Erstellung von Amazon-Linux-Knoten in AWS Outposts - Amazon EKS
eksctlAWS-Managementkonsole

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Erstellung von Amazon-Linux-Knoten in AWS Outposts

Dieses Thema beschreibt Hinweise zum Starten von Auto-Scaling-Gruppen von Amazon-Linux-Knoten auf einem Outpost, die mit Ihrem Amazon-EKS-Cluster registriert sind. Der Cluster kann sich in der AWS Cloud oder in einem Outpost befinden.

  • Ein vorhandener Outpost. Weitere Informationen finden Sie unter Was ist AWS Outposts?.

  • Ein vorhandener Amazon-EKS-Cluster. Informationen zum Bereitstellen eines Clusters in der AWS Cloud finden Sie unter Amazon-EKS-Cluster erstellen. Informationen zum Bereitstellen eines Clusters in einem Outpost finden Sie unter Erstellung lokaler Amazon-EKS-Cluster in AWS Outposts für hohe Verfügbarkeit.

  • Angenommen, Sie erstellen Ihre Knoten in einem Cluster in der AWS Cloud und verfügen über Subnetze in der AWS-Region, in denen Sie AWS Outposts, AWS Wavelength oder AWS Local Zones aktiviert haben. Diese Subnetze dürfen dann bei der Erstellung Ihres Clusters nicht angegeben worden sein. Wenn Sie Ihre Knoten in einem Cluster in einem Outpost erstellen, müssen Sie bei der Erstellung Ihres Clusters ein Outpost-Subnetz angegeben haben.

  • (Empfohlen für Cluster in der AWS Cloud) Das Amazon VPC CNI-Plugin für Kubernetes-Add-on, konfiguriert mit einer eigenen IAM-Rolle, der die erforderliche IAM-Richtlinie zugewiesen ist. Weitere Informationen finden Sie unter Konfiguration des Amazon-VPC-CNI-Plugins für die Verwendung von IRSA. Lokale Cluster unterstützen keine IAM-Rollen für Service-Konten.

Sie können eine selbstverwaltete Amazon-Linux-Knotengruppe mit eksctl oder der AWS-Managementkonsole (mit einer AWS-CloudFormation-Vorlage) erstellen. Sie können auch Terraform verwenden.

Sie können eine selbstverwaltete Knotengruppe für einen lokalen Cluster mit den folgenden Tools erstellen, die auf dieser Seite beschrieben sind:

Wichtig

  • Die selbstverwaltete Knotengruppe beinhaltet Amazon-EC2-Instances in Ihrem Konto. Diese Instances werden nicht automatisch aktualisiert, wenn Sie oder Amazon EKS die Version der Steuerebene in Ihrem Namen aktualisieren. Für eine selbstverwaltete Knotengruppe gibt es in der Konsole keinen Hinweis darauf, dass sie aktualisiert werden muss. Sie können die auf einem Knoten installierte kubelet-Version anzeigen, indem Sie den Knoten in der Liste Knoten auf der Registerkarte Übersicht Ihres Clusters auswählen, um zu bestimmen, welche Knoten aktualisiert werden müssen. Sie müssen die Knoten manuell aktualisieren. Weitere Informationen finden Sie unter Selbstverwaltete Knoten für Ihren Cluster aktualisieren.

  • Die von kubelet auf Ihren selbstverwalteten Knoten verwendeten Zertifikate werden mit einer Gültigkeitsdauer von einem Jahr ausgestellt. Standardmäßig ist die Zertifikatsrotation nicht aktiviert (siehe: https://kubernetes.io/docs/reference/config-api/kubelet-config.v1beta1/# kubelet-config-k8s-io-v1beta1-KubeletConfiguration). Das bedeutet, dass ein selbstverwalteter Knoten, der länger als ein Jahr aktiv ist, sich nicht mehr bei der Kubernetes-API authentifizieren kann.

