1. 概述

Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,可让您在 AWS 上轻松运行 Kubernetes,而无需支持或维护您自己的 Kubernetes 控制层面。

Amazon EKS 跨多个可用区运行 Kubernetes 控制层面实例以确保高可用性。Amazon EKS 可以自动检测和替换运行状况不佳的控制层面实例,并为它们提供自动版本升级和修补。

Amazon EKS 还与许多 AWS 服务集成以便为您的应用程序提供可扩展性和安全性,包括:

  • 用于容器镜像的 Amazon ECR
  • 用于负载分配的 Elastic Load Balancing
  • 用于身份验证的 IAM
  • 用于隔离的 Amazon VPC

2. 版本

K8S 版本 K8S 发布时间 EKS 平台版本 EKS 发布日志
1.13.7 2019.6.7 eks.1 Initial release of Kubernetes 1.13 for Amazon EKS. For more information, see Kubernetes 1.13.
1.12.6 2019.2.27 eks.2 New platform version to support custom DNS names in the Kubelet certificate and improve etcd performance. This fixes a bug that caused worker node Kubelet daemons to request a new certificate every few seconds.
1.12.6 2019.2.27 eks.1 Initial release of Kubernetes 1.12 for Amazon EKS.
1.11.8 2019.3.1 eks.3 New platform version to support custom DNS names in the Kubelet certificate and improve etcd performance.
1.11.8 2019.3.1 eks.2 New platform version updating Amazon EKS Kubernetes 1.11 clusters to patch level 1.11.8 to address CVE-2019-1002100.

3. 预备

3.1. 操作环境

3.1.1 Python

  • 版本要求:>= 2.7.9
  • 用途:安装 aws cli

3.1.2 aws cli

  • 版本要求:>= 1.16.156
  • 用途:操作 aws 资源
  • 安装过程:
pip install awscli --upgrade --user

3.1.3 eksctl

  • 版本要求:>= 0.1.37
  • 用途:操作 aws eks 资源
  • 安装过程:
curl --silent --location "https://github.com/weaveworks/eksctl/releases/download/latest_release/eksctl_$(uname -s)_amd64.tar.gz" | tar xz -C /tmp

sudo mv /tmp/eksctl /usr/local/bin

eksctl version

3.1.4 kubectl

  • 版本要求:最新版本或不低于 Kubernetes 版本 1 个小版本号。
  • 用途:操作 Kubernetes 集群
  • 安装过程:
curl -LO https://storage.googleapis.com/kubernetes-release/release/`curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt`/bin/linux/amd64/kubectl

chmod +x ./kubectl

sudo mv ./kubectl /usr/local/bin/kubectl

kubectl version

3.2. 角色权限

参考:

  1. Amazon EKS 基于身份的策略示例
  2. https://github.com/weaveworks/eksctl/issues/204#issuecomment-450280786(这位小哥说他亲自试了 30 多次才补全的,而我试了将近 40 次)
  3. https://docs.aws.amazon.com/autoscaling/ec2/userguide/control-access-using-iam.html

注意:要有适量网关、VPC 和 IP 数量空余,否则会报达到最大限制错误。

3.2.1. CloudFormation 完全权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Action": [

        "cloudformation:*"

      ],

      "Resource": "*"

    }

  ]

}

3.2.2. EKS 读写权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "VisualEditor0",

      "Effect": "Allow",

      "Action": [

        "eks:ListClusters",

        "eks:CreateCluster"

      ],

      "Resource": "*"

    },

    {

      "Sid": "VisualEditor1",

      "Effect": "Allow",

      "Action": [

        "eks:UpdateClusterVersion",

        "eks:ListUpdates",

        "eks:DescribeUpdate",

        "eks:DescribeCluster",

        "eks:ListClusters",

        "eks:CreateCluster"

      ],

      "Resource": "arn:aws:eks:*:*:cluster/*"

    }

  ]

