使用 Flux 简化 Amazon EKS 多租户应用程序部署 - AWS 规范指引
Summary先决条件和限制架构工具最佳实践操作说明问题排查相关资源附加信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Flux 简化 Amazon EKS 多租户应用程序部署

Nadeem Rahaman、Aditya Ambati、Aniket Dekate 和 Shrikant Patil,Amazon Web Services

Summary

许多提供产品和服务的公司隶属于受数据监管的行业,这类行业要求在其内部业务职能之间建立数据壁垒。此模式描述了如何使用 Amazon Elastic Kubernetes Service(Amazon EKS)中的多租户功能来构建数据平台,在共享单个 Amazon EKS 集群的租户或用户之间实现逻辑隔离与物理隔离。此模式通过以下方法实现隔离:

  • Kubernetes 命名空间隔离

  • 基于角色的访问控制 (RBAC)

  • 网络策略

  • 资源配额

  • AWS Identity and Access Management 服务账户的 (IAM) 角色 (IRSA)

此外,此解决方案使用 Flux,确保在部署应用程序时保持租户配置不可变。您可通过在配置中指定包含 Flux kustomization.yaml 文件的租户存储库来部署租户应用程序。

此模式实现以下内容:

  • 通过手动部署 Terraform 脚本创建的 AWS CodeCommit 存储库、 AWS CodeBuild 项目和 AWS CodePipeline 管道。

  • 托管租户所需的网络和计算组件。它们是 CodeBuild 通过 CodePipeline 和使用 Terraform 创建的。

  • 通过 Helm 图表配置的租户命名空间、网络策略和资源配额。

  • 使用 Flux 部署的、分属不同租户的应用程序。

建议您根据自身的独特需求和安全考量,仔细规划并构建适合自己的多租户架构。此模式为您的实现提供了起点。

先决条件和限制

先决条件

限制

  • Terraform 手动部署的依赖:工作流程的初始设置(包括创建 CodeCommit 存储库、 CodeBuild 项目和 CodePipeline 管道)依赖于手动 Terraform 部署。这在自动化和可扩展性方面存在潜在的限制,因为需要手动干预才能进行基础设施更改。

  • CodeCommit 存储库依赖关系:工作流程依赖于 CodeCommit 存储库作为源代码管理解决方案,并与之紧密结合 AWS 服务。

架构

目标架构

此模式通过部署三个模块来为数据平台构建管道、网络和计算基础设施,如下图所示。

管道架构:

适用于 Amazon EKS 多租户架构的管道基础设施

网络架构:

适用于 Amazon EKS 多租户架构的网络基础设施

计算架构:

适用于 Amazon EKS 多租户架构的计算基础设施

工具

AWS 服务

  • AWS CodeBuild 是一项完全托管式构建服务,可编译源代码、运行单元测试和生成部署就绪的构件。

  • AWS CodeCommit 是一项版本控制服务,可帮助您私下存储和管理 Git 存储库,而无需管理自己的源代码控制系统。

  • AWS CodePipeline 可帮助您快速对软件发布过程的不同阶段进行建模和配置,并自动执行持续发布软件变更所需步骤。

  • 亚马逊 Elastic Kubernetes Service(亚马逊 EKS)可帮助你在上面运行 AWS Kubernetes,而无需安装或维护自己的 Kubernetes 控制平面或节点。

  • AWS Transit Gateway是连接虚拟私有云 (VPCs) 和本地网络的中央集线器。

  • Amazon Virtual Private Cloud(亚马逊 VPC)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS的可扩展基础设施的优势。

其他工具

  • Cilium 网络策略支持 Kubernetes L3 和 L4 网络策略。它们可通过 L7 策略进行扩展,为 HTTP、Kafka 和 gRPC 以及其他类似协议提供 API 级安全防护。

  • Flux 是一款基于 Git 的持续交付(CD)工具,可自动完成 Kubernetes 上的应用程序部署。

  • Helm 是 Kubernetes 的开源软件包管理器,可帮助您在 Kubernetes 集群上安装和管理应用程序。

  • Terraform 是一款基础设施即代码 (IaC) 工具 HashiCorp ,可帮助您创建和管理云和本地资源。

代码存储库

此模式的代码可在 GitHub EKS 多租户 Terraform 解决方案存储库中找到。

最佳实践

有关此实施方案的使用指南和最佳实践,请参阅以下内容:

操作说明

Task说明所需技能

克隆项目存储库。

在终端 GitHub 窗口中运行以下命令,克隆 EKS 多租户 Terraform 解决方案存储库:

git clone https://github.com/aws-samples/aws-eks-multitenancy-deployment.git
AWS DevOps

