Selbstverwaltete Bottlerocket-Knoten erstellen

Anmerkung

Verwaltete Knotengruppen bieten möglicherweise einige Vorteile für Ihren Anwendungsfall. Weitere Informationen finden Sie unter Vereinfachung des Knotenlebenszyklus mit verwalteten Knotengruppen.

In diesem Thema wird beschrieben, wie Sie Auto-Scaling-Gruppen von Bottlerocket-Knoten starten, die mit Ihrem Amazon-EKS-Cluster registriert sind. Bottlerocket ist ein Linux-basiertes Open-Source-Betriebssystem, mit dem Sie Container auf virtuellen AWS Maschinen oder Bare-Metal-Hosts ausführen können. Nachdem die Knoten dem Cluster beigetreten sind, können Sie Kubernetes-Anwendungen darin bereitstellen. Weitere Informationen zu Bottlerocket finden Sie in der Dokumentation unter Using a Bottlerocket AMI with Amazon EKS on GitHub and Custom AMI support. eksctl

Informationen zu direkten Upgrades finden Sie unter Bottlerocket Update Operator unter. GitHub

Wichtig

• Amazon EKS-Knoten sind EC2 Standard-Amazon-Instances, und sie werden Ihnen auf der Grundlage der normalen EC2 Amazon-Instance-Preise in Rechnung gestellt. Weitere Informationen finden Sie unter EC2 Amazon-Preise.

• Sie können Bottlerocket-Knoten in erweiterten Amazon EKS-Clustern auf AWS Outposts starten, aber Sie können sie nicht in lokalen Clustern auf Outposts starten. AWS Weitere Informationen finden Sie unter Bereitstellung von Amazon EKS On-Premises mit AWS Outposts.

• Sie können die Bereitstellung auf EC2 Amazon-Instances mit x86 oder ARM-Prozessoren durchführen. Sie können jedoch nicht auf Instances bereitstellen, die über Inferentia-Chips verfügen.

• Bottlerocket ist kompatibel mit. AWS CloudFormation Es gibt jedoch keine offizielle CloudFormation Vorlage, die kopiert werden kann, um Bottlerocket-Knoten für Amazon EKS bereitzustellen.

• Bottlerocket-Images werden nicht mit einem SSH-Server oder einer Shell geliefert. Sie können out-of-band Zugriffsmethoden verwenden, um die SSH-Aktivierung des Admin-Containers zu ermöglichen und einige Bootstrapping-Konfigurationsschritte mit Benutzerdaten zu durchlaufen. Weitere Informationen finden Sie in diesen Abschnitten im bottlerocket README.md auf GitHub:

  • Exploration (Erkundung)

  • Administrator-Container

  • Kubernetes-Einstellungen

Für diesen Vorgang ist eksctl Version 0.215.0 oder höher erforderlich. Sie können Ihre -Version mit dem folgenden Befehl überprüfen:

eksctl version

Anweisungen zum Installieren oder Aktualisieren von eksctl finden Sie unter Installation in der eksctl-Dokumentation. HINWEIS: Dieses Verfahren funktioniert nur für Cluster, die mit eksctl erstellt wurden.

1. Kopieren Sie den folgenden Inhalt auf Ihr Gerät. Ersetzen Sie my-cluster mit dem Namen Ihres Clusters. Der Name darf nur alphanumerische Zeichen (wobei die Groß- und Kleinschreibung beachtet werden muss) und Bindestriche enthalten. Es muss mit einem alphanumerischen Zeichen beginnen und darf nicht länger als 100 Zeichen sein. Der Name muss innerhalb der AWS Region und des AWS Kontos, in dem Sie den Cluster erstellen, eindeutig sein. Ersetzen Sie ng-bottlerocket durch einen Namen für Ihre Knotengruppe. Der Name der Knotengruppe darf nicht länger als 63 Zeichen sein. Er muss mit einem Buchstaben oder einer Ziffer beginnen, kann danach aber auch Bindestriche und Unterstriche enthalten. Um die Bereitstellung auf Arm-Instances durchzuführen, ersetzen Sie m5.large durch einen Arm-Instance-Typ. my-ec2-keypair-nameErsetzen Sie es durch den Namen eines Amazon EC2 SSH-Schlüsselpaars, mit dem Sie nach dem Start über SSH eine Verbindung zu Ihren Knoten herstellen können. Wenn Sie noch kein EC2 Amazon-Schlüsselpaar haben, können Sie eines in der erstellen AWS-Managementkonsole. Weitere Informationen finden Sie unter EC2 Amazon-Schlüsselpaare im EC2 Amazon-Benutzerhandbuch. Ersetzen Sie alle verbleibenden Beispielwerte durch Ihre eigenen Werte. Nachdem Sie das Ersetzen vorgenommen haben, führen Sie den geänderten Befehl aus, um die bottlerocket.yaml-Datei zu erstellen.