}

3.2.3. EC2 相关权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "VisualEditor0",

      "Effect": "Allow",

      "Action": [

        "ec2:CreateInternetGateway",

        "ec2:CreateVpc",

        "ec2:Describe*",

		"ec2:createTags",

		"ec2:ModifyVpcAttribute",

		"ec2:CreateSubnet",

		"ec2:CreateSubnet",

		"ec2:CreateRouteTable",

		"ec2:CreateSecurityGroup",

		"ec2:DeleteSecurityGroup",

		"ec2:AttachInternetGateway",

		"ec2:CreateRoute",

		"ec2:AuthorizeSecurityGroupIngress",

		"ec2:AuthorizeSecurityGroupEgress",

		"ec2:RevokeSecurityGroupEgress",

		"ec2:RevokeSecurityGroupIngress",

		"ec2:AssociateRouteTable",

		"ec2:CreateNatGateway",

		"ec2:AllocateAddress",

		"ec2:DeleteInternetGateway",

		"ec2:DeleteNatGateway",

		"ec2:DeleteRoute",

		"ec2:DeleteRouteTable",

		"ec2:DeleteSubnet",

		"ec2:DeleteTags",

		"ec2:DeleteVpc",

		"ec2:DescribeInternetGateways",

		"ec2:DescribeNatGateways",

		"ec2:DescribeRouteTables",

		"ec2:DescribeSecurityGroups",

		"ec2:DescribeSubnets",

		"ec2:DescribeTags",

		"ec2:DescribeVpcAttribute",

		"ec2:DetachInternetGateway",

		"ec2:DisassociateRouteTable",

		"ec2:RunInstances",

		"ec2:ReleaseAddress"

      ],

      "Resource": "*"

    }

  ]

}

3.2.4. CloudWatch 相关权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Action": [

        "cloudwatch:ListMetrics",

        "cloudwatch:GetMetricStatistics",

        "cloudwatch:Describe*"

      ],

      "Resource": "*"

    },

  ]

}

3.2.5. autoscaling 相关权限

{

  "Version": "2012-10-17",

  "Statement": [

      {

          "Effect": "Allow",

          "Action": [

				"autoscaling:CreateAutoScalingGroup",

				"autoscaling:DeleteAutoScalingGroup",

				"autoscaling:DeleteLaunchConfiguration",

				"autoscaling:DescribeAutoScalingGroups",

				"autoscaling:DescribeLaunchConfigurations",

				"autoscaling:DescribeScalingActivities",

				"autoscaling:UpdateAutoScalingGroup"

			],

          "Resource": "*"

      }

  ]

}

3.2.6. elasticloadbalancing 相关权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Action": "elasticloadbalancing:Describe*",

      "Resource": "*"

    }

  ]

}

3.2.7. iam 相关权限

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Sid": "VisualEditor0",

      "Effect": "Allow",

      "Action": [

        "iam:CreateRole",

        "iam:AttachRolePolicy",

		"iam:DetachRolePolicy",

		"iam:GetRole",

		"iam:PassRole",

		"iam:CreateInstanceProfile",

		"iam:AddRoleToInstanceProfile",

		"iam:RemoveRoleFromInstanceProfile",

		"iam:GetInstanceProfile",

		"iam:PutRolePolicy",

		"iam:DeleteRolePolicy",

		"iam:GetRolePolicy",

		"iam:ListInstanceProfiles",

		"iam:CreateServiceLinkedRole",

		"iam:ListInstanceProfilesForRole"

      ],

      "Resource": "*"

    }

  ]

}

3.2.8. LaunchTemplate 相关权限

{

  "Sid": "VisualEditor2",

  "Effect": "Allow",

  "Action": [

    "autoscaling:CreateLaunchConfiguration",

    "ec2:DeleteLaunchTemplate",

    "ec2:ModifyLaunchTemplate",

    "ec2:DeleteLaunchTemplateVersions",

    "ec2:CreateLaunchTemplateVersion"

  ],

  "Resource": [

    "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/*",

    "arn:aws:ec2:*:*:launch-template/*"

  ]

}

3.3. 安装 aws-iam-authenticator

参见:https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/install-aws-iam-authenticator.html

curl -o aws-iam-authenticator https://amazon-eks.s3-us-west-2.amazonaws.com/1.13.7/2019-06-11/bin/linux/amd64/aws-iam-authenticator

chmod +x ./aws-iam-authenticator

mkdir -p $HOME/bin && cp ./aws-iam-authenticator $HOME/bin/aws-iam-authenticator && export PATH=$HOME/bin:$PATH

echo 'export PATH=$HOME/bin:$PATH' >> ~/.bashrc

// 获取 token?

aws-iam-authenticator token -i <cluster name>

// 查看调用者?

aws sts get-caller-identity

3.4. 创建 kubeconfig

参见:https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/create-kubeconfig.html

