Lancement de nœuds Amazon Linux autogérés

Cette rubrique décrit comment lancer des groupes Auto Scaling de nœuds Linux qui s'enregistrent auprès de votre cluster Amazon EKS. Une fois que les nœuds ont rejoint le cluster, vous pouvez y déployer des applications Kubernetes. Vous pouvez également lancer des nœuds Amazon Linux autogérés avec eksctl ou le AWS Management Console. Si vous devez lancer des nœuds sur AWS Outposts, consultezLancement de nœuds Amazon Linux autogérés sur un Outpost.

Prérequis

• Un cluster Amazon EKS existant. Pour en déployer un, consultez Création d'un cluster Amazon EKS. Si vous avez des sous-réseaux Région AWS là où vous l'avez activé AWS Outposts AWS Wavelength, ou si vous avez activé AWS des Zones Locales, ces sous-réseaux ne doivent pas avoir été transmis lorsque vous avez créé votre cluster.

• Un rôle IAM existant pour les nœuds à utiliser. Pour en créer un, consultez Rôle IAM de nœud Amazon EKS. Si ce rôle ne comporte aucune des politiques pour le VPC CNI, le rôle distinct suivant est nécessaire pour les pods VPC CNI.

• (Facultatif, mais recommandé) Le module complémentaire Amazon VPC CNI plugin for Kubernetes configuré avec son propre rôle IAM auquel est attachée la politique IAM nécessaire. Pour plus d’informations, consultez Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA).

• Être familiarisé avec les considérations énumérées dans Choix d'un type d'instance Amazon EC2. Selon le type d'instance que vous choisissez, il peut y avoir des prérequis supplémentaires pour votre cluster et votre VPC.

eksctl

Note

eksctln'est pas compatible avec Amazon Linux 2023 pour le moment.

Prérequis

Version 0.183.0 ou ultérieure de l'outil de ligne de commande eksctl installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour eksctl, veuillez consulter Installation dans la documentation de eksctl.

Pour lancer des nœuds Linux autogérés à l'aide de eksctl

1. (Facultatif) Si la politique d'IAM gérée AmazonEKS_CNI_Policy est associée à votre Rôle IAM de nœud Amazon EKS, nous vous recommandons de l'attribuer à un rôle IAM que vous associez au compte de service Kubernetes aws-node à la place. Pour plus d’informations, consultez Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA).

2. La commande suivante crée un groupe de nœuds dans un cluster existant. Remplacer al-nodes avec un nom pour votre groupe de nœuds. Le nom du groupe de nœuds ne peut pas dépasser 63 caractères. Il doit commencer par une lettre ou un chiffre, mais peut également inclure des tirets et des traits de soulignement pour les autres caractères. Remplacez my-cluster par le nom de votre cluster. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne doit pas dépasser 100 caractères. Le nom doit être unique dans le Région AWS et dans Compte AWS lequel vous créez le cluster. Remplacez les valeurs de example value restantes par vos propres valeurs. Par défaut, les nœuds sont créés avec la même version de Kubernetes que le plan de contrôle.

   Avant de choisir une valeur pour --node-type, examinez Choix d'un type d'instance Amazon EC2.

   Remplacez my-key par le nom de votre paire de clés Amazon EC2 ou de votre clé publique. Cette clé est utilisée pour SSH dans vos nœuds après leur lancement. Si vous ne possédez pas d'une paire de clés Amazon EC2, vous pouvez en créer une dans la AWS Management Console. Pour plus d'informations, veuillez consulter la rubrique Paires de clés Amazon EC2 dans le Guide de l'utilisateur Amazon EC2.

   Créez votre groupe de nœuds avec la commande suivante.

   Important

   Si vous souhaitez déployer un groupe de nœuds sur des sous-réseaux AWS Outposts Wavelength ou Local Zone, vous devez prendre en compte d'autres considérations :

   • Les sous-réseaux ne doivent pas avoir été renseignés lors de la création du cluster.