  • Als bewährte Methode empfehlen wir Kunden, ihre selbstverwalteten Knotengruppen regelmäßig zu aktualisieren, um CVEs und Sicherheits-Patches vom neuesten für Amazon-EKS-optimierten AMI zu erhalten. Die Aktualisierung der AMI, die in selbstverwalteten Knotengruppen verwendet wird, löst auch die Neuerstellung von Knoten aus und stellt sicher, dass sie nicht aufgrund abgelaufener Kubelet-Zertifikate in Konflikt geraten.

  • Alternativ können Sie auch die Rotation von Client-Zertifikaten aktivieren (siehe: https://kubernetes.io/docs/tasks/tls/certificate-rotation/), wenn Sie die selbstverwalteten Knotengruppen erstellen, um sicherzustellen, dass Kubelet-Zertifikate erneuert werden, wenn das aktuelle Zertifikat bald abläuft.

eksctl

So starten Sie selbstverwaltete Linux-Knoten mit eksctl

  1. Installieren Sie die Version 0.214.0 oder höher des eksctl-Befehlszeilen-Tools, das auf Ihrem Gerät oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von eksctl finden Sie in der Dokumentation zu eksctl unter Installation.

  2. Wenn sich Ihr Cluster in der AWS Cloud befindet und die verwaltete IAM-Richtlinie AmazonEKS_CNI_Policy Ihrer Amazon-EKS-Knoten-IAM-Rolle angefügt ist, empfehlen wir, sie stattdessen einer IAM-Rolle zuzuweisen, die Sie dem Kubernetes-aws-node-Servicekonto zuordnen. Weitere Informationen finden Sie unter Konfiguration des Amazon-VPC-CNI-Plugins für die Verwendung von IRSA. Wenn sich Ihr Cluster in Ihrem Outpost befindet, muss die Richtlinie an Ihre Knotenrolle angehängt sein.

  3. Der folgende Befehl erstellt eine Knotengruppe in einem bestehenden Cluster. Der Cluster muss mit eksctl erstellt worden sein. Ersetzen Sie al-nodes durch einen Namen für Ihre Knotengruppe. Der Name der Knotengruppe darf nicht länger als 63 Zeichen sein. Er muss mit einem Buchstaben oder einer Ziffer beginnen, kann danach aber auch Bindestriche und Unterstriche enthalten. Ersetzen Sie my-cluster durch den Namen Ihres Clusters. Der Name darf nur alphanumerische Zeichen (wobei die Groß- und Kleinschreibung beachtet werden muss) und Bindestriche enthalten. Es muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb der AWS-Region und des AWS-Kontos eindeutig sein, in der/dem Sie den Cluster erstellen. Wenn Ihr Cluster auf einem Outpost existiert, ersetzen Sie id mit der ID eines Outpost-Subnetzes. Wenn Ihr Cluster in der AWS Cloud vorhanden ist, ersetzen Sie id durch die ID eines Subnetzes, das Sie bei der Erstellung Ihres Clusters nicht angegeben haben. Ersetzen Sie instance-type mit einem Instance-Typ, der von Ihrem Outpost unterstützt wird. Ersetzen Sie die verbleibenden Beispielwerte durch Ihre eigenen Werte. Die Knoten werden standardmäßig mit derselben Kubernetes-Version wie die Steuerungsebene erstellt.

    Ersetzen Sie instance-type mit einem Instance-Typ, der in Ihrem Outpost verfügbar ist.

    Ersetzen Sie my-key mit dem Namen Ihres Amazon-EC2-Schlüsselpaars oder öffentlichen Schlüssels. Dieser Schlüssel wird für den SSH-Zugriff zu Ihren Knoten verwendet, nachdem diese gestartet wurden. Wenn Sie noch kein Amazon-EC2-Schlüsselpaar haben, können Sie eines in der AWS-Managementkonsole erstellen. Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare im Amazon-EC2-Benutzerhandbuch.

