63 caratteri. Deve iniziare con una lettera o un numero, ma può anche includere trattini e caratteri di sottolineatura. Sostituiscimy-cluster
con il nome del cluster. Il nome può contenere solo caratteri alfanumerici (con distinzione tra lettere maiuscole e minuscole) e trattini. Deve iniziare con un carattere alfanumerico e non può superare i 100 caratteri. Il nome deve essere univoco all'interno della AWS regione e AWS dell'account in cui stai creando il cluster. Sostituisci iexample value
rimanenti con i valori in tuo possesso. I nodi vengono creati con lo stesso Kubernetes versione come piano di controllo, per impostazione predefinita.Prima di scegliere un valore per
--node-type
, consulta Scegli un tipo di istanza Amazon EC2 node ottimale.Sostituiscilo
my-key
con il nome della tua coppia di EC2 chiavi Amazon o della tua chiave pubblica. Questa chiave viene utilizzata per eseguire il SSH nei nodi dopo il loro avvio. Se non disponi già di una coppia di EC2 chiavi Amazon, puoi crearne una in AWS Management Console. Per ulteriori informazioni, consulta le coppie di EC2 chiavi Amazon nella Amazon EC2 User Guide.Crea il tuo gruppo di nodi con il comando seguente.
Importante
Se desideri distribuire un gruppo di nodi nelle sottoreti AWS Outposts, Wavelength o Local Zone, ci sono altre considerazioni:
-
Le sottoreti non devono essere state trasmesse al momento della creazione del cluster.
-
È necessario creare il gruppo di nodi con un file di configurazione, specificando le sottoreti e
volumeType
. Per ulteriori informazioni, consulta Creazione di un gruppo di nodi da un file di configurazione: gp2 e lo Schema del file config nella documentazione di eksctl
.
eksctl create nodegroup \ --cluster my-cluster \ --name al-nodes \ --node-type t3.medium \ --nodes 3 \ --nodes-min 1 \ --nodes-max 4 \ --ssh-access \ --managed=false \ --ssh-public-key my-key
Per implementare un gruppo di nodi che:
-
può assegnare un numero significativamente maggiore di indirizzi IP a Pods rispetto alla configurazione predefinita, vedereAssegna più indirizzi IP ai nodi Amazon EKS con prefissi.
-
può assegnare
IPv4
indirizzi a Pods da un altro CIDR blocco rispetto a quello dell'istanza, vediImplementazione Pods in sottoreti alternative con rete personalizzata. -
può assegnare
IPv6
indirizzi a Pods e servizi, vediScopri IPv6 gli indirizzi verso i cluster, Podse servizi. -
utilizza il runtime
containerd
, devi implementare il gruppo di nodi utilizzando un file diconfig
. Per ulteriori informazioni, consulta Prova la migrazione ad Amazon Linux 2 da Docker a containerd. -
non hanno accesso a Internet in uscita, vediImplementa cluster privati con accesso limitato a Internet.
Per un elenco completo di tutte le opzioni e i valori predefiniti disponibili, immetti il comando seguente.
eksctl create nodegroup --help
Se i nodi non riescono a unirsi al cluster, consulta il Impossibile aggiungere i nodi al cluster capitolo Risoluzione dei problemi.
Di seguito viene riportato un output di esempio: Durante la creazione dei nodi vengono generate diverse righe. Una delle ultime righe di output è simile alla seguente riga di esempio.
[✔] created 1 nodegroup(s) in cluster "my-cluster"
-
-
(Facoltativo) Implementa un'applicazione di esempio per testare il cluster e Linux nodi.
-
Ti consigliamo di bloccare Pod accesso a IMDS se sono soddisfatte le seguenti condizioni:
-
Hai intenzione di assegnare ruoli IAM a tutti i tuoi Kubernetes account di servizio in modo che Pods dispongono solo delle autorizzazioni minime di cui hanno bisogno.
-
No Pods nel cluster richiedono l'accesso all'Amazon EC2 Instance Metadata Service (IMDS) per altri motivi, come il recupero della regione corrente. AWS
Per ulteriori informazioni, consulta Limitazione dell'accesso al profilo dell'istanza assegnato al nodo worker
. -
AWS Management Console
Fase 1: Avvia nodi Linux autogestiti utilizzando AWS Management Console
-
Scarica l'ultima versione del AWS CloudFormation modello.