引导 Terraform S3 存储桶和 Amazon DynamoDB。

  1. bootstrap 文件夹中,打开 bootstrap.sh 文件并更新 S3 存储桶名称、DynamoDB 表名称和 AWS 区域的变量值:

    S3_BUCKET_NAME="<S3_BUCKET_NAME>" 
DYNAMODB_TABLE_NAME="<DYNAMODB_NAME>" 
REGION="<AWS_REGION>"

  2. 运行 bootstrap.sh 脚本。该脚本需要 AWS CLI,您已将其作为先决条件的一部分进行安装。

    cd bootstrap
./bootstrap.sh
AWS DevOps

更新 run.shlocals.tf 文件。

  1. 成功完成引导过程后,从 bootstrap.sh 脚本的 variables 部分复制 S3 存储桶和 DynamoDB 表名称:

    # Variables
S3_BUCKET_NAME="<S3_BUCKET_NAME>"
DYNAMODB_TABLE_NAME="<DYNAMODB_NAME"

  2. 将这些值粘贴到项目根目录下的 run.sh 脚本中:

    BACKEND_BUCKET_ID="<SAME_NAME_AS_S3_BUCKET_NAME>"
DYNAMODB_ID="<SAME_NAME_AS_DYNAMODB_NAME>"

  3. 将项目代码上传到存储 CodeCommit 库。您可以通过 Terraform 自动创建此存储库,方法是在 true 文件中将以下变量设置为 demo/pipeline/locals.tf

    create_new_repo = true

  4. 根据您的要求更新 locals.tf 文件,以创建管道资源。

AWS DevOps

部署管道模块。

要创建管道资源,请手动运行以下 Terraform 命令。目前尚无自动运行这些命令的编排。

./run.sh -m pipeline -e demo -r <AWS_REGION> -t init
./run.sh -m pipeline -e demo -r <AWS_REGION> -t plan
./run.sh -m pipeline -e demo -r <AWS_REGION> -t apply
AWS DevOps
Task说明所需技能

启动管道。

  1. templates 文件夹中,确保 buildspec 文件将以下变量设置为 network

    TF_MODULE_TO_BUILD: "network"

  2. CodePipeline 控制台的管道详细信息页面上,通过选择发布更改来启动管道。

第一次运行后,每当你向 CodeCommit 存储库主分支提交更改时,管道就会自动启动。

该管道包括以下阶段

  • validate 初始化 Terraform,使用 checkovtfsec 工具运行 Terraform 安全扫描,并将扫描报告上传到 S3 存储桶。

  • plan 显示 Terraform 计划并将该计划上传到 S3 存储桶。

  • apply应用来自 S3 存储桶的 Terraform 计划输出并创建 AWS 资源。

  • destroy移除在apply阶段中创建的 AWS 资源。要启用此可选阶段,请在 demo/pipeline/locals.tf 文件中将以下变量设置为 true

    enable_destroy_stage = true
AWS DevOps

验证通过网络模块创建的资源。

确认以下 AWS 资源是在成功部署管道后创建的:

  • 出口 VPC,包含 3 个公有子网和 3 个私有子网、互联网网关以及 NAT 网关。

  • 包含 3 个私有子网的 Amazon EKS VPC。

  • 租户 1 和租户 2 各 VPCs 有三个私有子网。

  • 中转网关,包含所有 VPC 连接以及通往每个私有子网的路由。

  • Amazon EKS 出口 VPC 的静态中转网关路由,包含目标 CIDR 数据块 0.0.0.0/0。这是让所有 VPCs 人都能通过 Amazon EKS 出口 VPC 进行出站互联网访问所必需的。

AWS DevOps
Task说明所需技能

更新locals.tf以启用 CodeBuild 项目对 VPC 的访问权限。

要为 Amazon EKS 私有集群部署插件,必须将该 CodeBuild 项目连接到 Amazon EKS VPC。

  1. demo/pipeline 文件夹中,打开 locals.tf 文件,并将 vpc_enabled 变量设置为 true

  2. 运行 run.sh 脚本,将更改应用于管道模块:

    demo/pipeline/locals.tf
./run.sh -m pipeline -env demo -region <AWS_REGION> -tfcmd init
./run.sh -m pipeline -env demo -region <AWS_REGION> -tfcmd plan 
./run.sh -m pipeline -env demo -region <AWS_REGION> -tfcmd apply
AWS DevOps

更新 buildspec 文件以构建计算模块。

templates 文件夹中,在所有 buildspec YAML 文件中,将 TF_MODULE_TO_BUILD 变量的值从 network 设置为 compute