    Erstellen Sie Ihre Knoten-Gruppe mit dem folgenden Befehl.

    eksctl create nodegroup --cluster my-cluster --name al-nodes --node-type instance-type \
    --nodes 3 --nodes-min 1 --nodes-max 4 --managed=false --node-volume-type gp2 --subnet-ids subnet-id

    Wenn Ihr Cluster in der AWS Cloud bereitgestellt ist:

    Eine vollständige Liste aller verfügbaren Optionen und Standardwerte finden Sie unter Support für AWS Outposts in der eksctl-Dokumentation.

  4. (Optional) Eine Beispielanwendung in Linux bereitstellen Stellen Sie eine Beispielanwendung bereit, um Ihren Cluster und Ihre Linux-Worker-Knoten zu testen.

AWS-Managementkonsole

Schritt 1: Selbstverwaltete Linux-Knoten mit AWS-Managementkonsole starten

  1. Laden Sie die neueste Version der AWS-CloudFormation-Vorlage herunter.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml

  2. Öffnen Sie die AWS-CloudFormation-Konsole.

  3. Wählen Sie Create stack (Stack erstellen) und dann With new resources (standard) (Mit neuen Ressourcen [Standard]) aus.

  4. Wählen Sie für Specify template (Vorlage festlegen) Upload a template file (Vorlagendatei hochladen) aus und wählen Sie dann Choose file (Datei wählen). Wählen Sie die amazon-eks-nodegroup.yaml-Datei aus, die Sie in einem vorherigen Schritt heruntergeladen haben, und wählen Sie dann Next (Weiter) aus.

  5. Geben Sie auf der Seite Specify stack details (Stack-Details angeben) die folgenden Parameter ein und klicken Sie dann auf Next (Weiter):

    • Stack-Name: Wählen Sie einen Stack-Namen für Ihren AWS-CloudFormation-Stack aus. Sie können ihn beispielsweise al-nodes nennen. Der Name darf nur alphanumerische Zeichen (wobei die Groß- und Kleinschreibung beachtet werden muss) und Bindestriche enthalten. Es muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb der AWS-Region und des AWS-Kontos eindeutig sein, in der/dem Sie den Cluster erstellen.

    • ClusterName (Cluster-Name): Geben Sie einen Namen für Ihren Cluster ein. Wenn dieser Name nicht mit Ihrem Cluster-Namen übereinstimmt, können Ihre Knoten dem Cluster nicht beitreten.

    • ClusterControlPlaneSecurityGroup: Wählen Sie den SecurityGroups-Wert aus der AWS-CloudFormation-Ausgabe, die Sie beim Erstellen Ihres VPC generiert haben.

      Die folgenden Schritte zeigen einen Vorgang zum Abrufen der entsprechenden Gruppe.

      1. Öffnen Sie die Amazon-EKS-Konsole.

      2. Wählen Sie den Namen des Clusters.

      3. Wählen Sie die Registerkarte Network (Network) aus.

      4. Verwenden Sie den Wert Additional security groups (Zusätzliche Sicherheitsgruppen) als Referenz bei Auswahl aus der Dropdown-Liste ClusterControlPlaneSecurityGroup.

    • NodeGroupName: Geben Sie einen Namen für Ihren Knotengruppe ein. Dieser Name kann zu einem späteren Zeitpunkt zum Identifizieren der Auto-Scaling-Knotengruppe verwendet werden, die für Ihre Knoten erstellt wurde.

    • NodeAutoScalingGroupMinSize: Geben Sie die Mindestanzahl an Knoten an, in die Ihre Knoten-Auto-Scaling-Gruppe skaliert werden kann.

    • NodeAutoScalingGroupDesiredCapacity: Geben Sie die gewünschte Anzahl von Knoten ein, auf die beim Erstellen des Stacks skaliert werden soll.

    • NodeAutoScalingGroupMaxSize: Geben Sie die Höchstanzahl an Knoten an, aus der Ihre Auto-Scaling-Gruppe des Knotens skaliert werden kann.