   • Vous devez créer le groupe de nœuds avec un fichier config qui spécifie les sous-réseaux et volumeType: gp2. Pour plus d'informations, consultez Créer un nodegroup à partir d'un fichier config et Schéma du fichier Config dans la documentation eksctl.

   eksctl create nodegroup \
     --cluster my-cluster \
     --name al-nodes \
     --node-type t3.medium \
     --nodes 3 \
     --nodes-min 1 \
     --nodes-max 4 \
     --ssh-access \
     --managed=false \
     --ssh-public-key my-key
   

   Pour déployer un groupe de nœuds qui :

   • peut attribuer un nombre nettement plus élevé d'adresses IP à Pods comparé à la configuration par défaut, veuillez consulter Augmenter le nombre d'adresses IP disponibles pour vos nœuds Amazon EC2.

   • peut assigner les adresses de IPv4 à Podsd'un autre bloc CIDR supérieur à l'instance, consultez Mise en réseau personnalisée pour les pods.

   • peut attribuer des adresses IPv6 aux Pods et services, veuillez consulter la rubrique IPv6adresses pour les clustersPods, et services.

   • Pour utiliser l'environnement d'exécution containerd, vous devez déployer le groupe de nœuds à l'aide d'un fichier config. Pour plus d’informations, consultez Testez la migration Docker de containerd.

   • n'avez pas d'accès Internet sortant, veuillez consulter Exigences relatives aux clusters privés.

   Pour obtenir la liste complète de toutes les options disponibles et des valeurs par défaut, saisissez la commande suivante.

   eksctl create nodegroup --help
   

   Si les nœuds ne parviennent pas à rejoindre le cluster, reportez-vous à Les nœuds ne parviennent pas à joindre le cluster dans le guide de dépannage.

   L'exemple qui suit illustre un résultat. Plusieurs lignes sont affichées pendant la création des nœuds. L'une des dernières lignes de sortie est similaire à la ligne d'exemple suivante.

   [✔]  created 1 nodegroup(s) in cluster "my-cluster"

3. (Facultatif) Déployez un exemple d'application pour tester votre cluster et les nœuds Linux.

4. Nous recommandons de bloquer l'accès des Pod à IMDS si les conditions suivantes sont remplies :

   • Vous envisagez d'attribuer des rôles IAM à tous vos comptes de service Kubernetes afin que les Pods ne disposent que des autorisations minimales dont ils ont besoin.

   • Aucun Pods membre du cluster n'a besoin d'accéder au service de métadonnées d'instance Amazon EC2 (IMDS) pour d'autres raisons, telles que la récupération du courant. Région AWS

   Pour plus d'informations, consultez Restreindre l'accès au profil d'instance affecté au composant master.

AWS Management Console

Étape 1 : pour lancer des nœuds Linux autogérés à l'aide de AWS Management Console

1. Téléchargez la dernière version du AWS CloudFormation modèle.

   curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml
   

2. Attendez que le statut de votre cluster s'affiche soit ACTIVE. Si vous lancez vos nœuds avant que le cluster soit actif, les nœuds ne s'enregistrent pas avec le cluster et vous devrez les relancer.

3. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

4. Choisissez Create stack (Créer une pile), puis sélectionnez Avec de nouvelles ressources (standard).

5. Pour Spécifier un modèle, sélectionnez Upload a template file (Télécharger un fichier de modèle), puis sélectionnez Choose file (Choisir un fichier).

6. Sélectionnez le fichier amazon-eks-nodegroup.yaml que vous avez téléchargé.

7. Sélectionnez Suivant.

8. Dans la page Specify stack details (Spécifier les détails de la pile), saisissez les paramètres suivants, puis choisissez Next (Suivant) :

   • Nom de la pile : choisissez un nom pour votre pile AWS CloudFormation . Par exemple, vous pouvez l'appeler my-cluster-nodes. Un nom ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d'union. Il doit commencer par un caractère alphanumérique et ne doit pas dépasser 100 caractères. Le nom doit être unique dans le Région AWS et dans Compte AWS lequel vous créez le cluster.

