Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge - AWS Snowball Edge Panduan Pengembang
Pengaturan awalMengkonfigurasi dan menjalankan Amazon EKS Anywhere secara otomatisMengkonfigurasi dan menjalankan Amazon EKS Anywhere secara manual

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge

Ikuti prosedur ini untuk mengonfigurasi dan memulai Amazon EKS Anywhere di perangkat Snowball Edge Anda. Kemudian, untuk mengonfigurasi Amazon EKS Anywhere agar beroperasi pada perangkat yang terputus, selesaikan prosedur tambahan sebelum memutuskan sambungan perangkat tersebut dari jaringan eksternal. Untuk informasi selengkapnya, lihat Mengkonfigurasi Amazon EKS Anywhere on AWS Snow untuk operasi terputus.

Pengaturan awal untuk Amazon EKS Anywhere di Snowball Edge

Lakukan pengaturan awal pada setiap perangkat Snowball Edge dengan menghubungkan perangkat ke jaringan lokal Anda, mengunduh klien Snowball Edge, mendapatkan kredensil, dan membuka kunci perangkat.

Lakukan pengaturan awal

  1. Mengunduh dan menginstal klien Snowball Edge. Untuk informasi selengkapnya, lihat Mengunduh dan menginstal Klien Snowball Edge.

  2. Hubungkan perangkat ke jaringan lokal Anda. Untuk informasi selengkapnya, lihat Menghubungkan Snowball Edge ke jaringan lokal Anda.

  3. Dapatkan kredensil untuk membuka kunci perangkat Anda. Untuk informasi selengkapnya, lihat Mendapatkan kredensi untuk mengakses Snowball Edge.

  4. Buka kunci perangkat. Untuk informasi selengkapnya, lihat Membuka kunci Snowball Edge. Anda juga dapat menggunakan alat skrip alih-alih membuka kunci perangkat secara manual. Lihat Buka kunci perangkat.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara otomatis

Anda dapat menggunakan alat skrip sampel untuk mengatur lingkungan dan menjalankan instans admin Amazon EKS Anywhere atau Anda dapat melakukannya secara manual. Untuk menggunakan alat skrip, lihat Membuka kunci perangkat dan lingkungan penyiapan untuk Amazon EKS Anywhere. Setelah lingkungan diatur dan instans admin Amazon EKS Anywhere berjalan, jika Anda perlu mengonfigurasi Amazon EKS Anywhere untuk beroperasi di perangkat Snowball Edge saat terputus dari jaringan, lihat. Mengkonfigurasi Amazon EKS Anywhere on AWS Snow untuk operasi terputus Jika tidak, lihat Membuat dan memelihara cluster di perangkat Snowball Edge.

Untuk mengatur lingkungan secara manual dan menjalankan instance admin Amazon EKS Anywhere, lihatMengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara manual.

Mengkonfigurasi dan menjalankan Amazon EKS Anywhere di perangkat Snowball Edge secara manual

Sebelum mengonfigurasi Amazon EKS Anywhere pada perangkat Snowball Edge, siapkan profil untuk Snowball Edge Client. Untuk informasi selengkapnya, lihat Mengkonfigurasi dan menggunakan Snowball Edge Client.

Buat pengguna lokal IAM Amazon EKS Anywhere

Untuk praktik keamanan terbaik, buat pengguna IAM lokal untuk Amazon EKS Anywhere di perangkat Snowball Edge. Anda dapat melakukan ini dengan menggunakan prosedur berikut secara manual.

catatan

Lakukan ini untuk setiap perangkat Snowball Edge yang Anda gunakan.

Buat pengguna lokal di Snowball Edge

Gunakan create-user perintah untuk membuat pengguna Amazon EKS Anywhere IAM.


aws iam create-user --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name
    {
        "User": {
            "Path": "/",
            "UserName": "eks-a-user",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/eks-a-user",
            "CreateDate": "2022-04-06T00:13:35.665000+00:00"
        }
    }

Membuat kebijakan untuk pengguna lokal di Snowball Edge

Buat dokumen kebijakan, gunakan untuk membuat kebijakan IAM, dan lampirkan kebijakan tersebut ke pengguna lokal Amazon EKS Anywhere.

