Resumo Pré-requisitos e limitações Arquitetura Ferramentas Práticas recomendadas Épicos Solução de problemas Recursos relacionados

Acesse um banco de dados Amazon Neptune a partir de um contêiner Amazon EKS

Criado por Ramakrishnan Palaninathan (AWS)

Resumo

Esse padrão estabelece uma conexão entre o Amazon Neptune, que é um banco de dados gráfico totalmente gerenciado, e o Amazon Elastic Kubernetes Service (Amazon EKS), um serviço de orquestração de contêineres, para acessar um banco de dados Neptune. Os clusters de banco de dados Neptune estão confinados em uma nuvem privada virtual (VPC) ativada. AWS Por esse motivo, acessar o Neptune exige uma configuração cuidadosa da VPC para permitir a conectividade.

Ao contrário do Amazon Relational Database Service (Amazon RDS) para PostgreSQL, o Neptune não depende de credenciais típicas de acesso ao banco de dados. Em vez disso, ele usa funções AWS Identity and Access Management (IAM) para autenticação. Portanto, conectar-se ao Neptune a partir do Amazon EKS envolve a configuração de uma função do IAM com as permissões necessárias para acessar o Neptune.

Além disso, os endpoints do Neptune são acessíveis somente na VPC em que o cluster reside. Isso significa que você precisa definir as configurações de rede para facilitar a comunicação entre o Amazon EKS e o Neptune. Dependendo de seus requisitos específicos e preferências de rede, existem várias abordagens para configurar a VPC para permitir uma conectividade perfeita entre o Neptune e o Amazon EKS. Cada método oferece vantagens e considerações distintas, que fornecem flexibilidade na criação da arquitetura do banco de dados para atender às necessidades do seu aplicativo.

Pré-requisitos e limitações

Pré-requisitos

Instale a versão mais recente do kubectl (veja as instruções). Para verificar sua versão, execute:
```
kubectl version --short
```
Instale a versão mais recente do eksctl (veja as instruções). Para verificar sua versão, execute:
```
eksctl info
```
Instale a versão mais recente da AWS Command Line Interface (AWS CLI) versão 2 (consulte as instruções). Para verificar sua versão, execute:
```
aws --version
```
Crie um cluster de banco de dados Neptune (consulte as instruções). Certifique-se de estabelecer comunicações entre a VPC do cluster e o Amazon EKS por meio de emparelhamento de VPC ou outro método. AWS Transit Gateway Verifique também se o status do cluster está “disponível” e se ele tem uma regra de entrada na porta 8182 para o grupo de segurança.
Configure um provedor IAM OpenID Connect (OIDC) em um cluster Amazon EKS existente (consulte as instruções).

Versões do produto

Arquitetura

O diagrama a seguir mostra a conexão entre os pods do Kubernetes em um cluster do Amazon EKS e o Neptune para fornecer acesso a um banco de dados do Neptune.

Conectando pods em um nó do Kubernetes com o Amazon Neptune.

Automação e escala

Você pode usar o Amazon EKS Horizontal Pod Autoscaler para escalar essa solução.

Ferramentas

Serviços

O Amazon Elastic Kubernetes Service (Amazon EKS) ajuda você a executar o AWS Kubernetes sem precisar instalar ou manter seu próprio plano de controle ou nós do Kubernetes.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
O Amazon Neptune é um serviço de banco de dados gráfico que ajuda você a criar e executar aplicativos que funcionam com conjuntos de dados altamente conectados.

Práticas recomendadas

Para obter as melhores práticas, consulte Identity and Access Management nos guias de melhores práticas do Amazon EKS.

