Anwendungen zu einer neuen Knotengruppe migrieren - Amazon EKS
eksctlAWS-Managementkonsole und AWS-CLI

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Anwendungen zu einer neuen Knotengruppe migrieren

Dieses Thema beschreibt Hinweise zum Erstellen einer neuen Knoten-Gruppe, zum ordnungsgemäßen Migrieren Ihrer vorhandenen Anwendungen zur neuen Gruppe und zum Entfernen der alten Knoten-Gruppe aus Ihrem Cluster. Sie können zu einer neuen Knotengruppe migrieren, indem Sie eksctl oder AWS-Managementkonsole benutzen.

eksctl

Migration Ihrer Anwendungen zu einer neuen Knotengruppe mit eksctl

Weitere Informationen zur Verwendung von eksctl finden Sie unter Upgrades von nicht verwalteten Knotengruppen in der eksctl-Dokumentation.

Für diesen Vorgang ist eksctl Version 0.214.0 oder höher erforderlich. Sie können Ihre -Version mit dem folgenden Befehl überprüfen:

eksctl version

Eine Installations- und Upgrade-Anleitung für eksctl finden Sie in der Dokumentation zu eksctl unter Installation.

Anmerkung

Dieses Verfahren funktioniert nur für Cluster, die mit eksctl erstellt wurden.

  1. Rufen Sie den Namen Ihrer vorhandenen Knotengruppen ab und ersetzen Sie my-cluster durch Ihren Cluster-Namen.

    eksctl get nodegroups --cluster=my-cluster

    Eine Beispielausgabe sieht wie folgt aus.

    CLUSTER      NODEGROUP          CREATED               MIN SIZE      MAX SIZE     DESIRED CAPACITY     INSTANCE TYPE     IMAGE ID
default      standard-nodes   2019-05-01T22:26:58Z  1             4            3                    t3.medium         ami-05a71d034119ffc12

  2. Starten Sie eine neue Knotengruppe mit eksctl mit dem folgenden Befehl. Ersetzen Sie im Befehl jeden Beispielwert durch Ihre eigenen Werte. Die Versionsnummer darf nicht höher als die Kubernetes-Version für Ihre Steuerebene sein. Außerdem darf sie nicht mehr als zwei Nebenversionen älter sein als die Kubernetes-Version für Ihre Steuerebene. Es wird empfohlen, dieselbe Version wie die Steuerebene zu verwenden.

    Wir empfehlen, den Pod-Zugriff auf das IMDS zu blockieren, wenn die folgenden Bedingungen erfüllt sind:

    • Sie planen, allen Ihren Kubernetes-Servicekonten IAM-Rollen zuzuweisen, damit Pods nur die Mindestberechtigungen haben, die sie benötigen.

    • Keine Pods im Cluster benötigen aus anderen Gründen Zugriff auf den Amazon EC2 Instance Metadata Service (IMDS), beispielsweise zum Abrufen der aktuellen AWS-Region.

      Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

      Um den Pod-Zugriff auf IMDS zu blockieren, fügen Sie dem folgenden Befehl die Option --disable-pod-imds hinzu.

      Anmerkung

      Weitere verfügbare Flags und deren Beschreibungen finden Sie unterhttps://eksctl.io/.

    eksctl create nodegroup \
  --cluster my-cluster \
  --version 1.33 \
  --name standard-nodes-new \
  --node-type t3.medium \
  --nodes 3 \
  --nodes-min 1 \
  --nodes-max 4 \
  --managed=false

  3. Wenn der vorherige Befehl abgeschlossen ist, bestätigen Sie mit folgendem Befehl, dass alle Ihre Worker-Knoten den Ready-Status erreicht haben:

    kubectl get nodes

  4. Löschen Sie die ursprüngliche Knotengruppe mit dem folgenden Befehl. Ersetzen Sie im Befehl jeden Beispielwert durch Ihre Cluster- und Knotengruppennamen:

    eksctl delete nodegroup --cluster my-cluster --name standard-nodes-old

AWS-Managementkonsole und AWS-CLI

Migration Ihrer Anwendungen zu einer neuen Knotengruppe mit AWS-Managementkonsole und AWS-CLI

  1. Starten Sie eine neue Knotengruppe, indem Sie die unter Erstellen selbstverwalteter Amazon Linux-Knoten beschriebenen Schritte befolgen.

  2. Wenn Ihr Stack fertig erstellt wurde, wählen Sie ihn in der Konsole aus und klicken Sie auf Outputs (Ausgaben).

  3. Notieren Sie die NodeInstanceRole für die Knotengruppe, die erstellt wurde. Sie benötigen diese Informationen zum Hinzufügen der neuen Amazon EKS-Knoten zu Ihrem Cluster.

    Anmerkung

    Wenn Sie der IAM-Rolle Ihrer alten Knotengruppen zusätzliche IAM-Richtlinien angefügt haben, dann sollten Sie die gleichen Richtlinien auch der IAM-Rolle Ihrer neuen Knotengruppe zuweisen, um diese Funktionalität für die neue Gruppe zu erhalten. Dies gilt für Sie, wenn Sie beispielsweise Berechtigungen für den Kubernetes Cluster Autoscaler hinzugefügt haben.