    • NodeInstanceType: Wählen Sie einen Instance-Typ für Ihre Worker-Knoten aus. Wenn Ihr Cluster in der AWS Cloud ausgeführt wird, finden Sie weitere Informationen unter Auswahl eines optimalen Amazon-EC2-Knoten-Instance-Typs. Wenn Ihr Cluster auf einem Outpost ausgeführt wird, können Sie nur einen Instance-Typ auswählen, der auf Ihrem Outpost verfügbar ist.

    • NodeImageIdSSMParam: Vorab ausgefüllt mit dem Parameter für Amazon EC2 Systems Manager eines aktuellen, für Amazon-EKS-optimierten AMI für eine variable Kubernetes-Version. Um eine andere Kubernetes-Nebenversion zu verwenden, die von Amazon EKS unterstützt wird, ersetzen Sie 1.XX durch eine andere unterstützte Version. Wir empfehlen, dieselbe Kubernetes-Version wie Ihr Cluster anzugeben.

      Um eine für Amazon EKS optimierte beschleunigte AMI zu verwenden, ersetzen Sie amazon-linux-2 durch amazon-linux-2-gpu. Um eine für Amazon EKS optimierte Arm-AMI zu verwenden, ersetzen Sie amazon-linux-2 durch amazon-linux-2-arm64.

      Anmerkung

      Die Amazon-EKS-Knoten-AMIs basieren auf Amazon Linux. Sie können Sicherheits- oder Datenschutzereignisse für Amazon Linux im Amazon-Linux-Sicherheitscenter verfolgen, indem Sie die Registerkarte für die gewünschte Version auswählen. Sie können auch den entsprechenden RSS-Feed abonnieren. Sicherheits- oder Datenschutzereignisse enthalten eine Übersicht über das Problem, welche Pakete betroffen sind und wie Sie Ihre Instances aktualisieren, um das Problem zu beheben.

    • NodeImageId: (Optional) Wenn Sie Ihr eigenes benutzerdefiniertes AMI (anstelle des Amazon-EKS-optimierten AMI) verwenden, geben Sie eine Knoten-AMI-ID für Ihre AWS-Region ein. Wenn Sie hier einen Wert angeben, werden alle Werte im Feld NodeImageIdSSMParam außer Kraft gesetzt.

    • NodeVolumeSize: Geben Sie eine Stamm-Volume-Größe für Ihre Knoten in GiB an.

    • NodeVolumeType: Geben Sie einen Root-Volume-Typ für Ihre Worker-Knoten an.

    • KeyName: Geben Sie den Namen eines Amazon-EC2-SSH-Schlüsselpaars ein, das Sie für die Verbindung über SSH in Ihre Knoten verwenden können, nachdem sie gestartet wurden. Wenn Sie noch kein Amazon-EC2-Schlüsselpaar haben, können Sie eines in der AWS-Managementkonsole erstellen. Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare im Amazon-EC2-Benutzerhandbuch.

      Anmerkung

      Wenn Sie hier kein Schlüsselpaar angeben, schlägt die Erstellung des AWS-CloudFormation-Stacks fehl.

    • BootstrapArguments (Bootstrap-Argumente): Es gibt mehrere optionale Argumente, die Sie an Ihre Knoten übergeben können. Weitere Informationen finden Sie in den Bootstrap-Skript-Nutzungsinformationen auf GitHub. Wenn Sie Knoten zu einem lokalen Amazon-EKS-Cluster in AWS Outposts hinzufügen (wo die Kubernetes-Steuerebenen-Instances in AWS Outposts ausgeführt werden) und der Cluster über keine eingehende und ausgehende Internetverbindung verfügt (auch als private Cluster bezeichnet), müssen Sie die folgenden Bootstrap-Argumente (in einer einzigen Zeile) angeben.