Untuk membuat dokumen kebijakan dan melampirkannya ke pengguna lokal Amazon EKS Anywhere

  1. Buat dokumen kebijakan dan simpan ke komputer Anda. Salin kebijakan di bawah ini ke dokumen.

    JSON
    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "snowball-device:DescribeDevice",
        "snowball-device:CreateDirectNetworkInterface",
        "snowball-device:DeleteDirectNetworkInterface",
        "snowball-device:DescribeDirectNetworkInterfaces",
        "snowball-device:DescribeDeviceSoftware"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RunInstances",
        "ec2:DescribeInstances",
        "ec2:TerminateInstances",
        "ec2:ImportKeyPair",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeImages",
        "ec2:DeleteTags"
      ],
      "Resource": ["*"]
    }
  ]
}

  2. Gunakan create-policy perintah untuk membuat kebijakan IAM berdasarkan dokumen kebijakan. Nilai --policy-document parameter harus menggunakan jalur absolut ke file kebijakan. Sebagai contoh, file:///home/user/policy-name.json.

    
aws iam create-policy --policy-name policy-name --policy-document file:///home/user/policy-name.json --endpoint http://snowball-ip:6078 --profile profile-name
{
    "Policy": {
        "PolicyName": "policy-name",
        "PolicyId": "ANPACEMGEZDGNBVGY3TQOJQGEZAAAABP76TE5MKAAAABCCOTR2IJ43NBTJRZBU",
        "Arn": "arn:aws:iam::123456789012:policy/policy-name",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "CreateDate": "2022-04-06T04:46:56.907000+00:00",
        "UpdateDate": "2022-04-06T04:46:56.907000+00:00"
    }
}

  3. Gunakan attach-user-policy perintah untuk melampirkan kebijakan IAM ke pengguna lokal Amazon EKS Anywhere.

    
aws iam attach-user-policy --policy-arn policy-arn --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name

Buat kunci akses dan file kredensi di Snowball Edge

Buat kunci akses untuk pengguna lokal Amazon EKS Anywhere IAM. Kemudian, buat file kredensi dan sertakan di dalamnya nilai-nilai AccessKeyId dan SecretAccessKey dihasilkan untuk pengguna lokal. File kredensi akan digunakan oleh instans admin Amazon EKS Anywhere nanti.

  1. Gunakan create-access-key perintah untuk membuat kunci akses untuk pengguna lokal Amazon EKS Anywhere.

    
aws iam create-access-key --user-name user-name --endpoint http://snowball-ip:6078 --profile profile-name
    {
        "AccessKey": {
            "UserName": "eks-a-user",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "Status": "Active",
            "SecretAccessKey": "RTT/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "CreateDate": "2022-04-06T04:23:46.139000+00:00"
        }
    }

  2. Buat file kredensi. Di dalamnya, simpan AccessKeyId dan SecretAccessKey nilai dalam format berikut.

    
[snowball-ip] 
aws_access_key_id = ABCDEFGHIJKLMNOPQR2T
aws_secret_access_key = AfSD7sYz/TBZtzkReBl6PuuISzJ2WtNkeePw+nNzJ
region = snow
    catatan

    Jika Anda bekerja dengan beberapa perangkat Snowball Edge, urutan kredensional dalam file tidak masalah, tetapi kredensil untuk semua perangkat harus dalam satu file.

Buat file sertifikat untuk instance admin di Snowball Edge

Instans admin Amazon EKS Anywhere memerlukan sertifikat perangkat Snowball Edge agar dapat berjalan di dalamnya. Buat file sertifikat yang menyimpan sertifikat untuk mengakses perangkat Snowball Edge untuk digunakan nanti oleh instans admin Amazon EKS Anywhere.

Untuk membuat file sertifikat

  1. Gunakan list-certificates perintah untuk mendapatkan sertifikat untuk setiap perangkat Snowball Edge yang Anda rencanakan untuk digunakan.

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge list-certificates --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code
{
  "Certificates" : [ {
    "CertificateArn" : "arn:aws:snowball-device:::certificate/xxx",
    "SubjectAlternativeNames" : [ "ID:JID-xxx" ]
  } ]
}

  2. Gunakan nilai CertificateArn sebagai nilai untuk --certificate-arn parameter get-certificate perintah. 

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge get-certificate --certificate-arn ARN --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  3. Buat file sertifikat perangkat. Masukkan output get-certificate ke dalam file sertifikat. Berikut ini adalah contoh cara menyimpan output.

    catatan

    Jika Anda bekerja dengan beberapa perangkat Snowball Edge, urutan kredensional dalam file tidak masalah, tetapi kredensil untuk semua perangkat harus dalam satu file.