TF_MODULE_TO_BUILD: "compute"
AWS DevOps

更新租户管理 Helm 图表的 values 文件。

  1. 打开位于以下位置的 values.yaml 文件:

    cd cfg-terraform/demo/compute/cfg-tenant-mgmt

    文件如下所示:

    ---
global:
  clusterRoles:
    operator: platform-tenant
    flux: flux-tenant-applier
  flux:
    tenantCloneBaseUrl: ${TEANT_BASE_URL}
    repoSecret: ${TENANT_REPO_SECRET}
tenants:
  tenant-1:
    quotas:
      limits:
        cpu: 1
        memory: 1Gi
    flux:
      path: overlays/tenant-1
  tenant-2:
    quotas:
      limits:
        cpu: 1
        memory: 2Gi
    flux:
      path: overlays/tenant-2

  2. globaltenants 部分中,根据您的需求更新以下配置:

    • tenantCloneBaseUrl – 托管所有租户代码的存储库的路径(我们对所有租户使用相同的 Git 存储库)

    • repoSecret – Kubernetes 密钥,存储用于对全局租户 Git 存储库进行身份验证的 SSH 密钥和已知主机信息

    • quotas – 您想要为每个租户申请的 Kubernetes 资源配额

    • flux path – 全局租户存储库中租户应用程序 YAML 文件的路径

AWS DevOps

验证计算资源。

在前面的步骤中更新文件后,将自动 CodePipeline 启动。确认它已为计算基础设施创建了以下 AWS 资源:

  • 使用私有端点的 Amazon EKS 集群

  • Amazon EKS Worker 节点

  • Amazon EKS 附加组件:外部密钥、aws-loadbalancer-controllermetrics-server

  • GitOps 模块、Flux Helm 图表、Cilium Helm 图表和租户管理 Helm 图表

AWS DevOps
Task说明所需技能

验证 Kubernetes 中的租户管理资源。

运行以下命令,检查借助 Helm 是否成功创建了租户管理资源。

  1. 已创建租户命名空间,如 values.yaml 中所指定:

    kubectl get ns -A

  2. 为每个租户命名空间分配配额,如 values.yaml 中所指定:

    kubectl get quota --namespace=<tenant_namespace>

  3. 每个租户命名空间的配额详细信息都是正确的:

    kubectl describe quota cpu-memory-resource-quota-limit -n <tenant_namespace>

  4. Cilium 网络策略已应用于每个租户命名空间:

    kubectl get CiliumNetworkPolicy -A
AWS DevOps

验证租户应用程序部署。

运行以下命令,验证租户应用程序是否已部署。

  1. Flux 能够连接到 GitOps 模块中指定的 CodeCommit 存储库:

    kubectl get gitrepositories -A

  2. Flux 自定义控制器已在存储库中部署了 YAML 文件: CodeCommit 

    kubectl get kustomizations -A

  3. 所有应用程序资源均部署在其租户命名空间中:

    kubectl get all -n <tenant_namespace>

  4. 已为每个租户创建入口:

    kubectl get ingress -n <tenant_namespace>

问题排查

问题解决方案

您会遇到类似于以下内容的错误消息:

Failed to checkout and determine revision: unable to clone unknown error: You have successfully authenticated over SSH. You can use Git to interact with AWS CodeCommit.

请按照以下步骤解决问题:

  1. 验证租户应用程序存储库:存储库为空或配置错误可能导致该错误。确保租户应用程序存储库包含所需的代码。

  2. 重新部署 tenant_mgmt 模块:在 tenant_mgmt 模块配置文件中,找到 app 数据块,然后将 deploy 参数设置为 0

    deploy = 0

    运行 Terraform apply 命令后,将 deploy 参数值更改回 1

    deploy = 1

  3. 重新检查状态:执行前面的步骤后,使用以下命令检查问题是否仍然存在:

     kubectl get gitrepositories -A

    如果问题仍然存在,请考虑更深入地研究 Flux 日志以获取更多详细信息,或参阅 Flux 一般问题排查指南

相关资源

附加信息

以下是部署租户应用程序的存储库结构示例:

applications
sample_tenant_app
├── README.md
├── base
│   ├── configmap.yaml
│   ├── deployment.yaml
│   ├── ingress.yaml
│   ├── kustomization.yaml
│   └── service.yaml
└── overlays
    ├── tenant-1
    │   ├── configmap.yaml
    │   ├── deployment.yaml
    │   └── kustomization.yaml
    └── tenant-2
        ├── configmap.yaml
        └── kustomization.yaml