   • ClusterName: Entrez le nom que vous avez utilisé lors de la création de votre cluster Amazon EKS. Ce nom doit être égal au nom du cluster, sinon vos nœuds ne pourront pas rejoindre le cluster.

   • ClusterControlPlaneSecurityGroupe : Choisissez la SecurityGroupsvaleur à partir de la AWS CloudFormation sortie que vous avez générée lors de la création de votre VPC.

     Les étapes suivantes montrent une opération permettant de récupérer le groupe applicable.

     1. Ouvrez la console Amazon EKS à l'adresse https://console.aws.amazon.com/eks/home#/clusters.

     2. Choisissez le nom du cluster.

     3. Choisissez l'onglet Networking (Mise en réseau).

     4. Utilisez la valeur Groupes de sécurité supplémentaires comme référence lorsque vous effectuez une sélection dans la liste déroulante des ClusterControlPlaneSecuritygroupes.

   • NodeGroupNom : entrez le nom de votre groupe de nœuds. Ce nom peut être utilisé ultérieurement pour identifier le groupe de nœuds Auto Scaling qui est créé pour vos nœuds. Le nom du groupe de nœuds ne peut pas dépasser 63 caractères. Il doit commencer par une lettre ou un chiffre, mais peut également inclure des tirets et des traits de soulignement pour les autres caractères.

   • NodeAutoScalingGroupMinSize: Entrez le nombre minimum de nœuds que votre groupe Auto Scaling de nœuds peut atteindre.

   • NodeAutoScalingGroupDesiredCapacity: Entrez le nombre de nœuds que vous souhaitez atteindre lors de la création de votre pile.

   • NodeAutoScalingGroupMaxSize: Entrez le nombre maximum de nœuds que votre groupe Auto Scaling de nœuds peut atteindre.

   • NodeInstanceType : Choisissez un type d'instance pour vos nœuds. Pour plus d’informations, consultez Choix d'un type d'instance Amazon EC2.

   • NodeImageIDSSMParam : prérempli avec le paramètre Amazon EC2 Systems Manager d'une AMI récemment optimisée pour Amazon EKS pour une version variable. Kubernetes Pour utiliser une autre version mineure de Kubernetes prise en charge avec Amazon EKS, remplacez 1.XX par une autre version prise en charge. Nous vous recommandons de spécifier la même version de Kubernetes que celle de votre cluster.

     Vous pouvez également le remplacer amazon-linux-2 par un autre type d'AMI. Pour plus d’informations, consultez Récupération des ID d'AMI Amazon Linux optimisées pour Amazon EKS.

     Note

     L'AMI du nœud Amazon EKS est basée sur Amazon Linux. Vous pouvez suivre les évènements de sécurité et de confidentialité pour Amazon Linux 2 via le centre de sécurité Amazon Linux ou souscrire au flux RSS associé. Les événements de sécurité et de confidentialité incluent une présentation du problème, les packages concernés et la manière de mettre à jour vos instances pour résoudre le problème.

   • NodeImageID : (Facultatif) Si vous utilisez votre propre AMI personnalisée (au lieu de l'AMI optimisée pour Amazon EKS), entrez un ID d'AMI de nœud pour votre Région AWS. Si vous spécifiez une valeur ici, elle remplace toutes les valeurs du champ NodeImageIDSSMParam.

   • NodeVolumeTaille : Spécifiez une taille de volume racine pour vos nœuds, en GiB.

   • NodeVolumeType : Spécifiez un type de volume racine pour vos nœuds.

   • KeyName: Entrez le nom d'une paire de clés SSH Amazon EC2 que vous pourrez utiliser pour vous connecter via SSH à vos nœuds après leur lancement. Si vous ne possédez pas déjà une paire de clés Amazon EC2, vous pouvez en créer une dans l' AWS Management Console. Pour plus d'informations, veuillez consulter la rubrique Paires de clés Amazon EC2 dans le Guide de l'utilisateur Amazon EC2.