使用以下命令自动生成 kubeconfig

// 生成 kubeconfig

aws eks --region <your region> update-kubeconfig --name <cluster name>

// 查看 kubeconfig

cat ~/.kube/config

4. 开始使用

4.1. 创建集群

使用以下命令开始创建集群,其原理是:通过 aws cli 调用 CloudFormation 的相关 API,启动一个创建 EKS Cluster 的 Stack 和一个创建 EKS nodes 的 Stack 去创建集群所需的各种资源(包括网关、IP、VPC、EC2 等等)。

eksctl create cluster \

--name prod \

--version 1.13 \

--nodegroup-name standard-workers \

--node-type t3.medium \

--nodes 3 \

--nodes-min 1 \

--nodes-max 4 \

--node-ami auto

注意:如果选择 P2 或 P3 实例类型和 Amazon EKS 优化的 AMI(具有 GPU 支持),则必须使用以下命令在集群上将适用于 Kubernetes 的 NVIDIA 设备插件用作守护程序集。

kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/1.0.0-beta/nvidia-device-plugin.yml

4.2. 查看集群状态

// 查看节点状态

kubectl get nodes

// 查看服务状态

kubectl get svc

// 查看事件

kubectl get events --all-namespaces

4.3. 部署 Dashboard

参见:

  1. https://aws.amazon.com/cn/premiumsupport/knowledge-center/eks-cluster-kubernetes-dashboard/
  2. https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/dashboard-tutorial.html
  3. https://www.youtube.com/watch?v=JcZJqSa65Yc
// 将 Kubernetes 控制面板部署到集群

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml

// 部署 heapster 以在集群上启用容器集群监控和性能分析

kubectl apply -f https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/influxdb/heapster.yaml

// 将 heapster 的 influxdb 后端部署到集群

kubectl apply -f https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/influxdb/influxdb.yaml

// 为控制面板创建 heapster 集群角色绑定

kubectl apply -f https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/rbac/heapster-rbac.yaml

// 创建一个具有新集群管理权限的新服务账户

cat > eks-admin-service-account.yaml << EOF

apiVersion: v1

kind: ServiceAccount

metadata:

  name: eks-admin

  namespace: kube-system

---

apiVersion: rbac.authorization.k8s.io/v1beta1

kind: ClusterRoleBinding

metadata:

  name: eks-admin

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: ClusterRole

  name: cluster-admin

subjects:

- kind: ServiceAccount

  name: eks-admin

  namespace: kube-system

EOF

// 将此服务账户和集群角色绑定应用到您的集群

kubectl apply -f eks-admin-service-account.yaml

// 检索 eks-admin 服务账户的身份验证令牌。从输出中复制 <authentication_token> 值。您可以使用此令牌连接到控制面板

kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep eks-admin | awk '{print $1}')

// 将所有请求从您的 Amazon EC2 实例本地主机端口转发到 Kubernetes 控制面板端口

kubectl port-forward svc/kubernetes-dashboard -n kube-system 6443:443

// 从带 SSH 隧道的本地计算机访问端口

ssh -i EC2KeyPair.pem ec2-user@IP -L 6443:127.0.0.1:6443

访问 https://127.0.0.1:6443 输入 Token 即可访问 Dashboard。

4.4. 删除集群

eksctl delete cluster --region=<your region> --name=<cluster name>

4.5. 更多操作

参见:

【Kubernetes 系列五】在 AWS 中使用 Kubernetes:EKS的更多相关文章

  1. Kubernetes系列(五) Ingress

    作者: LemonNan 原文地址: https://juejin.im/post/6878269825639317517 Kubernetes 系列 Kubernetes系列(一) Pod Kube ...

  2. kubernetes系列:(二)、kubernetes部署mysql(单节点)

    使用kubeadm搭建好kubernetes集群后就可以动手部署自己的应用了. 本文用例来自官网,如有需要请参看 kubernetes官网 一.环境说明 kubernetes 1.13.1 docke ...

  3. mysql系列五、mysql中having的用法

    HAVING 子句对 GROUP BY 子句设置条件的方式与 WHERE 和 SELECT 的交互方式类似.WHERE 搜索条件在进行分组操作之前应用:而HAVING 搜索条件在进行分组操作之后应用. ...

  4. kubernetes系列

    目录: 介绍的全部可以在github上找到,链接  haoprogrammer kubernetes学习:(一).kubeadm搭建kubernetes(v1.13.1)单节点集群 kubernete ...