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml
-
Attendi che lo stato del cluster risulti
ACTIVE
. Se vengono avviati prima che il cluster sia attivo, i nodi non riescono a effettuare la registrazione al cluster e sarà necessario riavviarli. -
Apri la AWS CloudFormation console
. -
Scegli Crea stack e quindi seleziona Con nuove risorse (standard).
-
In Specifica modello, seleziona Carica un file di modello e Scegli file.
-
Seleziona il file
amazon-eks-nodegroup.yaml
scaricato. -
Seleziona Successivo.
-
Nella pagina Specifica i dettagli dello stack, immetti i parametri seguenti e scegli Successivo:
-
Nome dello stack: scegli un nome per lo stack. AWS CloudFormation Ad esempio, è possibile chiamarlo
my-cluster-nodes
. Il nome può contenere solo caratteri alfanumerici (con distinzione tra lettere maiuscole e minuscole) e trattini. Deve iniziare con un carattere alfanumerico e non può superare i 100 caratteri. Il nome deve essere univoco all'interno della AWS regione e AWS dell'account in cui stai creando il cluster. -
ClusterName: inserisci il nome che hai usato per creare il cluster Amazon EKS. Questo nome deve essere uguale al nome del cluster o i nodi non possono unirsi al cluster.
-
ClusterControlPlaneSecurityGroup: scegli il SecurityGroupsvalore dall' AWS CloudFormation output che hai generato quando hai creato il tuo VPC.
Nella procedura seguente viene illustrata un'operazione per recuperare il gruppo applicabile.
-
Aprire la Console Amazon EKS
. -
Scegli il nome del cluster.
-
Scegli la scheda Reti.
-
Utilizza il valore dei gruppi di sicurezza aggiuntivi come riferimento quando selezioni dall'ClusterControlPlaneSecurityGroupelenco a discesa.
-
-
NodeGroupName: inserisci un nome per il tuo gruppo di nodi. Questo nome può essere usato in seguito per identificare il gruppo di nodi Auto Scaling creato per i tuoi nodi. Il nome del gruppo di nodi non può superare i 63 caratteri. Deve iniziare con una lettera o un numero, ma può anche includere trattini e caratteri di sottolineatura.
-
NodeAutoScalingGroupMinSize: Inserisci il numero minimo di nodi su cui il gruppo Auto Scaling del nodo può scalare.
-
NodeAutoScalingGroupDesiredCapacity: Inserisci il numero di nodi desiderato su cui scalare quando viene creato lo stack.
-
NodeAutoScalingGroupMaxSize: Inserisci il numero massimo di nodi su cui il gruppo Auto Scaling del nodo può scalare orizzontalmente.
-
NodeInstanceType: scegli un tipo di istanza per i tuoi nodi. Per ulteriori informazioni, consulta Scegli un tipo di istanza Amazon EC2 node ottimale.
-
NodeImageIdSSMParam: precompilato con il parametro Amazon EC2 Systems Manager di una recente AMI ottimizzata per Amazon EKS per una variabile Kubernetes versione. Usare un altro Kubernetes versione secondaria supportata con Amazon EKS, sostituita
1.XX
con una versione supportata diversa. Ti consigliamo di specificare lo stesso Kubernetes versione del tuo cluster.Puoi anche sostituirlo
amazon-linux-2
con un altro tipo di AMI. Per ulteriori informazioni, consulta Recupera le AMI Amazon Linux consigliate IDs.Nota
I nodi Amazon EKS AMIs sono basati su Amazon Linux. Tieni traccia degli eventi di sicurezza o di privacy per Amazon Linux 2 nel Centro di sicurezza di Amazon Linux
o iscriviti al feed RSS associato. Gli eventi di sicurezza e privacy includono una panoramica del problema, quali sono i pacchetti interessati e come aggiornare le istanze per risolvere il problema. -
NodeImageId: (Facoltativo) Se utilizzi un'AMI personalizzata (anziché un'AMI ottimizzata per Amazon EKS), inserisci un ID AMI del nodo per la tua AWS regione. Se specifichi un valore qui, questo sostituisce tutti i valori nel NodeImageIdSSMParamcampo.
-
NodeVolumeSize: Specificate la dimensione del volume root per i nodi, in GiB.