     Note

     Si vous ne fournissez pas de paire de clés ici, la création de la AWS CloudFormation pile échoue.

   • BootstrapArguments: Spécifiez tous les arguments facultatifs à transmettre au script bootstrap du nœud, tels que des kubelet arguments supplémentaires. Pour de plus amples informations, veuillez consulter Utilisation du script d'amorçage sur GitHub.

     Pour déployer un groupe de nœuds qui :

     • peut attribuer un nombre nettement plus élevé d'adresses IP à Pods comparé à la configuration par défaut, veuillez consulter Augmenter le nombre d'adresses IP disponibles pour vos nœuds Amazon EC2.

     • peut assigner les adresses de IPv4 à Podsd'un autre bloc CIDR supérieur à l'instance, consultez Mise en réseau personnalisée pour les pods.

     • peut attribuer des adresses IPv6 aux Pods et services, veuillez consulter la rubrique IPv6adresses pour les clustersPods, et services.

     • Pour utiliser l'environnement d'exécution containerd, vous devez déployer le groupe de nœuds à l'aide d'un fichier config. Pour plus d’informations, consultez Testez la migration Docker de containerd.

     • n'avez pas d'accès Internet sortant, veuillez consulter Exigences relatives aux clusters privés.

   • DisableIMDSv1 : par défaut, chaque nœud prend en charge le service de métadonnées d'instance version 1 (IMDSv1) et IMDSv2. Vous pouvez désactiver IMDSv1. Pour empêcher les futurs nœuds et Pods du groupe de nœuds d'utiliser MDSv1, définissez DisableIMDSv1 sur true (vrai). Pour de plus amples informations au sujet d'IMDS, consultez Configuration du service des métadonnées d'instance. Pour plus d'informations sur la façon d'en restreindre l'accès sur vos nœuds, consultez Restreindre l'accès au profil d'instance affecté au composant master.

   • VpcId: Entrez l'ID du VPC que vous avez créé.

   • Sous-réseaux : choisissez les sous-réseaux que vous avez créés pour votre VPC. Si vous avez créé votre VPC à l'aide des étapes décrites dans Création d'un VPC pour votre cluster Amazon EKS, spécifiez uniquement les sous-réseaux privés du VPC dans lesquels vos nœuds seront lancés. Vous pouvez consulter les sous-réseaux privés en ouvrant le lien de chaque sous-réseau depuis l'onglet Networking (Mise en réseau) de votre cluster.

     Important

     • Si certains sous-réseaux sont des sous-réseaux publics, leur paramètre d'attribution automatique d'adresse IP publique doit être activé. Si le paramètre n'est pas activé pour le sous-réseau public, aucun nœud que vous déployez sur ce sous-réseau public ne se verra attribuer d'adresse IP publique et ne pourra pas communiquer avec le cluster ou d'autres AWS services. Si le sous-réseau a été déployé avant le 26 mars 2020 en utilisant l'un des modèles de AWS CloudFormation VPC Amazon EKS ou eksctl en utilisant, l'attribution automatique d'adresses IP publiques est désactivée pour les sous-réseaux publics. Pour plus d'informations sur l'activation de l'attribution d'adresse IP publique pour un sous-réseau, consultez Modification de l'attribut d'adressage IPv4 public de votre sous-réseau. Si le nœud est déployé sur un sous-réseau privé, il est capable de communiquer avec le cluster et d'autres AWS services via une passerelle NAT.

     • Si les sous-réseaux ne disposent pas d'un accès Internet, assurez-vous de connaître toutes les considérations et les étapes supplémentaires indiqués dans Exigences relatives aux clusters privés.

     • Si vous sélectionnez AWS Outposts des sous-réseaux Wavelength ou Local Zone, les sous-réseaux ne doivent pas avoir été transmis lors de la création du cluster.

9. Sélectionnez les choix que vous souhaitez sur la page Configure stack options (Configurer les options de la pile), puis choisissez Next (Suivant).

10. Cochez la case à gauche de Je comprends que AWS CloudFormation pourrait créer des ressources IAM., puis choisissez Create stack (Créer une pile).