  4. Aktualisieren Sie die Sicherheitsgruppen für beide Worker-Knoten-Gruppen, sodass sie miteinander kommunizieren können. Weitere Informationen finden Sie unter Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen.

    1. Notieren Sie die Sicherheitsgruppen-IDs beider Worker-Knoten-Gruppen. Dies wird in den AWS-CloudFormation-Stack-Ausgaben als NodeSecurityGroup-Wert angezeigt.

      Sie können die folgenden AWS-CLI-Befehle verwenden, um die Sicherheitsgruppen-IDs aus den Stack-Namen abzurufen. In diesen Befehlen ist oldNodes der AWS-CloudFormation-Stack-Name für den älteren Worker-Knoten-Stack, und newNodes ist der Name des Stacks, zu dem migriert werden soll. Ersetzen Sie jeden Beispielwert durch Ihre eigenen Werte.

      oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"

oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)

    2. Fügen Sie Regeln für eingehenden Datenverkehr für jede Worker-Knoten-Sicherheitsgruppe hinzu, sodass sie voneinander Datenverkehr annehmen können.

      Die folgenden AWS-CLI-Befehle fügen zu jeder Sicherheitsgruppe, die Datenverkehr mit allen Protokolle von der anderen Sicherheitsgruppe zulässt, Regeln für eingehenden Datenverkehr hinzu. Auf diese Weise können Pods in jeder Knoten-Gruppe miteinander kommunizieren, während Sie Ihr Workload zur neuen Gruppe migrieren.

      aws ec2 authorize-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 authorize-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1

  5. Bearbeiten Sie die aws-auth-configmap, um die neue Worker-Knoten-Instance-Rolle in RBAC zuzuordnen.

    kubectl edit configmap -n kube-system aws-auth

    Fügen Sie einen neuen mapRoles-Eintrag für die neue Worker-Knoten-Gruppe hinzu.

    apiVersion: v1
data:
  mapRoles: |
    - rolearn: ARN of instance role (not instance profile)
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes>
    - rolearn: arn:aws:iam::111122223333:role/nodes-1-16-NodeInstanceRole-U11V27W93CX5
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes

    Ersetzen Sie den ARN-Ausschnitt der Instance-Rolle (nicht des Instance-Profils) durch den NodeInstanceRole-Wert, den Sie im vorherigen Schritt notiert haben. Speichern und schließen Sie dann die Datei, um die aktualisierte configmap anzuwenden.

  6. Achten Sie auf den Status Ihrer Knoten und warten Sie, bis Ihre neuen Worker-Knoten Ihrem Cluster beigetreten sind und den Status Ready angenommen haben.

    kubectl get nodes --watch

  7. (Optional) Wenn Sie Kubernetes Cluster Autoscaler verwenden, skalieren Sie die Bereitstellung nach unten auf null (0) Replikate, um Konflikte zwischen Skalierungsaktionen zu vermeiden.

    kubectl scale deployments/cluster-autoscaler --replicas=0 -n kube-system

  8. Verwenden Sie den folgenden Befehl, um jeden der Knoten, die Sie mit NoSchedule entfernen möchten, mit einem Taint zu versehen. Auf diese Weise werden neue Pods auf den Knoten, die Sie ersetzen, nicht geplant oder neu geplant. Weitere Informationen finden Sie unter Taints und Toleranzen in der Kubernetes-Dokumentation.

    kubectl taint nodes node_name key=value:NoSchedule

    Wenn Sie Ihre Knoten auf eine neue Kubernetes-Version aktualisieren, können Sie alle Knoten einer bestimmten Kubernetes-Version (in diesem Fall 1.31) mit dem folgenden Code-Ausschnitt identifizieren und mit einem Taint versehen. Die Versionsnummer darf nicht höher als die Kubernetes-Version Ihrer Steuerebene sein. Sie darf auch nicht mehr als zwei Nebenversionen älter sein als die Kubernetes-Version Ihrer Steuerebene. Es wird empfohlen, dieselbe Version wie die Steuerebene zu verwenden.

    K8S_VERSION=1.31
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
    echo "Tainting $node"
    kubectl taint nodes $node key=value:NoSchedule
done

  9. Bestimmen Sie den DNS-Anbieter Ihres Clusters.

    kubectl get deployments -l k8s-app=kube-dns -n kube-system

    Eine Beispielausgabe sieht wie folgt aus. Dieser Cluster verwendet für die DNS-Auflösung, aber Ihr Cluster kann stattdessen kube-dns zurückgeben):

    NAME      DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
coredns   1         1         1            1           31m

  10. Wenn Ihre aktuelle Bereitstellung weniger als zwei Replikate ausführt, skalieren die Bereitstellung auf zwei Replikate. Ersetzen Sie coredns durch kubedns, falls Ihre vorherige Befehlsausgabe dies stattdessen zurückgegeben hat.

    kubectl scale deployments/coredns --replicas=2 -n kube-system

  11. Lassen Sie die einzelnen Knoten, die Sie aus Ihrem Cluster entfernen möchten, mit dem folgenden Befehl sperren:

    kubectl drain node_name --ignore-daemonsets --delete-local-data

    Wenn Sie Ihre Knoten auf eine neue Kubernetes-Version aktualisieren, identifizieren und sperren Sie alle Knoten einer bestimmten Kubernetes-Version (in diesem Fall 1.31) mit dem folgenden Codeausschnitt.

