Crea nodi Amazon Linux autogestiti - Amazon EKS

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea nodi Amazon Linux autogestiti

Questo argomento descrive come avviare gruppi di Auto Scaling di Linux nodi che si registrano nel tuo EKS cluster Amazon. Dopo che i nodi si sono uniti al cluster, puoi eseguire la distribuzione Kubernetes applicazioni destinate a loro. Puoi anche avviare nodi Amazon Linux autogestiti con eksctl o. AWS Management Console Se devi avviare nodi su AWS Outposts, consultaCrea nodi Amazon Linux su AWS Outposts.

Prerequisiti

  • Un EKS cluster Amazon esistente. Per implementarne uno, consulta Crea un EKS cluster Amazon. Se hai delle sottoreti nel luogo in Regione AWS cui hai AWS Outposts AWS Wavelength, o le AWS Local Zones sono abilitate, tali sottoreti non devono essere state passate al momento della creazione del cluster.

  • Un IAM ruolo esistente da utilizzare per i nodi. Per crearne uno, consulta Ruolo IAM del nodo Amazon EKS. Se questo ruolo non ha nessuna delle politiche per VPCCNI, per i VPC CNI pod è necessario il ruolo separato che segue.

  • (Facoltativo, ma consigliato) Il Amazon VPC CNI plugin for Kubernetes componente aggiuntivo configurato con IAM un proprio ruolo a cui è associata la IAM politica necessaria. Per ulteriori informazioni, consulta Configura il VPC CNI plug-in Amazon da utilizzare IRSA.

  • Familiarità con le considerazioni riportate in Scegli un tipo di istanza Amazon EC2 node ottimale. A seconda del tipo di istanza scelto, potrebbero esserci prerequisiti aggiuntivi per il cluster e. VPC

eksctl
Nota

eksctlal momento non supporta Amazon Linux 2023.

Prerequisito

La versione 0.191.0 o quelle successive dello strumento a riga di comando eksctl deve essere installata sul dispositivo o nella AWS CloudShell. Per l'installazione o l'aggiornamento di eksctl, consulta la sezione Installation nella documentazione di eksctl.

Per avviare la gestione automatica Linux nodi che utilizzano eksctl

  1. (Facoltativo) Se la CNIpolicy gestita di Amazon EKS _ IAM _Policy è associata alla tua policyRuolo IAM del nodo Amazon EKS, ti consigliamo di assegnarla a un IAM ruolo che associ al Kubernetes aws-nodeaccount di servizio invece. Per ulteriori informazioni, consulta Configura il VPC CNI plug-in Amazon da utilizzare IRSA.

  2. Il comando seguente crea un gruppo di nodi in un cluster esistente. Sostituisci al-nodes con un nome per il gruppo di nodi. Il nome del gruppo di nodi non può contenere più di 63 caratteri. Deve iniziare con una lettera o un numero, ma può anche includere trattini e caratteri di sottolineatura. Sostituisci my-cluster con il nome del cluster. Il nome può contenere solo caratteri alfanumerici (con distinzione tra lettere maiuscole e minuscole) e trattini. Deve iniziare con un carattere alfanumerico e non può contenere più di 100 caratteri. Il nome deve essere univoco all'interno del Regione AWS e in Account AWS cui si sta creando il cluster. Sostituisci i example value rimanenti con i valori in tuo possesso. I nodi vengono creati con lo stesso Kubernetes versione come piano di controllo, per impostazione predefinita.

    Prima di scegliere un valore per --node-type, verifica Scegli un tipo di istanza Amazon EC2 node ottimale.

    Sostituiscilo my-key con il nome della tua coppia di EC2 chiavi Amazon o della tua chiave pubblica. Questa chiave viene utilizzata per SSH accedere ai nodi dopo il loro avvio. Se non disponi già di una coppia di EC2 chiavi Amazon, puoi crearne una in AWS Management Console. Per ulteriori informazioni, consulta le coppie di EC2 chiavi Amazon nella Amazon EC2 User Guide.

    Crea il tuo gruppo di nodi con il comando seguente.

    Importante

    Se desideri distribuire un gruppo di nodi su sottoreti Wavelength o Local AWS Outposts Zone, ci sono altre considerazioni:

    eksctl create nodegroup \
  --cluster my-cluster \
  --name al-nodes \
  --node-type t3.medium \
  --nodes 3 \
  --nodes-min 1 \
  --nodes-max 4 \
  --ssh-access \
  --managed=false \
  --ssh-public-key my-key

    Per implementare un gruppo di nodi che:

    Per un elenco completo di tutte le opzioni e i valori predefiniti disponibili, immetti il comando seguente.

    eksctl create nodegroup --help

    Se i nodi non riescono a unirsi al cluster, Impossibile aggiungere i nodi al cluster consulta il capitolo Risoluzione dei problemi.