  5. Kubernetes 系列(五):Prometheus监控框架简介

    由于容器化和微服务的大力发展,Kubernetes基本已经统一了容器管理方案,当我们使用Kubernetes来进行容器化管理的时候,全面监控Kubernetes也就成了我们第一个需要探索的问题.我们需 ...

  6. Kubernetes系列02—Kubernetes设计架构和设计理念

    本文收录在容器技术学习系列文章总目录 1.Kubernetes设计架构 Kubernetes集群包含有节点代理kubelet和Master组件(APIs, scheduler, etc),一切都基于分 ...

  7. kubernetes系列(十四) - 存储之PersistentVolume

    1. PersistentVolume(PV)简介 1.1 为什么需要Persistent Volume(PV) 1.2 PersistentVolume(PV)和Volume的区别 1.3 PV和P ...

  8. 从0到1使用Kubernetes系列(六):数据持久化实战

    本文是从 0 到 1 使用 Kubernetes 系列第六篇,上一篇<从 0 到 1 使用 Kubernetes 系列(五):Kubernetes Scheduling>介绍了 Kuber ...

  9. 从0到1使用Kubernetes系列(八):Kubernetes安全

    本文是从 0 到 1 使用 Kubernetes 系列第八篇,上一篇从0到1使用Kubernetes系列(七):网络介绍了 K8S 网络相关的内容,本文将带你了解 K8S 的安全问题. Kuberne ...

随机推荐

  1. RT-Thread定时器以及结构体指针的一些思考

    定时器分为软件定时器和硬件定时器.顾名思义,软件定时器就是有操作系统提供的软件定时器,硬件定时器就是用硬件芯片提供的定时器. 而在RT-Thread操作系统提供的定时器是软件定时器,但是为了便于管理, ...

  2. (转)User-Agent的由来(原来这么有意思)

    你是否好奇标识浏览器身份的User-Agent,为什么每个浏览器都有Mozilla字样?Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 ( ...

  3. Ajax探讨

    Ajax是一种技术方案,并不是什么新技术,Ajax请求使用XmlHttpRequest对象发送, XmlHttpRequest是一个浏览器接口,使得Javascript可以进行HTTP(S)通信. 最 ...

  4. 百度云下载神器 速盘SpeedPan v1.9.7

    速盘 – 不一样的度盘神器!SpeedPan 是一款由吾爱破解论坛会员"菩提叶"制作的度盘满速下载工具.这款百度网盘高速下载工具,免费小巧简单易用,采用了Aria2多线程下载,支持 ...

  5. windows7(win7)64/32位激活工具

    win7激活工具中文绿色免费版是改自binbin的作品,我们修改的windows7激活工具grldr模拟激活是别人的东西,能激活win7旗舰.原作者是binbin,其他的激活工具都是基于grldr模拟 ...

  6. 关系型数据库MySql简介

    什么是关系型数据库? 数据库就是用来存储数据的仓库,是一种特殊的文件. 根据存储的数据不同,划分为关系型数据库和非关系型数据库. 关系型数据库就是指 建立在关系模型基础上的数据库,通俗来讲这种数据库就 ...

  7. css单位中px和em,rem的区别

    css单位中分为相对长度单位.绝对长度单位. 今天我们主要讲解rem.em.px这些常用单位的区别和用法. px(绝对长度单位) 相信对于前端来说px这个单位是大家并不陌生,px这个单位,兼容性可以说 ...

  8. React躬行记(8)——样式

    由于React推崇组件模式,因此会要求HTML.CSS和JavaScript混合在一起,虽然这与过去的关注点分离正好相反,但是更有利于组件之间的隔离.React已将HTML用JSX封装,而对CSS只进 ...

  9. python爬取新浪股票数据—绘图【原创分享】

    目标:不做蜡烛图,只用折线图绘图,绘出四条线之间的关系. 注:未使用接口,仅爬虫学习,不做任何违法操作. """ 新浪财经,爬取历史股票数据 ""&q ...

  10. python爬虫笔记之re.compile.findall()

    re.compile.findall原理是理解了,但输出不大理解(主要是加了正则表达式的括号分组) 一开始不懂括号的分组及捕捉,看了网上这个例子(如下),然而好像还是说不清楚这个括号的规律(还是说我没 ...