Lanzar nodos autoadministrados de Amazon Linux - Amazon EKS

Lanzar nodos autoadministrados de Amazon Linux

En este tema, se describe cómo puede lanzar grupos de escalado automático de nodos de Linux que se registrará con el clúster de Amazon EKS. Una vez que los nodos se hayan unido al clúster, puede implementar aplicaciones de Kubernetes en ellos. También puede lanzar nodos de Amazon Linux autoadministrados con eksctl o la AWS Management Console. Si necesita lanzar nodos en AWS Outposts, consulte Lanzamiento de nodos autoadministrados de Amazon Linux en un Outpost.

Requisitos previos
eksctl
nota

eksctl no es compatible con Amazon Linux 2023 en este momento.

Requisito previo

La versión 0.172.0 o posterior de la herramienta de línea de comandos eksctl instalada en su dispositivo o AWS CloudShell. Para Instalar o actualizar eksctl, consulte la sección de Instalación en la documentación de eksctl.

Cómo lanzar nodos de Linux autoadministrados mediante eksctl

  1. (Opcional) Si la política administrada de IAM AmazonEKS_CNI_Policy se adjunta a su Rol de IAM de nodo de Amazon EKS, recomendamos asignarla a un rol de IAM asociado a la cuenta de servicios del aws-node de Kubernetes en su lugar. Para obtener más información, consulte Configuración de Amazon VPC CNI plugin for Kubernetes para utilizar los roles de IAM en las cuentas de servicio (IRSA).

  2. El siguiente comando crea un grupo de nodos en un clúster existente. Reemplace al-nodes por un nombre para su grupo de nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales. Reemplace my-cluster por el nombre del clúster. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfabético y no puede tener más de 100 caracteres. Reemplace los example value restantes por sus propios valores. Los nodos se crean de forma predeterminada con la misma versión de Kubernetes que el plano de control.

    Antes de elegir un valor para --node-type, revise Elección de un tipo de instancia de Amazon EC2.

    Reemplace my-key con el nombre de su par de claves de Amazon EC2 o la clave pública. Esta clave se utiliza para SSH en sus nodos después de que se lancen. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la AWS Management Console. Para obtener más información, consulte Pares de claves de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias Linux.

    Cree el grupo de nodos con el siguiente comando.

    importante

    Si desea implementar un grupo de nodos en las subredes de AWS Outposts, Wavelength o bien Local Zones, existen consideraciones adicionales:

    eksctl create nodegroup \
  --cluster my-cluster \
  --name al-nodes \
  --node-type t3.medium \
  --nodes 3 \
  --nodes-min 1 \
  --nodes-max 4 \
  --ssh-access \
  --managed=false \
  --ssh-public-key my-key

    Para implementar un grupo de nodos que:

    Para obtener una lista completa de todas las opciones y valores predeterminados disponibles, ingrese el siguiente comando.

    eksctl create nodegroup --help

    Si los nodos no se unen al clúster, consulte Los nodos no pueden unirse al clúster en la Guía de solución de problemas.

    Un ejemplo de salida sería el siguiente. Se generan varias líneas mientras se crean los nodos. Una de las últimas líneas de salida es la siguiente línea de ejemplo.

    [✔]  created 1 nodegroup(s) in cluster "my-cluster"

  3. (Opcional) Implemente una aplicación de muestra para probar el clúster y los nodos de Linux.

  4. Se recomienda bloquear el acceso del Pod al IMDS si se cumplen las siguientes condiciones:

    • Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los Pods solo tengan los permisos mínimos que necesitan.

    • Ninguno de los Pods del clúster requiere acceso al servicio de metadatos de la instancia de Amazon EC2 (IMDS) por otros motivos, como la recuperación de la Región de AWS actual.

    Para obtener más información, consulte Restringir el acceso al perfil de instancias asignado al nodo de trabajo.

AWS Management Console
Paso 1: lanzar nodos de Linux autoadministrados mediante la AWS Management Console

  1. Descargue la versión más reciente de la plantilla de AWS CloudFormation.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml

  2. Espere a que el estado del clúster sea ACTIVE. Si lanza los nodos antes de que el clúster esté activo, los nodos no pueden registrarse con el clúster y tendrá que volver a lanzarlos.

  3. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  4. Seleccione Create stack (Crear pila) y, a continuación, seleccione With new resources (standard) (Con nuevos recursos [estándar]).

  5. Para Especificar plantilla, seleccione Cargar un archivo de plantilla y, a continuación, elija Elegir archivo.

  6. Edite el archivo amazon-eks-nodegroup.yaml que ha descargado.

  7. Seleccione Siguiente.

  8. En la página Especificar detalles de la pila, ingrese los siguientes parámetros según corresponda y luego seleccione Siguiente:

    • Nombre de pila: elija un nombre para la pila de AWS CloudFormation. Por ejemplo, puede llamarla my-cluster-nodes. El nombre solo puede contener caracteres alfanuméricos (con distinción de mayúsculas y minúsculas) y guiones. Debe comenzar con un carácter alfabético y no puede tener más de 100 caracteres.

