Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Rufen Sie Amazon EKS mit Step Functions auf
Step Functions kann bestimmte AWS Dienste direkt von Amazon States Language (ASL) aus steuern. Weitere Informationen hierzu finden Sie unter Arbeiten mit anderen -Services und Parameter an eine Service-API übergeben.
Wie sich die optimierte Amazon EKS-Integration von der Amazon EKS AWS SDK-Integration unterscheidet
-
Das Ausführen einer Aufgabe (.sync) Integrationsmuster wird unterstützt.
-
Es gibt keine Optimierungen für das Request Response (Antwort anfordern) Integrationsmuster.
-
Das Warten auf einen Callback mit dem Aufgabentoken Integrationsmuster wird nicht unterstützt.
Informationen zur Konfiguration von IAM Berechtigungen bei der Verwendung Step Functions mit anderen AWS Diensten finden Sie unterIAM-Richtlinien für integrierte Dienste.
Step Functions bietet zwei Arten von Service-Integrations-APIs für die Integration mit Amazon Elastic Kubernetes Service. Mit einem können Sie die Amazon EKS-APIs verwenden, um einen Amazon EKS-Cluster zu erstellen und zu verwalten. Mit der anderen können Sie mithilfe der Kubernetes-API mit Ihrem Cluster interagieren und Jobs als Teil des Workflows Ihrer Anwendung ausführen. Sie können die Kubernetes-API-Integrationen mit Amazon EKS-Clustern verwenden, die mit Step Functions erstellt wurden, mit Amazon EKS-Clustern, die mit dem eksctl-Tool oder der Amazon EKS-Konsole
Anmerkung
Die Step Functions EKS-Integration unterstützt nur Kubernetes-APIs mit öffentlichem Endpunktzugriff. Standardmäßig haben API-Serverendpunkte für EKS-Cluster öffentlichen Zugriff. Weitere Informationen finden Sie unter Amazon EKS-Cluster-Endpunktzugriffskontrolle im Amazon EKS-Benutzerhandbuch.
Step Functions beendet einen Amazon EKS-Cluster nicht automatisch, wenn die Ausführung gestoppt wird. Wenn Ihr State Machine stoppt, bevor Ihr Amazon EKS-Cluster beendet wurde, läuft Ihr Cluster möglicherweise auf unbestimmte Zeit weiter und es können zusätzliche Gebühren anfallen. Um dies zu vermeiden, stellen Sie sicher, dass jeder Amazon EKS-Cluster, den Sie erstellen, ordnungsgemäß beendet wird. Weitere Informationen finden Sie hier:
-
Löschen eines Clusters im Amazon EKS-Benutzerhandbuch.
-
Ausführen einer Aufgabe (.sync)in Muster der Serviceintegration.
Anmerkung
In Step Functions gibt es ein Kontingent für die maximale Eingabe- oder Ergebnisdatengröße für eine Aufgabe. Dadurch sind Sie auf 256 KB an Daten als UTF-8-kodierte Zeichenfolge beschränkt, wenn Sie Daten an einen anderen Dienst senden oder von einem anderen Dienst empfangen. Siehe Kontingente im Zusammenhang mit der Ausführung von Zustandsmaschinen.
Kubernetes-API-Integrationen
Step Functions unterstützt die folgenden Kubernetes-APIs:
RunJob
Die eks:runJob Service-Integration ermöglicht es Ihnen, einen Job auf Ihrem Amazon EKS-Cluster auszuführen. Bei eks:runJob.sync dieser Variante können Sie warten, bis der Job abgeschlossen ist, und optional Protokolle abrufen.
Ihr Kubernetes-API-Server muss der von Ihrem Zustandsmaschine verwendeten IAM-Rolle Berechtigungen gewähren. Weitere Informationen finden Sie unter Berechtigungen.
Für das Run a Job (.sync) -Muster wird der Status des Jobs durch Abfragen bestimmt. Step Functions fragt zunächst mit einer Geschwindigkeit von ungefähr 1 Umfrage pro Minute ab. Diese Rate verlangsamt sich schließlich auf etwa 1 Umfrage alle 5 Minuten. Wenn Sie häufigere Abfragen benötigen oder mehr Kontrolle über die Abfragestrategie benötigen, können Sie die eks:call Integration verwenden, um den Status des Jobs abzufragen.
Die eks:runJob Integration ist spezifisch für batch/v1 Kubernetes Jobs. Weitere Informationen finden Sie unter Jobseks:call Sie können Step Functions verwenden, um Abfrageschleifen zu erstellen, wie im Umfrage zum Jobstatus (Lambda, AWS Batch) Beispielprojekt gezeigt.