    Di seguito viene riportato un output di esempio: Durante la creazione dei nodi vengono generate diverse righe. Una delle ultime righe di output è simile alla seguente riga di esempio.

    [✔]  created 1 nodegroup(s) in cluster "my-cluster"

  3. (Facoltativo) Implementa un'applicazione di esempio per testare il cluster e Linux nodi.

  4. Ti consigliamo di bloccare Pod accesso a IMDS se sono vere le seguenti condizioni:

    • Hai intenzione di assegnare IAM ruoli a tutti i tuoi Kubernetes account di servizio in modo che Pods dispongono solo delle autorizzazioni minime di cui hanno bisogno.

    • No Pods nel cluster richiedono l'accesso al servizio di metadati dell'EC2istanza Amazon (IMDS) per altri motivi, come il recupero della corrente. Regione AWS

    Per ulteriori informazioni, consulta Limitazione dell'accesso al profilo dell'istanza assegnato al nodo worker.

AWS Management Console
Fase 1: Avviare la gestione automatica Linux nodi che utilizzano il AWS Management Console

  1. Scarica l'ultima versione del AWS CloudFormation modello.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml

  2. Attendi che lo stato del cluster risulti ACTIVE. Se vengono avviati prima che il cluster sia attivo, i nodi non riescono a effettuare la registrazione al cluster e sarà necessario riavviarli.

  3. Apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  4. Scegli Crea stack e quindi seleziona Con nuove risorse (standard).

  5. In Specifica modello, seleziona Carica un file di modello e Scegli file.

  6. Seleziona il file amazon-eks-nodegroup.yaml scaricato.

  7. Seleziona Successivo.

  8. Nella pagina Specifica i dettagli dello stack, immetti i parametri seguenti e scegli Successivo:

    • Nome stack: scegli il nome per lo stack di AWS CloudFormation . Ad esempio, è possibile chiamarlo my-cluster-nodes. Il nome può contenere solo caratteri alfanumerici (con distinzione tra lettere maiuscole e minuscole) e trattini. Deve iniziare con un carattere alfanumerico e non può contenere più di 100 caratteri. Il nome deve essere univoco all'interno del Regione AWS e in Account AWS cui si sta creando il cluster.

    • ClusterName: inserisci il nome che hai usato per creare il tuo EKS cluster Amazon. Questo nome deve corrispondere al nome del cluster o i nodi non verranno aggiunti al cluster.

    • ClusterControlPlaneSecurityGroup: Scegli il SecurityGroupsvalore dall' AWS CloudFormation output che hai generato quando hai creato il tuo VPC.

      Nella procedura seguente viene illustrata un'operazione per recuperare il gruppo applicabile.

      1. Apri la EKS console Amazon a https://console.aws.amazon.com/eks/home#/clusters.

      2. Scegli il nome del cluster.

      3. Scegli la scheda Reti.

      4. Usa il valore dei gruppi di sicurezza aggiuntivi come riferimento quando selezioni dall'elenco a discesa. ClusterControlPlaneSecurityGroup

    • NodeGroupName: inserisci un nome per il tuo gruppo di nodi. Questo nome può essere utilizzato in seguito per identificare il gruppo di nodi con dimensionamento automatico creato per i tuoi nodi. Il nome del gruppo di nodi non può contenere più di 63 caratteri. Deve iniziare con una lettera o un numero, ma può anche includere trattini e caratteri di sottolineatura.

    • NodeAutoScalingGroupMinSize: Inserisci il numero minimo di nodi su cui il gruppo Auto Scaling del nodo può scalare.

    • NodeAutoScalingGroupDesiredCapacity: Inserisci il numero di nodi desiderato su cui scalare quando viene creato lo stack.

    • NodeAutoScalingGroupMaxSize: Inserisci il numero massimo di nodi su cui il gruppo Auto Scaling del nodo può scalare orizzontalmente.

    • NodeInstanceType: scegli un tipo di istanza per i tuoi nodi. Per ulteriori informazioni, consulta Scegli un tipo di istanza Amazon EC2 node ottimale.