    • ClusterName: ingrese el nombre que usó al crear el clúster de Amazon EKS. Este nombre debe coincidir con el nombre del clúster o los nodos no se podrán unir al clúster.

    • ClusterControlPlaneSecurityGroup: elija el valor de SecurityGroups en la salida de AWS CloudFormation que generó al crear la VPC.

      En los siguientes pasos, se muestra una operación para recuperar el grupo aplicable.

      1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

      2. Elija el nombre del clúster.

      3. Elija la pestaña Redes.

      4. Use el valor de Grupo de seguridad adicional como referencia al realizar una selección en la lista desplegable ClusterControlPlaneSecurityGroup.

    • NodeGroupName: escriba un nombre para el grupo de nodos. Este nombre se puede utilizar más adelante para identificar el grupo de nodos de escalado automático que se crea para los nodos. El nombre del grupo de nodos no puede tener más de 63 caracteres. Debe empezar por una letra o un dígito, pero también puede incluir guiones y guiones bajos como caracteres no iniciales.

    • NodeAutoScalingGroupMinSize: ingrese el número mínimo de nodos al que se puede reducir horizontalmente el grupo de escalado automático de nodos.

    • NodeAutoScalingGroupDesiredCapacity: escriba el número deseado de nodos que desea escalar cuando se crea la pila.

    • NodeAutoScalingGroupMaxSize: ingrese el número máximo de nodos que pueda alcanzar el grupo de Auto Scaling de nodos.

    • NodeInstanceType: elija un tipo de instancia para los nodos. Para obtener más información, consulte Elección de un tipo de instancia de Amazon EC2.

    • NodeImageIdSSMParam: rellenado previamente con el parámetro de Amazon EC2 Systems Manager de una AMI optimizada recientemente para Amazon EKS para una versión de Kubernetes variable. Para utilizar otra versión secundaria de Kubernetes compatible con Amazon EKS, reemplace 1.XX por una versión admitida diferente. Recomendamos especificar la misma versión de Kubernetes que el clúster.

      También se puede sustituir amazon-linux-2 por un tipo de AMI diferente. Para obtener más información, consulte Recuperación de los ID de la AMI de Amazon Linux optimizada para Amazon EKS.

      nota

      La AMI del nodo de Amazon EKS se basa en Amazon Linux. Puede realizar un seguimiento de los eventos de seguridad o privacidad de Amazon Linux 2 en el Centro de seguridad de Amazon Linux o suscribirse a la fuente RSS asociada. Los eventos de seguridad y privacidad incluyen información general del problema, qué paquetes están afectados y cómo actualizar las instancias para corregir el problema.

    • NodeImageId: (opcional) si utiliza su propia AMI personalizada (en lugar de la AMI optimizada para Amazon EKS), ingrese un ID de AMI de nodo para su Región de AWS. Si especifica un valor aquí, anula cualquier valor del campo NodeImageIdSSMParam.

    • NodeVolumeSize: especifique un tamaño de volumen raíz para los nodos en GiB.

    • NodeVolumeType: especifique un tipo de volumen raíz para sus nodos.

    • KeyName: ingrese el nombre de un par de claves SSH de Amazon EC2 que pueda utilizar para conectar mediante SSH con los nodos después de haberlos lanzado. Si aún no tiene un par de claves de Amazon EC2, puede crear uno en la AWS Management Console. Para obtener más información, consulte Pares de claves de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias Linux.

      nota

      Si no proporciona un par de claves aquí, se produce un error al crear la pila de AWS CloudFormation.

    • BootstrapArguments: especifique los argumentos opcionales que se van a pasar al script de arranque del nodo, como los argumentos de kubelet adicionales. Para obtener más información, consulte la información de uso del script de arranque en GitHub.

      Para implementar un grupo de nodos que:

    • DisableIMDSv1: cada nodo admite de forma predeterminada la versión 1 (IMDSv1) e IMDSv2 del servicio de metadatos de la instancia. Puede desactivar IMDSv1. Para evitar que los nodos y Pods futuros del grupo de nodos utilicen MDSv1, defina DisableIMDSv1 en true (verdadero). Para obtener más información, consulte Configuración del servicio de metadatos de instancia. Para obtener más información sobre cómo restringir el acceso en sus nodos, consulte Restringir el acceso al perfil de instancias asignado al nodo de trabajo.

    • VpcId: ingrese el ID de la VPC que ha creado.

    • Subredes: elija las subredes que creó para la VPC. Si creó la VPC siguiendo los pasos que se describen en Creación de una VPC para su clúster de Amazon EKS, especifique solo las subredes privadas en la VPC en las que desea lanzar los nodos. Puede ver qué subredes son privadas abriendo cada enlace de subred desde la pestaña Redes de su clúster.

      importante

      • Si alguna de las subredes es pública, debe tener habilitada la configuración de asignación automática de direcciones IP públicas. Si la configuración no está habilitada para la subred pública, los nodos que implemente en dicha subred pública no tendrán asignada una dirección IP pública y no podrán comunicarse con el clúster u otros servicios de AWS. Si la subred se implementó antes del 26 de marzo de 2020 mediante cualquiera de las plantillas de VPC de AWS CloudFormation de Amazon EKS o mediante eksctl, la asignación automática de direcciones IP públicas se deshabilitará en las subredes públicas. Para obtener información acerca de cómo habilitar la asignación de direcciones IP públicas en una subred, consulte Modificación del atributo de direcciones IPv4 públicas de su subred. Si el nodo se implementa en una subred privada, podrá comunicarse con el clúster y otros servicios de AWS a través de una puerta de enlace NAT.