Zu den unterstützten Parametern gehören:
-
ClusterName: Der Name des Amazon EKS-Clusters, den Sie aufrufen möchten.-
Type:String -
Erforderlich: Ja
-
-
CertificateAuthority: Die Base64-codierten Zertifikatsdaten, die für die Kommunikation mit Ihrem Cluster erforderlich sind. Sie können diesen Wert von der Amazon EKS-Konsoleoder mithilfe der Amazon DescribeClusterEKS-API abrufen. -
Type:String -
Erforderlich: Ja
-
-
Endpoint: Die Endpunkt-URL für Ihren Kubernetes-API-Server. Sie können diesen Wert von der Amazon EKS-Konsoleoder mithilfe der Amazon DescribeClusterEKS-API abrufen. -
Type:String -
Erforderlich: Ja
-
-
Namespace: Der Namespace, in dem der Job ausgeführt werden soll. Wenn nicht angegeben, wird der Namespacedefaultverwendet.-
Type:String -
Erforderlich: nein
-
-
Job: Die Definition des Kubernetes-Jobs. Siehe Jobsin der Kubernetes-Dokumentation. -
Type:JSONoderString -
Erforderlich: Ja
-
-
LogOptions: Eine Reihe von Optionen zur Steuerung des optionalen Abrufs von Protokollen. Gilt nur, wenn das Dienstintegrationsmuster Run a Job (.sync) verwendet wird, um auf den Abschluss des Jobs zu warten.-
Type:JSON -
Erforderlich: nein
-
Protokolle sind in der Antwort unter dem Schlüssel
logsenthalten. Der Job kann mehrere Pods mit jeweils mehreren Containern enthalten.{ ... "logs": { "pods": { "pod1": { "containers": { "container1": { "log":<log>}, ... } }, ... } } -
Der Protokollabruf erfolgt nach bestem Wissen und Gewissen. Wenn beim Abrufen eines Protokolls ein Fehler auftritt, werden anstelle des
logFelds die Felder und angezeigt.errorcause
-
-
LogOptions.RetrieveLogs: Aktiviert den Protokollabruf nach Abschluss des Jobs. Standardmäßig werden Protokolle nicht abgerufen.-
Type:Boolean -
Erforderlich: nein
-
-
LogOptions.RawLogs: Wenn auf true gesetztRawLogsist, werden Logs als unformatierte Zeichenketten zurückgegeben, ohne dass versucht wird, sie in JSON zu parsen. Standardmäßig werden Logs nach Möglichkeit in JSON deserialisiert. In einigen Fällen kann eine solche Analyse zu unerwünschten Änderungen führen, z. B. zur Einschränkung der Genauigkeit von Zahlen mit vielen Ziffern.-
Type:Boolean -
Erforderlich: nein
-
-
LogOptions.LogParameters: Die Read Log API der Kubernetes-API unterstützt Abfrageparameter zur Steuerung des Protokollabrufs. Sie können beispielsweisetailLinesoder verwenden,limitBytesum die Größe der abgerufenen Protokolle zu begrenzen und dabei das Datengrößenkontingent von Step Functions einzuhalten. Weitere Informationen finden Sie im Abschnitt „Protokoll lesen“ der Kubernetes-API-Referenz. -
Type:Karte vonStringList of Strings -
Erforderlich: nein
-
Beispiel:
"LogParameters": { "tailLines": [ "6" ] }
-
Das folgende Beispiel enthält einen Task Status, der einen Job ausführt, auf seinen Abschluss wartet und dann die Logs des Jobs abruft:
{
"StartAt": "Run a job on EKS",
"States": {
"Run a job on EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:runJob.sync",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://AKIAIOSFODNN7EXAMPLE.yl4.us-east-1.eks.amazonaws.com",
"LogOptions": {
"RetrieveLogs": true
},
"Job": {
"apiVersion": "batch/v1",
"kind": "Job",
"metadata": {
"name": "example-job"
},
"spec": {
"backoffLimit": 0,
"template": {
"metadata": {
"name": "example-job"
},
"spec": {
"containers": [
{
"name": "pi-2000",
"image": "perl",
"command": [ "perl" ],
"args": [
"-Mbignum=bpi",
"-wle",
"print bpi(2000)"
]
}
],
"restartPolicy": "Never"
}
}
}
}
},
"End": true
}
}
}Call
Die eks:call Serviceintegration ermöglicht es Ihnen, die Kubernetes-API zu verwenden, um Kubernetes-Ressourcenobjekte über einen Kubernetes-API-Endpunkt zu lesen und zu schreiben.