    • NodeImageIdSSMParam: precompilato con il parametro Amazon EC2 Systems Manager di un Amazon recente EKS ottimizzato AMI per una variabile Kubernetes versione. Usare un altro Kubernetes versione secondaria supportata da AmazonEKS, 1.XX sostituiscila con una versione supportata diversa. Ti consigliamo di specificare lo stesso Kubernetes versione del cluster.

      Puoi anche sostituirlo amazon-linux-2 con un AMI tipo diverso. Per ulteriori informazioni, consulta Recupera Amazon Linux consigliato AMI IDs.

      Nota

      Il EKS nodo Amazon AMI è basato su Amazon Linux. Puoi tenere traccia degli eventi di sicurezza o privacy per Amazon Linux 2 nell'Amazon Linux Security Center o abbonarti al RSSfeed associato. Gli eventi di sicurezza e privacy includono una panoramica del problema, quali sono i pacchetti interessati e come aggiornare le istanze per risolvere il problema.

    • NodeImageId: (Facoltativo) Se utilizzi il tuo account personalizzato AMI (anziché quello EKS ottimizzato per AmazonAMI), inserisci un AMI ID del nodo per il tuo Regione AWS. Se specifichi un valore qui, questo sostituisce tutti i valori nel NodeImageIdSSMParamcampo.

    • NodeVolumeSize: Specificate la dimensione del volume root per i nodi, in GiB.

    • NodeVolumeType: Specificate un tipo di volume root per i nodi.

    • KeyName: inserisci il nome di una coppia di EC2 SSH chiavi Amazon che puoi usare per connetterti ai tuoi nodi dopo il lancio. SSH Se non disponi già di una coppia di EC2 chiavi Amazon, puoi crearne una in AWS Management Console. Per ulteriori informazioni, consulta le coppie di EC2 chiavi Amazon nella Amazon EC2 User Guide.

      Nota

      Se non fornisci una key pair qui, la creazione dello AWS CloudFormation stack fallisce.

    • BootstrapArguments: Specificate eventuali argomenti opzionali da passare allo script di bootstrap del nodo, ad esempio argomenti aggiuntivikubelet. Per ulteriori informazioni, visualizza le informazioni sull'utilizzo dello script bootstrap su GitHub.

      Per implementare un gruppo di nodi che:

    • D isableIMDSv 1: Per impostazione predefinita, ogni nodo supporta Instance Metadata Service versione 1 (IMDSv1) eIMDSv2. È possibile disabilitareIMDSv1. Per prevenire nodi futuri e Pods nel gruppo di nodi da utilizzareMDSv1, imposta D isableIMDSv 1 su true. Per ulteriori informazioni suIMDS, vedere Configurazione del servizio di metadati dell'istanza. Per ulteriori informazioni sulle relative limitazioni dell'accesso ai nodi, consulta Limita l'accesso al profilo dell'istanza assegnato al nodo (worker).

    • VpcId: inserisci l'ID per VPCquello che hai creato.

    • Sottoreti: scegli le sottoreti che hai creato per le tue. VPC Se hai creato la tua VPC utilizzando i passaggi descritti inCrea un Amazon VPC per il tuo EKS cluster Amazon, specifica solo le sottoreti private all'interno delle quali i nodi possono essere VPC avviati. È possibile visualizzare le sottoreti private aprendo ogni collegamento relativo alla sottorete dalla scheda Reti del cluster.

      Importante

      • Se una qualsiasi delle sottoreti è pubblica, devi abilitare l'impostazione di assegnazione automatica degli indirizzi IP pubblici. Se l'impostazione non è abilitata per la sottorete pubblica, ai nodi distribuiti in quella sottorete pubblica non verrà assegnato un indirizzo IP pubblico e non saranno in grado di comunicare con il cluster o altri servizi. AWS Se la sottorete è stata distribuita prima del 26 marzo 2020 utilizzando uno dei EKS AWS CloudFormation VPCmodelli Amazon o utilizzandoeksctl, l'assegnazione automatica degli indirizzi IP pubblici è disabilitata per le sottoreti pubbliche. Per informazioni su come abilitare l'assegnazione di indirizzi IP pubblici per una sottorete, consulta Modifica dell'attributo di assegnazione degli indirizzi IPv4 pubblici per la sottorete. Se il nodo viene distribuito in una sottorete privata, è in grado di comunicare con il cluster e altri servizi tramite un gateway. AWS NAT

      • Se le sottoreti non hanno accesso a Internet, leggi con attenzione le considerazioni e le fasi aggiuntive descritte in Implementa cluster privati con accesso limitato a Internet.