      --b64-cluster-ca ${CLUSTER_CA} --apiserver-endpoint https://${APISERVER_ENDPOINT} --enable-local-outpost true --cluster-id ${CLUSTER_ID}

      Um die Werte für CLUSTER_CA, APISERVER_ENDPOINT und CLUSTER_ID Ihres lokalen Amazon-EKS-Clusters abzurufen, führen Sie die folgenden AWS-CLI-Befehle aus. Ersetzen Sie „cluster-name“ durch den Namen Ihres Clusters und „Region“ (z. B. „us-east-1“) durch die AWS-Region Ihres Clusters.

      echo "CLUSTER_CA=$(aws eks describe-cluster --name cluster-name --region region --query cluster.certificateAuthority.data --output text)"

echo "APISERVER_ENDPOINT=$(aws eks describe-cluster --name cluster-name --region region --query cluster.endpoint --output text)"

echo "CLUSTER_ID=$(aws eks describe-cluster --name cluster-name --region region --query cluster.id --output text)"

    • DisableIMDSv1: Standardmäßig unterstützt jeder Knoten die Instance-Metadaten-Service-Version 1 (IMDSv1) und IMDSv2. Sie können IMDSv1 deaktivieren. Um zu verhindern, dass künftige Knoten und Pods in der Knotengruppe IMDSv1 verwenden, legen Sie DisableIMDSv1 auf true fest. Weitere Informationen finden Sie unter Konfiguration des Instance-Metadatenservice. Weitere Informationen zum Einschränken des Zugriffs darauf auf Ihre Knoten finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

    • VpcId: Geben Sie die ID für die VPC ein, die Sie erstellt haben. Überprüfen Sie vor der Auswahl eines VPC die VPC-Anforderungen und -Überlegungen.

    • Subnets (Subnetze): Wenn sich Ihr Cluster auf einem Outpost befindet, wählen Sie mindestens ein privates Subnetz in Ihrer VPC. Bevor Sie Subnetze auswählen, überprüfen Sie die Anforderungen und Überlegungen zu Subnetzen. Sie können sehen, welche Subnetze privat sind, indem Sie den jeweiligen Subnetzlink in der Registerkarte Networking (Netzwerk) Ihres Clusters öffnen.

  6. Treffen Sie die gewünschte Auswahl auf der Seite Configure stack options (Stackoptionen konfigurieren) und wählen Sie dann Next (Weiter) aus.

  7. Aktivieren Sie das Kontrollkästchen links neben Mir ist bewusst, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt. und wählen Sie anschließend Stack erstellen.

  8. Wenn Ihr Stack fertig erstellt wurde, wählen Sie ihn in der Konsole aus und klicken Sie auf Outputs (Ausgaben).

  9. Notieren Sie die NodeInstanceRole für die Knotengruppe, die erstellt wurde. Sie benötigen diese, wenn Sie Ihre Amazon-EKS--Arbeitsknoten konfigurieren.

Schritt 2: Knoten, die Ihrem Cluster beitreten sollen, aktivieren

  1. Überprüfen Sie, ob Sie bereits über eine aws-auth ConfigMap verfügen.

    kubectl describe configmap -n kube-system aws-auth

  2. Wenn eine aws-auth ConfigMap angezeigt wird, aktualisieren Sie sie nach Bedarf.

    1. Öffnen Sie ConfigMap zum Bearbeiten.

      kubectl edit -n kube-system configmap/aws-auth

    2. Fügen Sie nach Bedarf einen neuen mapRoles-Eintrag hinzu. Stellen Sie den rolearn-Wert auf den NodeInstanceRole-Wert ein, den Sie im vorherigen Verfahren aufgezeichnet haben.

      [...]
data:
  mapRoles: |
    - rolearn: <ARN of instance role (not instance profile)>
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
[...]

    3. Speichern Sie die Datei und beenden Sie den Text-Editor.

  3. Wenn die Fehlermeldung Error from server (NotFound): configmaps "aws-auth" not found angezeigt wird, wenden Sie die standardmäßige ConfigMap an.