Épicos

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Verifique o contexto do cluster.	Antes de interagir com seu cluster Amazon EKS usando o Helm ou outras ferramentas de linha de comando, você deve definir variáveis de ambiente que encapsulem os detalhes do seu cluster. Essas variáveis são usadas em comandos subsequentes para garantir que elas tenham como alvo o cluster e os recursos corretos. Primeiro, confirme se você está operando no contexto correto do cluster. Isso garante que todos os comandos subsequentes sejam enviados para o cluster Kubernetes pretendido. Para verificar o contexto atual, execute o comando a seguir. `kubectl config current-context`	Administrador da AWS, administrador de nuvem
Defina a `CLUSTER_NAME` variável.	Defina a variável de `CLUSTER_NAME` ambiente para seu cluster Amazon EKS. No comando a seguir, substitua o valor `us-west-2` da amostra pelo correto Região da AWS para seu cluster. Substitua o valor `eks-workshop` da amostra pelo nome do cluster existente. `export CLUSTER_NAME=$(aws eks describe-cluster --region us-west-2 --name eks-workshop --query "cluster.name" --output text)`	Administrador da AWS, administrador de nuvem
Valide a saída.	Para validar se as variáveis foram definidas corretamente, execute o comando a seguir. `echo $CLUSTER_NAME` Verifique se a saída desse comando corresponde à entrada especificada na etapa anterior.	Administrador da AWS, administrador de nuvem

Verifique o contexto do cluster.

Antes de interagir com seu cluster Amazon EKS usando o Helm ou outras ferramentas de linha de comando, você deve definir variáveis de ambiente que encapsulem os detalhes do seu cluster. Essas variáveis são usadas em comandos subsequentes para garantir que elas tenham como alvo o cluster e os recursos corretos.

Primeiro, confirme se você está operando no contexto correto do cluster. Isso garante que todos os comandos subsequentes sejam enviados para o cluster Kubernetes pretendido. Para verificar o contexto atual, execute o comando a seguir.


kubectl config current-context

Administrador da AWS, administrador de nuvem

Defina a CLUSTER_NAME variável.

Defina a variável de CLUSTER_NAME ambiente para seu cluster Amazon EKS. No comando a seguir, substitua o valor us-west-2 da amostra pelo correto Região da AWS para seu cluster. Substitua o valor eks-workshop da amostra pelo nome do cluster existente.


export CLUSTER_NAME=$(aws eks describe-cluster --region us-west-2 --name eks-workshop --query "cluster.name" --output text)

Administrador da AWS, administrador de nuvem

Valide a saída.

Para validar se as variáveis foram definidas corretamente, execute o comando a seguir.


echo $CLUSTER_NAME

Verifique se a saída desse comando corresponde à entrada especificada na etapa anterior.

Administrador da AWS, administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Criar uma conta de serviço do .	Você usa funções do IAM para contas de serviço para mapear suas contas de serviço do Kubernetes para funções do IAM, a fim de permitir o gerenciamento refinado de permissões para seus aplicativos que são executados no Amazon EKS. Você pode usar eksctl para criar e associar uma função do IAM a uma conta de serviço específica do Kubernetes dentro do seu cluster Amazon EKS. A política AWS gerenciada `NeptuneFullAccess` permite acesso de gravação e leitura ao cluster Neptune especificado. Importante Você deve ter um endpoint OIDC associado ao seu cluster antes de executar esses comandos. Crie uma conta de serviço que você deseja associar a uma política AWS gerenciada chamada`NeptuneFullAccess`. `eksctl create iamserviceaccount --name eks-neptune-sa --namespace default --cluster $CLUSTER_NAME --attach-policy-arn arn:aws:iam::aws:policy/NeptuneFullAccess --approve --override-existing-serviceaccounts` onde `eks-neptune-sa` está o nome da conta de serviço que você deseja criar. Após a conclusão, esse comando exibe a seguinte resposta: `2024-02-07 01:12:39 [ℹ] created serviceaccount "default/eks-neptune-sa"`	Administrador da AWS, administrador de nuvem
Verifique se a conta está configurada corretamente.	Certifique-se de que a conta `eks-neptune-sa` de serviço esteja configurada corretamente no namespace padrão do seu cluster. `kubectl get sa eks-neptune-sa -o yaml` O resultado deve ser semelhante ao seguinte: `apiVersion: v1 kind: ServiceAccount metadata: annotations: eks.amazonaws.com/role-arn: arn:aws:iam::123456789123:role/eksctl-eks-workshop-addon-iamserviceaccount-d-Role1-Q35yKgdQOlmM creationTimestamp: "2024-02-07T01:12:39Z" labels: app.kubernetes.io/managed-by: eksctl name: eks-neptune-sa namespace: default resourceVersion: "5174750" uid: cd6ba2f7-a0f5-40e1-a6f4-4081e0042316`	Administrador da AWS, administrador de nuvem
Verifique a conectividade.	Implante um pod de amostra chamado `pod-util` e verifique a conectividade com o Neptune. `apiVersion: v1 kind: Pod metadata: name: pod-util namespace: default spec: serviceAccountName: eks-neptune-sa containers: - name: pod-util image: public.ecr.aws/patrickc/troubleshoot-util command: - sleep - "3600" imagePullPolicy: IfNotPresent` `kubectl apply -f pod-util.yaml` `kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1# curl -X POST -d '{"gremlin":"g.V().limit(1)"}' https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/gremlin {"requestId":"a4964f2d-12b1-4ed3-8a14-eff511431a0e","status":{"message":"","code":200,"attributes":{"@type":"g:Map","@value":[]}},"result":{"data":{"@type":"g:List","@value":[]},"meta":{"@type":"g:Map","@value":[]}}} bash-5.1# exit exit`	Administrador da AWS, administrador de nuvem