    
-----BEGIN CERTIFICATE-----
ZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGUgZWtzYSBzbm93IHRlc3QgY2VydGlm  
aWNhdGVla3NhIHNub3cgdGVzdCBjZXJ0aWZpY2F0ZWVrc2Egc25vdyB0ZXN0IGNl  
cnRpZmljYXRlZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGVla3NhIHNub3cgdGVz  
dCBjZXJ0aWZpY2F0ZQMIIDXDCCAkSgAwIBAgIJAISM0nTVmbj+MA0GCSqGSIb3DQ  
...                                                               
-----END CERTIFICATE-----

  4. Ulangi Buat pengguna lokal IAM Amazon EKS Anywhere untuk membuat pengguna lokal IAM untuk Amazon EKS Anywhere di semua perangkat Snowball Edge.

(Opsional) Buat dan impor kunci Secure Shell di Snowball Edge

Gunakan prosedur opsional ini untuk membuat kunci Secure Shell (SSH) untuk mengakses semua instance node Amazon EKS Anywhere dan untuk mengimpor kunci publik ke semua perangkat Snowball Edge. Simpan dan amankan file kunci ini.

Jika Anda melewati prosedur ini, Amazon EKS Anywhere akan membuat dan mengimpor kunci SSH secara otomatis bila diperlukan. Kunci ini akan disimpan pada instance admin di${PWD}/${CLUSTER_NAME}/eks-a-id_rsa.

Buat kunci SSH dan impor ke instance Amazon EKS Anywhere

  1. Gunakan ssh-keygen perintah untuk menghasilkan kunci SSH.

    
ssh-keygen -t rsa -C "key-name" -f path-to-key-file

  2. Gunakan import-key-pair perintah untuk mengimpor kunci dari komputer Anda ke perangkat Snowball Edge.

    catatan

    Nilai key-name parameter harus sama saat Anda mengimpor kunci ke semua perangkat.

    
aws ec2 import-key-pair --key-name key-name --public-key-material fileb:///path/to/key-file --endpoint http://snowball-ip:8008 --profile profile-name 
{
    "KeyFingerprint": "5b:0c:fd:e1:a0:69:05:4c:aa:43:f3:3b:3e:04:7f:51",
    "KeyName": "default",
    "KeyPairId": "s.key-85edb5d820c92a6f8"
}

Jalankan instans admin Amazon EKS Anywhere di Snowball Edge dan transfer file kredensi dan sertifikat ke dalamnya

Jalankan instans admin Amazon EKS Anywhere di Snowball Edge

Ikuti prosedur ini untuk menjalankan instans admin Amazon EKS Anywhere secara manual, mengonfigurasi Virtual Network Interface (VNI) untuk instance admin, periksa status instance, buat kunci SSH, dan sambungkan ke instance admin dengannya. Anda dapat menggunakan alat skrip contoh untuk mengotomatiskan pembuatan instans admin Amazon EKS Anywhere dan mentransfer file kredensyal dan sertifikat ke instance ini. Lihat Membuat instans admin Amazon EKS Anywhere. Setelah alat skrip selesai, Anda dapat ssh ke dalam instance dan membuat cluster dengan mengacu pada. Membuat dan memelihara cluster di perangkat Snowball Edge Jika Anda ingin mengatur instance Amazon EKS Anywhere secara manual, gunakan langkah-langkah berikut..

catatan

Jika Anda menggunakan lebih dari satu perangkat Snowball Edge untuk menyediakan cluster, Anda dapat meluncurkan instans admin Amazon EKS Anywhere di salah satu perangkat Snowball Edge.

Untuk menjalankan instans admin Amazon EKS Anywhere

  1. Gunakan create-key-pair perintah untuk membuat kunci SSH untuk instans admin Amazon EKS Anywhere. Perintah menyimpan kunci ke$PWD/key-file-name.

    
aws ec2 create-key-pair --key-name key-name --query 'KeyMaterial' --output text --endpoint http://snowball ip:8008 > key-file-name --profile profile-name

  2. Gunakan describe-images perintah untuk menemukan nama gambar yang dimulai dengan eks-anywhere-admin dari output.

    
aws ec2 describe-images --endpoint http://snowball-ip:8008 --profile profile-name