      • Si las subredes no tienen acceso a Internet, asegúrese de que conoce las consideraciones y los pasos adicionales en Requisitos del clúster privado.

      • Si selecciona las subredes de AWS Outposts, Wavelength o Local Zones, las subredes no se deben haber pasado cuando creó el clúster.

  9. Seleccione las opciones que desee en la página Configurar las opciones de pila y, a continuación, elija Siguiente.

  10. Seleccione la casilla de verificación situada a la izquierda de I acknowledge that AWS CloudFormation might create IAM resources. (Reconozco que podría crear recursos de IAM) y luego seleccione Create stack (Crear pila).

  11. Una vez completada la creación de la pila, selecciónela en la consola y elija Salidas.

  12. Anote el valor de NodeInstanceRoles correspondiente al grupo de nodos creado. Lo necesitará al configurar los nodos de Amazon EKS de .

Paso 2: permitir a los nodos unirse al clúster
nota

Si ha lanzado nodos dentro de una VPC privada sin acceso a Internet saliente, asegúrese de habilitar los nodos para que se unan al clúster desde dentro de la VPC.

  1. Verifique si ya tiene el ConfigMap de aws-auth.

    kubectl describe configmap -n kube-system aws-auth

  2. Si se le muestra un ConfigMap de aws-auth, actualícelo según sea necesario.

    1. Abra el icono ConfigMap para editar.

      kubectl edit -n kube-system configmap/aws-auth

    2. Añada una nueva entrada de mapRoles según sea necesario. Establezca el valor de rolearn en el valor de NodeInstanceRole que registró en el procedimiento anterior.

      [...]
data:
  mapRoles: |
    - rolearn: <ARN of instance role (not instance profile)>
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
[...]

    3. Guarde el archivo y salga del editor de texto.

  3. Si recibe un error que indica “Error from server (NotFound): configmaps "aws-auth" not found, aplique el ConfigMap bursátil.

    1. Descargue el mapa de configuración.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml

    2. En el archivo aws-auth-cm.yaml, establezca el valor de rolearn al valor NodeInstanceRole que ha registrado en el procedimiento anterior. Puede hacerlo con un editor de texto o reemplazando my-node-instance-role y ejecute el siguiente comando:

      sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml

    3. Aplique la configuración. Este comando puede tardar varios minutos en finalizar.

      kubectl apply -f aws-auth-cm.yaml

  4. Observe el estado de los nodos y espere a que aparezca el estado Ready.

    kubectl get nodes --watch

    Ingrese Ctrl+C para obtener un símbolo del intérprete de comandos.

    nota

    Si recibe cualquier error de tipo de recurso o autorización, consulte Acceso denegado o no autorizado (kubectl) en el tema de solución de problemas.

    Si los nodos no se unen al clúster, consulte Los nodos no pueden unirse al clúster en la guía de solución de problemas.

  5. (Solo para nodos de GPU) Si ha elegido un tipo de instancia de GPU y la AMI acelerada optimizada para Amazon EKS, debe aplicar el complemento de dispositivo NVIDIA para Kubernetes como un DaemonSet en su clúster. Reemplace vX.X.X con la versión Plugin de dispositivo NVidia/K8S deseada antes de ejecutar el siguiente comando.

    kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/nvidia-device-plugin.yml
Paso 3: acciones adicionales

  1. (Opcional) Implemente una aplicación de muestra para probar el clúster y los nodos de Linux.

  2. (Opcional) Si la política de IAM administrada AmazonEKS_CNI_Policy (si tiene un clúster IPv4) o la AmazonEKS_CNI_IPv6_Policy (que usted haya creado si tiene un clúster IPv6) están adjuntas a su Rol de IAM de nodo de Amazon EKS, le recomendamos asignarlas, en cambio, a un rol de IAM que asocie a la cuenta de servicio de aws-node de Kubernetes. Para obtener más información, consulte Configuración de Amazon VPC CNI plugin for Kubernetes para utilizar los roles de IAM en las cuentas de servicio (IRSA).

  3. Se recomienda bloquear el acceso del Pod al IMDS si se cumplen las siguientes condiciones:

    • Tiene previsto asignar roles de IAM a todas sus cuentas de servicio de Kubernetes para que los Pods solo tengan los permisos mínimos que necesitan.

    • Ninguno de los Pods del clúster requiere acceso al servicio de metadatos de la instancia de Amazon EC2 (IMDS) por otros motivos, como la recuperación de la Región de AWS actual.

    Para obtener más información, consulte Restringir el acceso al perfil de instancias asignado al nodo de trabajo.