Criar uma conta de serviço do .

Você usa funções do IAM para contas de serviço para mapear suas contas de serviço do Kubernetes para funções do IAM, a fim de permitir o gerenciamento refinado de permissões para seus aplicativos que são executados no Amazon EKS. Você pode usar eksctl para criar e associar uma função do IAM a uma conta de serviço específica do Kubernetes dentro do seu cluster Amazon EKS. A política AWS gerenciada NeptuneFullAccess permite acesso de gravação e leitura ao cluster Neptune especificado.

Importante

Você deve ter um endpoint OIDC associado ao seu cluster antes de executar esses comandos.

Crie uma conta de serviço que você deseja associar a uma política AWS gerenciada chamadaNeptuneFullAccess.


eksctl create iamserviceaccount --name eks-neptune-sa --namespace default --cluster $CLUSTER_NAME --attach-policy-arn arn:aws:iam::aws:policy/NeptuneFullAccess --approve --override-existing-serviceaccounts

onde eks-neptune-sa está o nome da conta de serviço que você deseja criar.

Após a conclusão, esse comando exibe a seguinte resposta:


2024-02-07 01:12:39 [ℹ] created serviceaccount "default/eks-neptune-sa"

Administrador da AWS, administrador de nuvem

Verifique se a conta está configurada corretamente.

Certifique-se de que a conta eks-neptune-sa de serviço esteja configurada corretamente no namespace padrão do seu cluster.


kubectl get sa eks-neptune-sa -o yaml

O resultado deve ser semelhante ao seguinte:


apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::123456789123:role/eksctl-eks-workshop-addon-iamserviceaccount-d-Role1-Q35yKgdQOlmM
  creationTimestamp: "2024-02-07T01:12:39Z"
  labels:
    app.kubernetes.io/managed-by: eksctl
  name: eks-neptune-sa
  namespace: default
  resourceVersion: "5174750"
  uid: cd6ba2f7-a0f5-40e1-a6f4-4081e0042316

Administrador da AWS, administrador de nuvem

Verifique a conectividade.

Implante um pod de amostra chamado pod-util e verifique a conectividade com o Neptune.


apiVersion: v1
kind: Pod
metadata:
  name: pod-util
  namespace: default
spec:
  serviceAccountName: eks-neptune-sa
  containers:
  - name: pod-util
    image: public.ecr.aws/patrickc/troubleshoot-util
    command:
      - sleep
      - "3600"
    imagePullPolicy: IfNotPresent


kubectl apply -f pod-util.yaml


kubectl exec --stdin --tty pod-util -- /bin/bash
bash-5.1# curl -X POST -d '{"gremlin":"g.V().limit(1)"}' https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/gremlin
{"requestId":"a4964f2d-12b1-4ed3-8a14-eff511431a0e","status":{"message":"","code":200,"attributes":{"@type":"g:Map","@value":[]}},"result":{"data":{"@type":"g:List","@value":[]},"meta":{"@type":"g:Map","@value":[]}}}
bash-5.1# exit
exit