Ihr Kubernetes-API-Server muss der von Ihrem Zustandsmaschine verwendeten IAM-Rolle Berechtigungen gewähren. Weitere Informationen finden Sie unter Berechtigungen.
Weitere Informationen zu den verfügbaren Vorgängen finden Sie in der Kubernetes-API-Referenz
Zu den unterstützten Parametern für gehörenCall:
-
ClusterName: Der Name des Amazon EKS-Clusters, den Sie aufrufen möchten.-
Type: Zeichenfolge -
Erforderlich: Ja
-
-
CertificateAuthority: Die Base64-codierten Zertifikatsdaten, die für die Kommunikation mit Ihrem Cluster erforderlich sind. Sie können diesen Wert von der Amazon EKS-Konsoleoder mithilfe der Amazon DescribeClusterEKS-API abrufen. -
Type:String -
Erforderlich: Ja
-
-
Endpoint: Die Endpunkt-URL für Ihren Kubernetes-API-Server. Sie finden diesen Wert in der Amazon EKS-Konsoleoder mithilfe der Amazon DescribeCluster EKS-API. -
Type:String -
Erforderlich: Ja
-
-
Method: Die HTTP-Methode Ihrer Anfrage. Eins von:GET,POST,PUT,DELETE,HEADoder vonPATCH.-
Type:String -
Erforderlich: Ja
-
-
Path: Der HTTP-Pfad des Kubernetes-REST-API-Vorgangs.-
Type:String -
Erforderlich: Ja
-
-
QueryParameters: Die HTTP-Abfrageparameter des Kubernetes-REST-API-Vorgangs.-
Type:Karte von bisStringList of Strings -
Erforderlich: Nein
-
Beispiel:
"QueryParameters": { "labelSelector": [ "job-name=example-job" ] }
-
-
RequestBody: Der HTTP-Nachrichtentext des Kubernetes-REST-API-Vorgangs.-
Type:JSONoderString -
Erforderlich: Nein
-
Im Folgenden finden Sie einen Task Status, der verwendet wird, eks:call um die Pods aufzulisten, die zu dem Job gehören. example-job
{
"StartAt": "Call EKS",
"States": {
"Call EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "GET",
"Path": "/api/v1/namespaces/default/pods",
"QueryParameters": {
"labelSelector": [
"job-name=example-job"
]
}
},
"End": true
}
}
}Der folgende Status enthält einen Task Status, der eks:call zum Löschen des Auftrags verwendet wirdexample-job, und legt den Status fest, propagationPolicy um sicherzustellen, dass die Pods des Auftrags ebenfalls gelöscht werden.
{
"StartAt": "Call EKS",
"States": {
"Call EKS": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "ANPAJ2UCCR6DPCEXAMPLE",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "DELETE",
"Path": "/apis/batch/v1/namespaces/default/jobs/example-job",
"QueryParameters": {
"propagationPolicy": [
"Foreground"
]
}
},
"End": true
}
}
}Unterstützte Amazon EKS-APIs
Zu den unterstützten Amazon EKS-APIs und -Syntax gehören:
-
-
Wenn ein Amazon EKS-Cluster mithilfe der
eks:createClusterService-Integration erstellt wird, wird die IAM-Rolle als Administrator (mit system:masters-Berechtigungen) zur Kubernetes-RBAC-Autorisierungstabelle hinzugefügt. Anfänglich kann nur diese IAM-Entität den Kubernetes-API-Server aufrufen. Weitere Informationen finden Sie hier:-
Verwaltung von Benutzern oder IAM-Rollen für Ihren Cluster im Amazon EKS-Benutzerhandbuch
-
Der Abschnitt Berechtigungen
Amazon EKS verwendet serviceverknüpfte Rollen, die die Berechtigungen enthalten, die Amazon EKS benötigt, um andere Services in Ihrem Namen aufzurufen. Wenn diese serviceverknüpften Rollen noch nicht in Ihrem Konto vorhanden sind, müssen Sie die
iam:CreateServiceLinkedRoleBerechtigung zu der von Step Functions verwendeten IAM-Rolle hinzufügen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im Amazon EKS-Benutzerhandbuch.Die von Step Functions verwendete IAM-Rolle muss über
iam:PassRoleBerechtigungen verfügen, um die Cluster-IAM-Rolle an Amazon EKS weiterzugeben. Weitere Informationen finden Sie unter Amazon EKS-Cluster-IAM-Rolle im Amazon EKS-Benutzerhandbuch. -
-
-
Sie müssen alle Fargate-Profile oder Knotengruppen löschen, bevor Sie einen Cluster löschen.