      • Se si AWS Outposts selezionano le sottoreti Wavelength o Local Zone, le sottoreti non devono essere state passate al momento della creazione del cluster.

  9. Seleziona le opzioni desiderate nella pagina Configura opzioni dello stack, quindi scegli Next (Avanti).

  10. Seleziona la casella di controllo a sinistra di Riconosco che potrebbe creare risorse. AWS CloudFormation IAM , quindi scegli Crea pila.

  11. Al termine della creazione dello stack, selezionalo nella console e scegli Output.

  12. Registra il NodeInstanceRoleper il gruppo di nodi che è stato creato. Ne hai bisogno quando configuri i tuoi EKS nodi Amazon.

Fase 2: abilitazione dell'aggiunta di nodi al cluster
Nota

Se hai avviato nodi all'interno di un ambiente privato VPC senza accesso a Internet in uscita, assicurati di consentire ai nodi di unirsi al cluster dall'VPCinterno di.

  1. Verifica se disponi già di una ConfigMap per aws-auth.

    kubectl describe configmap -n kube-system aws-auth

  2. Se ti viene mostrata una ConfigMap per aws-auth, aggiornala se necessario.

    1. Apri ConfigMap per la modifica.

      kubectl edit -n kube-system configmap/aws-auth

    2. Aggiungi una nuova voce mapRoles, se necessario. Impostate il rolearn valore sul NodeInstanceRolevalore registrato nella procedura precedente.

      [...]
data:
  mapRoles: |
    - rolearn: <ARN of instance role (not instance profile)>
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
[...]

    3. Salva il file ed esci dall'editor di testo.

  3. Se hai ricevuto un messaggio di errore che indica "Error from server (NotFound): configmaps "aws-auth" not found", applica lo ConfigMap di stock.

    1. Scarica la mappa di configurazione.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml

    2. Nel aws-auth-cm.yaml file, impostate il rolearn NodeInstanceRolevalore sul valore registrato nella procedura precedente. Per eseguire questa operazione, utilizza un editor di testo o sostituisci my-node-instance-role eseguendo il comando seguente:

      sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml

    3. Applica la configurazione. L'esecuzione di questo comando potrebbe richiedere alcuni minuti.

      kubectl apply -f aws-auth-cm.yaml

  4. Guarda lo stato dei nodi e attendi che raggiungano lo stato Ready.

    kubectl get nodes --watch

    Inserisci Ctrl+C per tornare a un prompt dello shell (interprete di comandi).

    Nota

    Se ricevi qualsiasi altro errore di tipo di risorsa o autorizzazione, consulta la sezione Accesso negato o non autorizzato (kubectl) nell'argomento relativo alla risoluzione dei problemi.

    Se i nodi non riescono a unirsi al cluster, Impossibile aggiungere i nodi al cluster consultate il capitolo Risoluzione dei problemi.

  5. (solo GPU nodi) Se hai scelto un tipo di GPU istanza e Amazon EKS Optimized AcceleratedAMI, devi applicare il plug-in del NVIDIA dispositivo per Kubernetescome DaemonSet sul tuo cluster. Sostituiscilo vX.X.X con la s-device-plugin versione NVIDIA/k8 desiderata prima di eseguire il seguente comando.

    kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
Fase 3: operazioni aggiuntive

  1. (Facoltativo) Implementate un'applicazione di esempio per testare il cluster e Linux nodi.

  2. (Facoltativo) Se la CNIpolicy gestita di Amazon EKS _ IAM _Policy (se hai un IPv4 cluster) o la AmazonEKS_CNI_IPv6_Policy (che hai creato tu stesso se hai un IPv6 cluster) è allegata al tuoRuolo IAM del nodo Amazon EKS, ti consigliamo di assegnarla a un IAM ruolo da associare al Kubernetes aws-nodeaccount di servizio invece. Per ulteriori informazioni, consulta Configura il VPC CNI plug-in Amazon da utilizzare IRSA.

  3. Ti consigliamo di bloccare Pod accesso a IMDS se sono vere le seguenti condizioni:

    • Hai intenzione di assegnare IAM ruoli a tutti i tuoi Kubernetes account di servizio in modo che Pods dispongono solo delle autorizzazioni minime di cui hanno bisogno.

    • No Pods nel cluster richiedono l'accesso al servizio di metadati dell'EC2istanza Amazon (IMDS) per altri motivi, come il recupero della corrente. Regione AWS

    Per ulteriori informazioni, consulta Limita l'accesso al profilo dell'istanza assegnato al nodo (worker).