    1. Laden Sie die Konfigurationszuordnung herunter.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml

    2. Stellen Sie in der Datei aws-auth-cm.yaml rolearn auf den NodeInstanceRole-Wert ein, den Sie im vorherigen Verfahren aufgezeichnet haben. Hierzu können Sie einen Texteditor verwenden oder my-node-instance-role ersetzen und den folgenden Befehl ausführen:

      sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml

    3. Wenden Sie die Konfiguration an. Die Ausführung dieses Befehls kann einige Minuten dauern.

      kubectl apply -f aws-auth-cm.yaml

  4. Sehen Sie sich den Status Ihrer Knoten an und warten Sie, bis diese in den Ready-Status eintreten.

    kubectl get nodes --watch

    Geben Sie Ctrl+C ein, um zu einer Shell-Eingabeaufforderung zurückzukehren.

    Anmerkung

    Wenn Sie Autorisierungs- oder Ressourcenfehler erhalten, finden Sie weitere Informationen unter Nicht autorisiert oder Zugriff verweigert (kubectl) im Thema zur Fehlerbehebung.

    Sollten Knoten nicht erfolgreich dem Cluster beitreten, lesen Sie Knoten können nicht mit dem Cluster verknüpft werden unter Fehlerbehebung bei Amazon-EKS-Clustern und -Knoten und Knoten können keinem Cluster beitreten unter Fehlerbehebung bei lokalen Amazon-EKS-Clustern in AWS Outposts.

  5. Installieren Sie den Amazon-EBS-CSI-Treiber. Weitere Informationen finden Sie unter Installation auf der GitHub. Stellen Sie im Abschnitt Einrichten der Treiberberechtigung sicher, dass Sie die Anweisungen für die Option Verwenden des IAM-Instance-Profils befolgen. Sie müssen die gp2-Speicherklasse verwenden. Die gp3-Speicherklasse wird nicht unterstützt.

    Führen Sie die folgenden Schritte aus, um eine gp2-Speicherklasse auf Ihrem Cluster zu erstellen.

    1. Führen Sie den folgenden Befehl aus, um die Datei gp2-storage-class.yaml zu erstellen.

      cat >gp2-storage-class.yaml <<EOF
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  annotations:
    storageclass.kubernetes.io/is-default-class: "true"
  name: ebs-sc
provisioner: ebs.csi.aws.com
volumeBindingMode: WaitForFirstConsumer
parameters:
  type: gp2
  encrypted: "true"
allowVolumeExpansion: true
EOF

    2. Wenden Sie das Manifest auf Ihren Cluster an.

      kubectl apply -f gp2-storage-class.yaml

  6. (Nur GPU-Knoten) Wenn Sie einen GPU-Instance-Typ und ein für Amazon EKS optimiertes beschleunigtes AMI ausgewählt haben, müssen Sie das NVIDIA-Geräte-Plugin für Kubernetes als DaemonSet auf Ihrem Cluster anwenden. Ersetzen Sie vX.X.X mit Ihrer gewünschten NVIDIA/k8s-device-plugin-Version, bevor Sie den folgenden Befehl ausführen.

    kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml

Schritt 3: Zusätzliche Maßnahmen

  1. (Optional) Eine Beispielanwendung in Linux bereitstellen Stellen Sie eine Beispielanwendung bereit, um Ihren Cluster und Ihre Linux-Worker-Knoten zu testen.

  2. Wenn Ihr Cluster auf einem Outpost bereitgestellt wird, überspringen Sie diesen Schritt. Wenn Ihr Cluster in der AWS Cloud bereitgestellt wird, sind die folgenden Informationen optional. (Optional) Wenn die verwaltete IAM-Richtlinie AmazonEKS_CNI_Policy Ihrer IAM-Rolle des Amazon-EKS-Knoten zugeordnet ist, empfehlen wir, sie stattdessen einer IAM-Rolle zuzuweisen, die Sie dem Kubernetes-aws-node-Servicekonto zuordnen. Weitere Informationen finden Sie unter Konfiguration des Amazon-VPC-CNI-Plugins für die Verwendung von IRSA.