-
-
Amazon EKS verwendet serviceverknüpfte Rollen, die die Berechtigungen enthalten, die Amazon EKS benötigt, um andere Services in Ihrem Namen aufzurufen. Wenn diese serviceverknüpften Rollen noch nicht in Ihrem Konto vorhanden sind, müssen Sie die
iam:CreateServiceLinkedRoleBerechtigung zu der von Step Functions verwendeten IAM-Rolle hinzufügen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im Amazon EKS-Benutzerhandbuch.Amazon EKS on Fargate ist möglicherweise nicht in allen Regionen verfügbar. Informationen zur regionalen Verfügbarkeit finden Sie im Abschnitt über Fargate im Amazon EKS-Benutzerhandbuch.
Die von Step Functions verwendete IAM-Rolle muss über
iam:PassRoleBerechtigungen verfügen, um die IAM-Rolle für die Pod-Ausführung an Amazon EKS weiterzugeben. Weitere Informationen finden Sie unter Pod-Ausführungsrolle im Amazon EKS-Benutzerhandbuch.
-
-
Amazon EKS verwendet eine serviceverknüpfte Rolle, die die Berechtigungen enthält, die Amazon EKS benötigt, um andere Dienste in Ihrem Namen aufzurufen. Wenn diese serviceverknüpften Rollen noch nicht in Ihrem Konto vorhanden sind, müssen Sie die
iam:CreateServiceLinkedRoleBerechtigung zu der von Step Functions verwendeten IAM-Rolle hinzufügen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im Amazon EKS-Benutzerhandbuch.Die von Step Functions verwendete IAM-Rolle muss über
iam:PassRoleBerechtigungen verfügen, um die Knoten-IAM-Rolle an Amazon EKS weiterzugeben. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im Amazon EKS-Benutzerhandbuch.
Das Folgende beinhaltet einenTask, der einen Amazon EKS-Cluster erstellt.
{
"StartAt": "CreateCluster.sync",
"States": {
"CreateCluster.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createCluster.sync",
"Parameters": {
"Name": "MyCluster",
"ResourcesVpcConfig": {
"SubnetIds": [
"subnet-053e7c47012341234",
"subnet-027cfea4b12341234"
]
},
"RoleArn": "arn:aws:iam::123456789012:role/MyEKSClusterRole"
},
"End": true
}
}
}Im Folgenden wird ein Task Status beschrieben, der einen Amazon EKS-Cluster löscht.
{
"StartAt": "DeleteCluster.sync",
"States": {
"DeleteCluster.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteCluster.sync",
"Parameters": {
"Name": "MyCluster"
},
"End": true
}
}
}Im Folgenden wird ein Task Bundesstaat beschrieben, der ein Fargate-Profil erstellt.
{
"StartAt": "CreateFargateProfile.sync",
"States": {
"CreateFargateProfile.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createFargateProfile.sync",
"Parameters": {
"ClusterName": "MyCluster",
"FargateProfileName": "MyFargateProfile",
"PodExecutionRoleArn": "arn:aws:iam::123456789012:role/MyFargatePodExecutionRole",
"Selectors": [{
"Namespace": "my-namespace",
"Labels": { "my-label": "my-value" }
}]
},
"End": true
}
}
}Das Folgende beinhaltet einen Task Status, der ein Fargate-Profil löscht.
{
"StartAt": "DeleteFargateProfile.sync",
"States": {
"DeleteFargateProfile.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteFargateProfile.sync",
"Parameters": {
"ClusterName": "MyCluster",
"FargateProfileName": "MyFargateProfile"
},
"End": true
}
}
}Im Folgenden wird ein Task Status beschrieben, der eine Knotengruppe erstellt.
{
"StartAt": "CreateNodegroup.sync",
"States": {
"CreateNodegroup.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:createNodegroup.sync",
"Parameters": {
"ClusterName": "MyCluster",
"NodegroupName": "MyNodegroup",
"NodeRole": "arn:aws:iam::123456789012:role/MyNodeInstanceRole",
"Subnets": ["subnet-09fb51df01234", "subnet-027cfea4b1234"]
},
"End": true
}
}
}Das Folgende beinhaltet einen Task Status, der eine Knotengruppe löscht.
