Bước-00: Giới thiệu
- Hiểu về Đối tượng cốt lõi của EKS
- máy bay điều khiển
- Nút công nhân & Nhóm nút
- Hồ sơ Fargate
- VPC
- Tạo cụm EKS
- Liên kết Cụm EKS với Nhà cung cấp IAM OIDC
- Tạo nhóm nút EKS
- Xác minh cụm, nhóm nút, phiên bản EC2, chính sách IAM và nhóm nút
Bước-01: Tạo Cụm EKS bằng eksctl
- Sẽ mất 15 đến 20 phút để tạo Mặt phẳng điều khiển cụm
1 2 3 4 5 6 7 8 9 | # Create Cluster eksctl create cluster --name=eksdemo1 --region=us-east-1 --zones=us-east-1a,us-east-1b --without-nodegroup # Get List of clusters eksctl get cluster |
Bước-02: Tạo & Liên kết Nhà cung cấp IAM OIDC cho Cụm EKS của chúng tôi
- Để kích hoạt và sử dụng vai trò AWS IAM cho tài khoản dịch vụ Kubernetes trên cụm EKS, chúng ta phải tạo và liên kết nhà cung cấp danh tính OIDC.
- Để làm như vậy bằng
eksctlchúng ta có thể sử dụng lệnh bên dưới. - Sử dụng phiên bản eksctl mới nhất (hiện tại phiên bản mới nhất là
0.21.0)
1 2 3 4 5 6 7 8 9 10 11 12 | # Template eksctl utils associate-iam-oidc-provider --region region-code --cluster <cluter-name> --approve # Replace with region & cluster name eksctl utils associate-iam-oidc-provider --region us-east-1 --cluster eksdemo1 --approve |
Bước-03: Tạo cặp khóa EC2
- Tạo một Cặp khóa EC2 mới với tên là
kube-demo - Cặp khóa này chúng ta sẽ sử dụng nó khi tạo EKS NodeGroup.
- Điều này sẽ giúp chúng tôi đăng nhập vào Nút công nhân EKS bằng Terminal.
Bước-04: Tạo Nhóm nút với các Tiện ích bổ sung trong Mạng con công cộng
- Các tiện ích bổ sung này sẽ tự động tạo các chính sách IAM tương ứng cho chúng tôi trong vai trò Nhóm nút của chúng tôi.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | # Create Public Node Group eksctl create nodegroup --cluster=eksdemo1 --region=us-east-1 --name=eksdemo1-ng-public1 --node-type=t3.medium --nodes=2 --nodes-min=2 --nodes-max=4 --node-volume-size=20 --ssh-access --ssh-public-key=kube-demo --managed --asg-access --external-dns-access --full-ecr-access --appmesh-access --alb-ingress-access |
Bước-05: Xác minh Cụm & Nút
Xác minh mạng con NodeGroup để xác nhận Phiên bản EC2 nằm trong Mạng con công cộng
- Xác minh mạng con của nhóm nút để đảm bảo nó được tạo trong mạng con công khai
- Chuyển đến Dịch vụ -> EKS -> eksdemo -> eksdemo1-ng1-public
- Nhấp vào Mạng con được liên kết trong tab Chi tiết
- Nhấp vào tab Bảng lộ trình.
- Chúng ta sẽ thấy tuyến internet đó qua Cổng Internet (0.0.0.0/0 -> igw-xxxxxxxx)
Xác minh Cụm, Nhóm nút trong Bảng điều khiển quản lý EKS
- Chuyển đến Dịch vụ -> Dịch vụ đàn hồi Kubernetes -> eksdemo1
Liệt kê các nút công nhân
1 2 3 4 5 6 7 8 9 10 11 12 | # List EKS clusters eksctl get cluster # List NodeGroups in a cluster eksctl get nodegroup --cluster=<clusterName> # List Nodes in current kubernetes cluster kubectl get nodes -o wide # Our kubectl context should be automatically changed to new cluster kubectl config view --minify |
Xác minh vai trò IAM nút công nhân và danh sách các chính sách
- Chuyển đến Dịch vụ -> EC2 -> Nút công nhân
- Nhấp vào Vai trò IAM được liên kết với Nút công nhân EC2
Xác minh nhóm bảo mật được liên kết với nút công nhân
- Chuyển đến Dịch vụ -> EC2 -> Nút công nhân
- Nhấp vào Nhóm bảo mật được liên kết với Trường hợp EC2 có chứa
remotetrong tên.