-
NodeVolumeType: Specificate un tipo di volume root per i nodi.
-
KeyName: inserisci il nome di una coppia di chiavi Amazon EC2 SSH che puoi usare per connetterti tramite SSH ai tuoi nodi dopo il loro avvio. Se non disponi già di una coppia di EC2 chiavi Amazon, puoi crearne una in AWS Management Console. Per ulteriori informazioni, consulta le coppie di EC2 chiavi Amazon nella Amazon EC2 User Guide.
Nota
Se non fornisci una key pair qui, la creazione dello AWS CloudFormation stack fallisce.
-
BootstrapArguments: Specificate eventuali argomenti opzionali da passare allo script di bootstrap del nodo, ad esempio argomenti aggiuntivi
kubelet
. Per ulteriori informazioni, visualizza le informazioni sull'utilizzo dello script bootstrapsu GitHub. Per implementare un gruppo di nodi che:
-
può assegnare un numero significativamente maggiore di indirizzi IP a Pods rispetto alla configurazione predefinita, vedereAssegna più indirizzi IP ai nodi Amazon EKS con prefissi.
-
può assegnare
IPv4
indirizzi a Pods da un altro CIDR blocco rispetto a quello dell'istanza, vediImplementazione Pods in sottoreti alternative con rete personalizzata. -
può assegnare
IPv6
indirizzi a Pods e servizi, vediScopri IPv6 gli indirizzi verso i cluster, Podse servizi. -
utilizza il runtime
containerd
, devi implementare il gruppo di nodi utilizzando un file diconfig
. Per ulteriori informazioni, consulta Prova la migrazione ad Amazon Linux 2 da Docker a containerd. -
non hanno accesso a Internet in uscita, vediImplementa cluster privati con accesso limitato a Internet.
-
-
Disabilita IMDSv1: per impostazione predefinita, ogni nodo supporta Instance Metadata Service versione 1 (IMDSv1) e. IMDSv2 È possibile disabilitare IMDSv1. Per prevenire nodi futuri e Pods nel gruppo di nodi da utilizzare MDSv1, imposta Disable IMDSv1 su true. Per ulteriori informazioni su IMDS, consulta Configurazione del servizio di metadati dell'istanza. Per ulteriori informazioni sulle relative limitazioni dell'accesso ai nodi, consulta Limita l'accesso al profilo dell'istanza assegnato al nodo (worker)
. -
VpcId: inserisci l'ID per il VPC che hai creato.
-
Sottoreti: scegli le sottoreti create per il VPC. Se hai creato il tuo VPC utilizzando i passaggi descritti in Creare un VPC Amazon per il tuo cluster Amazon EKS, specifica solo le sottoreti private all'interno del VPC in cui avviare i nodi. È possibile visualizzare le sottoreti private aprendo ogni collegamento relativo alla sottorete dalla scheda Reti del cluster.
Importante
-
Se una qualsiasi delle sottoreti è pubblica, devi abilitare l'impostazione di assegnazione automatica degli indirizzi IP pubblici. Se l'impostazione non è abilitata per la sottorete pubblica, a tutti i nodi distribuiti in quella sottorete pubblica non verrà assegnato un indirizzo IP pubblico e non saranno in grado di comunicare con il cluster o altri servizi. AWS Se la sottorete è stata distribuita prima del 26 marzo 2020 utilizzando uno dei modelli AWS CloudFormation VPC di Amazon EKS o utilizzando
eksctl
, l'assegnazione automatica degli indirizzi IP pubblici è disabilitata per le sottoreti pubbliche. Per informazioni su come abilitare l'assegnazione di indirizzi IP pubblici per una sottorete, consulta Modifica dell'attributo di indirizzamento pubblico per la sottorete. IPv4 Se il nodo viene distribuito in una sottorete privata, è in grado di comunicare con il cluster e altri AWS servizi tramite un gateway NAT. -
Se le sottoreti non dispongono di accesso a Internet, assicurati di conoscere le considerazioni e i passaggi aggiuntivi descritti in Implementazione di cluster privati con accesso limitato a Internet.
-
Se si AWS selezionano le sottoreti Outposts, Wavelength o Local Zone, le sottoreti non devono essere state passate al momento della creazione del cluster.