Administrador da AWS, administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Ative a autenticação do banco de dados do IAM.	Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Você pode ativar ou desativar a autenticação do banco de dados do IAM usando AWS Management Console o. Siga as etapas na AWS documentação para habilitar a autenticação do banco de dados do IAM no Neptune.	Administrador da AWS, administrador de nuvem
Verifique as conexões.	Nesta etapa, você interage com o `pod-util` contêiner, que já está em execução, para instalar o awscurl e verificar a conexão. Execute o comando a seguir para encontrar o pod. `kubectl get pods` O resultado deve ser semelhante ao seguinte: `NAME READY STATUS RESTARTS AGE pod-util 1/1 Running 0 50m` Execute o comando a seguir para instalar o awscurl. kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1#pip3 install awscurl Installing collected packages: idna, configparser, configargparse, charset-normalizer, certifi, requests, awscurl Successfully installed awscurl-0.32 certifi-2024.2.2 charset-normalizer-3.3.2 configargparse-1.7 configparser-6.0.0 idna-3.6 requests-2.31.0 bash-5.1# awscurl https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/status --region us-west-2 --service neptune-db {"status":"healthy","startTime":"Thu Feb 08 01:22:14 UTC 2024","dbEngineVersion":"1.3.0.0.R1","role":"writer","dfeQueryEngine":"viaQueryHint","gremlin":{"version":"tinkerpop-3.6.4"},"sparql":{"version":"sparql-1.1"},"opencypher":{"version":"Neptune-9.0.20190305-1.0"},"labMode":{"ObjectIndex":"disabled","ReadWriteConflictDetection":"enabled"},"features":{"SlowQueryLogs":"disabled","ResultCache":{"status":"disabled"},"IAMAuthentication":"enabled","Streams":"disabled","AuditLog":"disabled"},"settings":{"clusterQueryTimeoutInMs":"120000","SlowQueryLogsThreshold":"5000"}}	Administrador da AWS, administrador de nuvem

Ative a autenticação do banco de dados do IAM.

Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Você pode ativar ou desativar a autenticação do banco de dados do IAM usando AWS Management Console o.

Siga as etapas na AWS documentação para habilitar a autenticação do banco de dados do IAM no Neptune.

Administrador da AWS, administrador de nuvem

Verifique as conexões.

Nesta etapa, você interage com o pod-util contêiner, que já está em execução, para instalar o awscurl e verificar a conexão.

Execute o comando a seguir para encontrar o pod.
```
kubectl get pods
```
O resultado deve ser semelhante ao seguinte:
```
NAME READY STATUS RESTARTS AGE
pod-util 1/1 Running 0 50m
```

Execute o comando a seguir para instalar o awscurl.


kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1#pip3 install awscurl Installing collected packages: idna, configparser, configargparse, charset-normalizer, certifi, requests, awscurl Successfully installed awscurl-0.32 certifi-2024.2.2 charset-normalizer-3.3.2 configargparse-1.7 configparser-6.0.0 idna-3.6 requests-2.31.0 bash-5.1# awscurl https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/status --region us-west-2 --service neptune-db {"status":"healthy","startTime":"Thu Feb 08 01:22:14 UTC 2024","dbEngineVersion":"1.3.0.0.R1","role":"writer","dfeQueryEngine":"viaQueryHint","gremlin":{"version":"tinkerpop-3.6.4"},"sparql":{"version":"sparql-1.1"},"opencypher":{"version":"Neptune-9.0.20190305-1.0"},"labMode":{"ObjectIndex":"disabled","ReadWriteConflictDetection":"enabled"},"features":{"SlowQueryLogs":"disabled","ResultCache":{"status":"disabled"},"IAMAuthentication":"enabled","Streams":"disabled","AuditLog":"disabled"},"settings":{"clusterQueryTimeoutInMs":"120000","SlowQueryLogsThreshold":"5000"}}

Administrador da AWS, administrador de nuvem

Solução de problemas

Problema	Solução
Não consigo acessar o banco de dados Neptune.	Revise a política do IAM que está anexada à conta de serviço. Certifique-se de que ele permita as ações necessárias (por exemplo,`neptune:Connec,neptune:DescribeDBInstances`) para as operações que você deseja executar.

Recursos relacionados

Conceda às cargas de trabalho do Kubernetes acesso ao AWS uso de contas de serviço do Kubernetes (documentação do Amazon EKS)
Funções do IAM para contas de serviço (documentação do Amazon EKS)
Criação de um novo cluster de banco de dados Neptune (documentação do Amazon Neptune)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Contêineres e microsserviços

Acesse aplicativos de contêineres no Amazon ECS