Xác minh ngăn xếp CloudFormation
- Xác minh sự kiện và ngăn xếp mặt phẳng điều khiển
- Xác minh sự kiện và ngăn xếp NodeGroup
Đăng nhập vào Worker Node bằng Keypai kube-demo
- Đăng nhập vào nút công nhân
1 2 3 4 5 6 | # For MAC or Linux or Windows10 ssh -i kube-demo.pem ec2-user@<Public-IP-of-Worker-Node> # For Windows 7 Use putty |
Bước-06: Cập nhật Worker Nodes Security Group để cho phép tất cả lưu lượng truy cập
- Chúng tôi cần cho phép
All Trafficcập trên nhóm bảo mật nút công nhân
Tài liệu tham khảo bổ sung
- https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html
- https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html
Xóa nhóm nút và cụm EKS
Bước-01: Xóa nhóm nút
- Chúng ta có thể xóa riêng một nhóm nút bằng cách sử dụng
eksctl delete nodegroupbên dưới
1 2 3 4 5 6 7 8 9 10 11 | # List EKS Clusters eksctl get clusters # Capture Node Group name eksctl get nodegroup --cluster=<clusterName> eksctl get nodegroup --cluster=eksdemo1 # Delete Node Group eksctl delete nodegroup --cluster=<clusterName> --name=<nodegroupName> eksctl delete nodegroup --cluster=eksdemo1 --name=eksdemo1-ng-public1 |
Bước-02: Xóa cụm
- Chúng ta có thể xóa cụm bằng cách sử dụng cụm
eksctl delete cluster
1 2 3 4 | # Delete Cluster eksctl delete cluster <clusterName> eksctl delete cluster eksdemo1 |
Ghi chú quan trọng
Lưu ý-1: Phục hồi bất kỳ Thay đổi nhóm bảo mật nào
- Khi chúng tôi tạo cụm EKS bằng
eksctl, nó sẽ tạo nhóm bảo mật nút công nhân chỉ có quyền truy cập cổng 22. - Khi chúng tôi hoàn thành khóa học, chúng tôi sẽ tạo nhiều Dịch vụ NodePort để truy cập và kiểm tra các ứng dụng của chúng tôi thông qua trình duyệt.
- Trong quá trình này, chúng tôi cần thêm một quy tắc bổ sung vào nhóm bảo mật được tạo tự động này, cho phép truy cập vào các ứng dụng mà chúng tôi đã triển khai.
- Vì vậy, điểm chúng ta cần hiểu ở đây là khi chúng ta xóa cụm bằng cách sử dụng
eksctl, các thành phần cốt lõi của nó phải ở cùng trạng thái, điều đó có nghĩa là khôi phục thay đổi mà chúng ta đã thực hiện đối với nhóm bảo mật trước khi xóa cụm. - Theo cách này, cụm sẽ bị xóa mà không gặp sự cố nào, nếu không, chúng tôi có thể gặp sự cố và chúng tôi cần tham khảo các sự kiện cấu trúc đám mây và xóa một số thứ theo cách thủ công. Nói tóm lại, chúng ta cần phải đi đến nhiều nơi để xóa.
Lưu ý-2: Khôi phục bất kỳ Vai trò phiên bản nút công nhân EC2 nào – Thay đổi chính sách
- Khi chúng tôi đang thực hiện
EBS Storage Section with EBS CSI Driver, chúng tôi sẽ thêm một chính sách tùy chỉnh cho vai trò IAM nút công nhân. - Khi bạn đang xóa cụm, trước tiên hãy quay lại thay đổi đó và xóa nó.
- Bằng cách này, chúng tôi không gặp phải bất kỳ sự cố nào trong quá trình xóa cụm.