{
"StartAt": "DeleteNodegroup.sync",
"States": {
"DeleteNodegroup.sync": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:deleteNodegroup.sync",
"Parameters": {
"ClusterName": "MyCluster",
"NodegroupName": "MyNodegroup"
},
"End": true
}
}
}Berechtigungen
Wenn ein Amazon EKS-Cluster mithilfe der eks:createCluster Serviceintegration erstellt wird, wird die IAM-Rolle als Administrator mit Berechtigungen zur Kubernetes-RBAC-Autorisierungstabelle hinzugefügt. system:masters Anfänglich kann nur diese IAM-Entität den Kubernetes-API-Server aufrufen. Beispielsweise können Sie kubectl nicht verwenden, um mit Ihrem Kubernetes-API-Server zu interagieren, es sei denn, Sie übernehmen dieselbe Rolle wie Ihre Step Functions Functions-Zustandsmaschine oder wenn Sie Kubernetes so konfigurieren, dass es zusätzlichen IAM-Entitäten Berechtigungen erteilt. Weitere Informationen finden Sie unter Verwalten von Benutzern oder IAM-Rollen für Ihren Cluster im Amazon EKS-Benutzerhandbuch.
Sie können Berechtigungen für zusätzliche IAM-Entitäten wie Benutzer oder Rollen hinzufügen, indem Sie sie dem Namespace aws-auth ConfigMap in the kube-system hinzufügen. Wenn Sie Ihren Cluster aus Step Functions erstellen, verwenden Sie die eks:call Serviceintegration.
Im Folgenden finden Sie einen Task Status, der eine aws-auth ConfigMap IAM-Rolle arn:aws:iam::123456789012:role/my-role erstellt arn:aws:iam::123456789012:user/my-user und dem Benutzer eine system:masters entsprechende Berechtigung erteilt.
{
"StartAt": "Add authorized user",
"States": {
"Add authorized user": {
"Type": "Task",
"Resource": "arn:aws:states:::eks:call",
"Parameters": {
"ClusterName": "MyCluster",
"CertificateAuthority": "LS0tLS1CRUd...UtLS0tLQo=",
"Endpoint": "https://444455556666.yl4.us-east-1.eks.amazonaws.com",
"Method": "POST",
"Path": "/api/v1/namespaces/kube-system/configmaps",
"RequestBody": {
"apiVersion": "v1",
"kind": "ConfigMap",
"metadata": {
"name": "aws-auth",
"namespace": "kube-system"
},
"data": {
"mapUsers": "[{ \"userarn\": \"arn:aws:iam::123456789012:user/my-user\", \"username\": \"my-user\", \"groups\": [ \"system:masters\" ] } ]",
"mapRoles": "[{ \"rolearn\": \"arn:aws:iam::123456789012:role/my-role\", \"username\": \"my-role\", \"groups\": [ \"system:masters\" ] } ]"
}
}
},
"End": true
}
}Anmerkung
Möglicherweise wird der ARN für eine IAM-Rolle in einem Format angezeigt, das den Pfad /service-role/ enthält, z. B. arn:aws:iam::123456789012:role/ Dieses Pfadtoken für die Dienstrolle sollte nicht enthalten sein, wenn die Rolle in aufgeführt wird. service-role/my-roleaws-auth
Wenn Ihr Cluster zum ersten Mal erstellt aws-auth ConfigMap wird, ist er nicht vorhanden, wird aber automatisch hinzugefügt, wenn Sie ein Fargate-Profil erstellen. Sie können den aktuellen Wert von abrufenaws-auth, die zusätzlichen Berechtigungen und PUT eine neue Version hinzufügen. Es ist normalerweise einfacher, es aws-auth vor dem Fargate-Profil zu erstellen.
Wenn Ihr Cluster außerhalb von Step Functions erstellt wurde, können Sie kubectl so konfigurieren, dass es mit Ihrem Kubernetes-API-Server kommuniziert. Erstellen Sie dann einen neuen aws-auth ConfigMap mit kubectl apply -f aws-auth.yaml oder bearbeiten Sie einen, der bereits vorhanden ist, mit. kubectl edit -n kube-system configmap/aws-auth Weitere Informationen finden Sie hier:
-
Erstellen Sie im Amazon EKS-Benutzerhandbuch eine kubeconfig für Amazon EKS.
-
Verwaltung von Benutzern oder IAM-Rollen für Ihren Cluster im Amazon EKS-Benutzerhandbuch.
Wenn Ihre IAM-Rolle nicht über ausreichende Berechtigungen in Kubernetes verfügt, schlagen die eks:call oder eks:runJob Service-Integrationen mit dem folgenden Fehler fehl:
Error:
EKS.401
Cause:
{
"ResponseBody": {
"kind": "Status",
"apiVersion": "v1",
"metadata": {},
"status": "Failure",
"message": "Unauthorized",
"reason": "Unauthorized",
"code": 401
},
"StatusCode": 401,
"StatusText": "Unauthorized"
}