    K8S_VERSION=1.31
nodes=$(kubectl get nodes -o jsonpath="{.items[?(@.status.nodeInfo.kubeletVersion==\"v$K8S_VERSION\")].metadata.name}")
for node in ${nodes[@]}
do
    echo "Draining $node"
    kubectl drain $node --ignore-daemonsets --delete-local-data
done

  12. Nachdem die alten Knoten entladen wurden, widerrufen Sie die Regeln für eingehenden Datenverkehr für Sicherheitsgruppen, die Sie zuvor autorisiert haben. Löschen Sie dann den AWS-CloudFormation-Stack, um die Instances zu beenden.

    Anmerkung

    Wenn Sie der IAM-Rolle Ihrer alten Knotengruppen zusätzliche IAM-Richtlinien angefügt haben (um beispielsweise Berechtigungen für den Kubernetes Cluster Autoscaler hinzuzufügen), trennen Sie diese zusätzlichen Richtlinien zuerst von der Rolle, bevor Sie den AWS-CloudFormation-Stack löschen können.

    1. Heben Sie die Regeln für eingehenden Datenverkehr auf, die Sie zuvor für die Knoten-Sicherheitsgruppen erstellt haben. In diesen Befehlen ist oldNodes der AWS-CloudFormation-Stack-Name für den älteren Worker-Knoten-Stack, und newNodes ist der Name des Stacks, zu dem migriert werden soll.

      oldNodes="old_node_CFN_stack_name"
newNodes="new_node_CFN_stack_name"

oldSecGroup=$(aws cloudformation describe-stack-resources --stack-name $oldNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
newSecGroup=$(aws cloudformation describe-stack-resources --stack-name $newNodes \
--query 'StackResources[?ResourceType==`AWS::EC2::SecurityGroup`].PhysicalResourceId' \
--output text)
aws ec2 revoke-security-group-ingress --group-id $oldSecGroup \
--source-group $newSecGroup --protocol -1
aws ec2 revoke-security-group-ingress --group-id $newSecGroup \
--source-group $oldSecGroup --protocol -1

    2. Öffnen Sie die AWS-CloudFormation-Konsole.

    3. Wählen Sie Ihren alten Worker-Knoten-Stack aus.

    4. Wählen Sie Löschen aus.

    5. Wählen Sie im Bestätigungsdialogfeld Stack löschen Stack löschen aus.

  13. Bearbeiten Sie die aws-auth-configmap, um die alten Worker-Knoten-Instance-Rolle aus RBAC zu entfernen.

    kubectl edit configmap -n kube-system aws-auth

    Löschen Sie den mapRoles-Eintrag für die alte Worker-Knoten-Gruppe.

    apiVersion: v1
data:
  mapRoles: |
    - rolearn: arn:aws:iam::111122223333:role/nodes-1-16-NodeInstanceRole-W70725MZQFF8
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
    - rolearn: arn:aws:iam::111122223333:role/nodes-1-15-NodeInstanceRole-U11V27W93CX5
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes>

    Speichern und schließen Sie die Datei, um die aktualisierte configmap anzuwenden.

  14. (Optional) Wenn Sie den Kubernetes-Cluster Autoscaler verwenden, skalieren Sie die Bereitstellung wieder auf ein Replikat.

    Anmerkung

    Außerdem müssen Sie Ihre neue Auto-Scaling-Gruppe (z. B. k8s.io/cluster-autoscaler/enabled,k8s.io/cluster-autoscaler/my-cluster) mit einem Tag versehen und den Befehl für die Cluster-Autoscaler-Bereitstellung so aktualisieren, dass er auf die neu getaggte Auto-Scaling-Gruppe verweist. Weitere Informationen finden Sie unter Cluster Autoscaler on AWS.

    kubectl scale deployments/cluster-autoscaler --replicas=1 -n kube-system

  15. (Optional) Stellen Sie sicher, dass Sie die neueste Version des Amazon-VPC-CNI-Plugins für Kubernetes verwenden. Möglicherweise müssen Sie Ihre CNI-Version aktualisieren, um die neuesten unterstützten Instance-Typen zu nutzen. Weitere Informationen finden Sie unter Zuweisung von IPs zu Pods mit Amazon VPC CNI.

  16. Wenn Ihr Cluster kube-dns für die DNS-Auflösung verwendet (siehe [migrate-determine-dns-step]), skalieren Sie in der kube-dns-Bereitstellung auf ein Replikat.

    kubectl scale deployments/kube-dns --replicas=1 -n kube-system