-
-
-
Seleziona le opzioni desiderate nella pagina Configura opzioni dello stack, quindi scegli Next (Avanti).
-
Seleziona la casella di controllo a sinistra di Riconosco che potrebbe creare risorse IAM. AWS CloudFormation , quindi scegli Create stack.
-
Al termine della creazione dello stack, selezionalo nella console e scegli Output.
-
Registra il NodeInstanceRoleper il gruppo di nodi che è stato creato. Ciò sarà utile quando configurerai i nodi di Amazon EKS.
Passaggio 2: abilita i nodi a unirsi al cluster
Nota
Se i nodi sono stati avviati all'interno di un VPC privato senza accesso a Internet in uscita, assicurati di abilitare i nodi da aggiungere al cluster dal VPC.
-
Verifica se disponi già di una
ConfigMap
peraws-auth
.kubectl describe configmap -n kube-system aws-auth
-
Se ti viene mostrata una
ConfigMap
peraws-auth
, aggiornala se necessario.-
Apri
ConfigMap
per la modifica.kubectl edit -n kube-system configmap/aws-auth
-
Aggiungi una nuova voce
mapRoles
, se necessario. Imposta ilrolearn
NodeInstanceRolevalore sul valore registrato nella procedura precedente.[...] data: mapRoles: | - rolearn: <ARN of instance role (not instance profile)> username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodes [...]
-
Salva il file ed esci dall'editor di testo.
-
-
Se hai ricevuto un messaggio di errore che indica "
Error from server (NotFound): configmaps "aws-auth" not found
", applica loConfigMap
di stock.-
Scarica la mappa di configurazione.
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml
-
Nel
aws-auth-cm.yaml
file, impostate ilrolearn
NodeInstanceRolevalore sul valore registrato nella procedura precedente. Per eseguire questa operazione, utilizza un editor di testo o sostituiscimy-node-instance-role
eseguendo il comando seguente:sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml
-
Applica la configurazione. L'esecuzione di questo comando potrebbe richiedere alcuni minuti.
kubectl apply -f aws-auth-cm.yaml
-
-
Guarda lo stato dei nodi e attendi che raggiungano lo stato
Ready
.kubectl get nodes --watch
Inserisci
Ctrl
+C
per tornare a un prompt dello shell (interprete di comandi).Nota
Se ricevi qualsiasi altro errore di tipo di risorsa o autorizzazione, consulta la sezione Accesso negato o non autorizzato (kubectl) nell'argomento relativo alla risoluzione dei problemi.
Se i nodi non riescono a unirsi al cluster, Impossibile aggiungere i nodi al cluster consultate il capitolo Risoluzione dei problemi.
-
(Solo nodi GPU) Se hai scelto un tipo di istanza GPU e l'AMI accelerata ottimizzata per Amazon EKS, devi applicare il plug-in del dispositivo NVIDIA
per Kubernetes come DaemonSet sul tuo cluster. vX.X.X
Sostituiscilo con la s-device-plugin versione di Nvidia/K8desiderata prima di eseguire il seguente comando. kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
Fase 3: Azioni aggiuntive
-
(Facoltativo) Implementate un'applicazione di esempio per testare il cluster e Linux nodi.
-
(Facoltativo) Se la policy IAM gestita da Amazoneks_CNI_Policy (se hai
IPv4
un cluster) o la (che hai creato tu stesso se hai unIPv6
cluster) è collegataAmazonEKS_CNI_IPv6_Policy
al ruolo IAM del nodo Amazon EKS, ti consigliamo di assegnarlo a un ruolo IAM da associare a Kubernetesaws-node
account di servizio invece. Per ulteriori informazioni, consulta Configurare il plug-in Amazon VPC CNI per utilizzare IRSA. -
Ti consigliamo di bloccare Pod accesso a IMDS se sono soddisfatte le seguenti condizioni:
-
Hai intenzione di assegnare ruoli IAM a tutti i tuoi Kubernetes account di servizio in modo che Pods dispongono solo delle autorizzazioni minime di cui hanno bisogno.
-
No Pods nel cluster richiedono l'accesso all'Amazon EC2 Instance Metadata Service (IMDS) per altri motivi, come il recupero della regione corrente. AWS
Per ulteriori informazioni, consulta Limita l'accesso al profilo dell'istanza assegnato al nodo (worker)
. -