  3. Gunakan run-instance perintah untuk memulai instance admin eks-a dengan gambar admin Amazon EKS Anywhere. 

    
aws ec2 run-instances --image-id eks-a-admin-image-id --key-name key-name --instance-type sbe-c.xlarge --endpoint http://snowball-ip:8008 --profile profile-name

  4. Gunakan describe-instances perintah untuk memeriksa status instance Amazon EKS Anywhere. Tunggu sampai perintah menunjukkan status instance running sebelum melanjutkan.

    
aws ec2 describe-instances --instance-id instance-id --endpoint http://snowball-ip:8008 --profile profile-name

  5. Dari output describe-device perintah, perhatikan nilai PhysicalNetworkInterfaceId untuk antarmuka jaringan fisik yang terhubung ke jaringan Anda. Anda akan menggunakan ini untuk membuat VNI.

     
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge describe-device --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  6. Buat VNI untuk instans admin Amazon EKS Anywhere. Gunakan nilai PhysicalNetworkInterfaceId sebagai nilai physical-network-interface-id parameter.

    
PATH_TO_Snowball_Edge_CLIENT/bin/snowballEdge create-virtual-network-interface --ip-address-assignment dhcp --physical-network-interface-id PNI --endpoint https://snowball-ip --manifest-file path-to-manifest-file --unlock-code unlock-code

  7. Gunakan nilai IpAddress sebagai nilai public-ip parameter associate-address perintah untuk mengaitkan alamat publik ke instans admin Amazon EKS Anywhere.

    
aws ec2 associate-address --instance-id instance-id --public-ip VNI-IP --endpoint http://snowball-ip:8008 --profile profile-name

  8. Connect ke instans admin Amazon EKS Anywhere oleh SSH.

    
ssh -i path-to-key ec2-user@VNI-IP

Transfer file sertifikat dan kredensi ke instance admin di Snowball Edge

Setelah instans admin Amazon EKS Anywhere berjalan, transfer kredensional dan sertifikat perangkat Snowball Edge Anda ke instans admin. Jalankan perintah berikut dari direktori yang sama tempat Anda menyimpan file kredensi dan sertifikat di Buat kunci akses dan file kredensi di Snowball Edge dan. Buat file sertifikat untuk instance admin di Snowball Edge


scp -i path-to-key path-to-credentials-file path-to-certificates-file ec2-user@eks-admin-instance-ip:~

Verifikasi isi file di instans admin Amazon EKS Anywhere. Berikut ini adalah contoh file kredensi dan sertifikat.


[192.168.1.1] 
aws_access_key_id = EMGEZDGNBVGY3TQOJQGEZB5ULEAAIWHWUJDXEXAMPLE 
aws_secret_access_key = AUHpqjO0GZQHEYXDbN0neLNlfR0gEXAMPLE 
region = snow 

[192.168.1.2] 
aws_access_key_id = EMGEZDGNBVGY3TQOJQGEZG5O7F3FJUCMYRMI4KPIEXAMPLE 
aws_secret_access_key = kY4Cl8+RJAwq/bu28Y8fUJepwqhDEXAMPLE 
region = snow        
      

-----BEGIN CERTIFICATE-----                                      
ZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGUgZWtzYSBzbm93IHRlc3QgY2VydGlm  
aWNhdGVla3NhIHNub3cgdGVzdCBjZXJ0aWZpY2F0ZWVrc2Egc25vdyB0ZXN0IGNl  
cnRpZmljYXRlZWtzYSBzbm93IHRlc3QgY2VydGlmaWNhdGVla3NhIHNub3cgdGVz  
dCBjZXJ0aWZpY2F0ZQMIIDXDCCAkSgAwIBAgIJAISM0nTVmbj+MA0GCSqGSIb3DQ  
...                                                               
-----END CERTIFICATE-----                                         

-----BEGIN CERTIFICATE-----                                       
KJ0FPl2PAYPEjxr81/PoCXfZeARBzN9WLUH5yz1ta+sYUJouzhzWuLJYA1xqcCPY  
mhVlkRsN4hVdlBNRnCCpRF766yjdJeibKVzXQxoXoZBjrOkuGwqRy3d3ndjK77h4  
OR5Fv9mjGf7CjcaSjk/4iwmZvRSaQacb0YG5GVeb4mfUAuVtuFoMeYfnAgMBAAGj  
azBpMAwGA1UdEwQFMAMBAf8wHQYDVR0OBBYEFL/bRcnBRuSM5+FcYFa8HfIBomdF  
...                                                              
-----END CERTIFICATE-----