   Wenn Sie einen Arm EC2 Amazon-Instance-Typ angeben, lesen Sie AMIs vor der Bereitstellung die Überlegungen in Amazon EKS-optimiertem Arm Amazon Linux durch. Anweisungen zur Bereitstellung mit einem benutzerdefinierten AMI finden Sie in der Dokumentation unter Building Bottlerocket on GitHub und Custom AMI support. eksctl Um eine verwaltete Knotengruppe bereitzustellen, stellen Sie ein benutzerdefiniertes AMI mithilfe einer Startvorlage bereit. Weitere Informationen finden Sie unter Verwaltete Knoten mit Startvorlagen anpassen.

   Wichtig

   Um eine Knotengruppe in AWS Outposts-, AWS Wavelength- oder AWS Local Zone-Subnetzen bereitzustellen, übergeben Sie beim Erstellen des Clusters keine AWS Outposts-, AWS Wavelength- oder AWS Local Zone-Subnetze. Sie müssen die Subnetze im folgenden Beispiel angeben. Weitere Informationen finden Sie unter Verwenden von Config-Dateien und im Config-Datei-Schema in der eksctl-Dokumentation. Ersetzen Sie es region-code durch die AWS Region, in der sich Ihr Cluster befindet.

   cat >bottlerocket.yaml <<EOF
   ---
   apiVersion: eksctl.io/v1alpha5
   kind: ClusterConfig
   
   metadata:
     name: my-cluster
     region: region-code
     version: '1.33'
   
   iam:
     withOIDC: true
   
   nodeGroups:
     - name: ng-bottlerocket
       instanceType: m5.large
       desiredCapacity: 3
       amiFamily: Bottlerocket
       ami: auto-ssm
       iam:
          attachPolicyARNs:
             - arn:aws: iam::aws:policy/AmazonEKSWorkerNodePolicy
             - arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
             - arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore
             - arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy
       ssh:
           allow: true
           publicKeyName: my-ec2-keypair-name
   EOF

2. Stellen Sie den Treiber mit dem folgenden Befehl bereit.

   eksctl create nodegroup --config-file=bottlerocket.yaml

   Eine Beispielausgabe sieht wie folgt aus.

   Mehrere Zeilen werden ausgegeben, während die Knoten erstellt werden. Die letzte Ausgabezeile ähnelt der folgenden Beispielzeile.

   [✔]  created 1 nodegroup(s) in cluster "my-cluster"

3. (Optional) Erstellen eines KubernetesPersistenterauf einem Bottlerocket-Knoten mit demAmazon-EBS-CSI-Plugin. Der standardmäßige Amazon-EBS-Treiber basiert auf Dateisystem-Tools, die nicht in Bottlerocket enthalten sind. Weitere Informationen zur Erstellung einer Speicherklasse mit dem Treiber finden Sie unter Kubernetes-Volume-Speicher mit Amazon EBS verwenden.

4. (Optional) Standardmäßig setzt kube-proxy den Kernelparameter nf_conntrack_max auf einen Standardwert, der sich von dem unterscheiden kann, was Bottlerocket ursprünglich beim Booten festgelegt hat. Um die Standardeinstellung von Bottlerocket beizubehalten, bearbeiten Sie die kube-proxy-Konfiguration im folgenden Befehl.

   kubectl edit -n kube-system daemonset kube-proxy

   Fügen Sie --conntrack-max-per-core und --conntrack-min zu den kube-proxy-Argumenten im folgenden Beispiel hinzu. Eine Einstellung von0impliziert keine Änderung.

         containers:
         - command:
           - kube-proxy
           - --v=2
           - --config=/var/lib/kube-proxy-config/config
           - --conntrack-max-per-core=0
           - --conntrack-min=0

5. (Optional) Bereitstellen einer-Beispielanwendung, um Ihre Bottlerocket-Knoten zu testen.

6. Wir empfehlen, den Pod-Zugriff auf das IMDS zu blockieren, wenn die folgenden Bedingungen erfüllt sind:

   • Sie planen, allen Ihren Kubernetes-Servicekonten IAM-Rollen zuzuweisen, damit Pods nur die Mindestberechtigungen haben, die sie benötigen.

   • Keine Pods im Cluster benötigen aus anderen Gründen Zugriff auf den Amazon EC2 Instance Metadata Service (IMDS), z. B. zum Abrufen der aktuellen AWS Region.

   Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.