11. Lorsque la création de votre pile est terminée, sélectionnez la pile dans la console et choisissez Outputs (Sorties).

12. Enregistrez le NodeInstancerôle du groupe de nœuds créé. Vous en aurez besoin lors de la configuration de vos nœuds pour Amazon EKS.

Étape 2 : pour autoriser les nœuds à rejoindre votre cluster

Note

Si vous avez lancé des nœuds dans un VPC privé sans accès Internet sortant, assurez-vous d'activer les nœuds pour rejoindre votre cluster à partir du VPC.

1. Vérifiez si vous avez déjà appliqué le ConfigMap aws-auth.

   kubectl describe configmap -n kube-system aws-auth
   

2. Si vous voyez un ConfigMap aws-auth, mettez-le à jour si nécessaire.

   1. Ouvrez le ConfigMap pour le modifier.

      kubectl edit -n kube-system configmap/aws-auth
      

   2. Ajoutez une nouvelle entrée mapRoles si nécessaire. Définissez la rolearn valeur sur la valeur du NodeInstancerôle que vous avez enregistrée lors de la procédure précédente.

      [...]
      data:
        mapRoles: |
          - rolearn: <ARN of instance role (not instance profile)>
            username: system:node:{{EC2PrivateDNSName}}
            groups:
              - system:bootstrappers
              - system:nodes
      [...]

   3. Enregistrez le fichier et quittez votre éditeur de texte.

3. Si vous avez reçu un message d'erreur indiquant « Error from server (NotFound): configmaps "aws-auth" not found », appliquez le stock ConfigMap.

   1. Téléchargez la mappe de configuration.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml
      

   2. Dans le aws-auth-cm.yaml fichier, définissez la rolearn valeur sur la valeur du NodeInstancerôle que vous avez enregistrée lors de la procédure précédente. Pour ce faire, utilisez un éditeur de texte ou remplacez my-node-instance-role et exécutez la commande suivante :

      sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml
      

   3. Appliquez la configuration. L'exécution de cette commande peut prendre quelques minutes.

      kubectl apply -f aws-auth-cm.yaml
      

4. Observez le statut de vos nœuds et attendez qu'ils obtiennent le statut Ready.

   kubectl get nodes --watch
   

   Saisissez Ctrl+C pour revenir à une invite de shell.

   Note

   Si vous recevez d'autres erreurs concernant les types d'autorisations ou de ressources, consultez Accès non autorisé ou refusé (kubectl) dans la rubrique relative à la résolution des problèmes.

   Si les nœuds ne parviennent pas à rejoindre le cluster, reportez-vous à Les nœuds ne parviennent pas à joindre le cluster dans le guide de dépannage.

5. (Nœuds GPU uniquement) Si vous avez opté pour une instance de type GPU et l'AMI accélérée optimisée pour Amazon EKS, vous devez mettre en œuvre le plugin de périphérique NVIDIA pour Kubernetes en tant que DaemonSet sur votre cluster. Remplacez vX.X.X par la version NVIDIA/k8s-device-plugin souhaitée avant d'exécuter la commande suivante.

   kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/nvidia-device-plugin.yml
   

Étape 3 : actions supplémentaires

1. (Facultatif) Déployez un exemple d'application pour tester votre cluster et les nœuds Linux.

2. (Facultatif) Si la politique IAM gérée AmazonEKS_CNI_Policy (si vous avez un cluster IPv4) ou la politique AmazonEKS_CNI_IPv6_Policy (que vous avez créée vous-même si vous avez un cluster IPv6) est associée à votre Rôle IAM de nœud Amazon EKS, nous vous recommandons de l'attribuer à un rôle IAM que vous associez au compte de service aws-node de Kubernetes à la place. Pour plus d’informations, consultez Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA).

3. Nous recommandons de bloquer l'accès des Pod à IMDS si les conditions suivantes sont remplies :

   • Vous envisagez d'attribuer des rôles IAM à tous vos comptes de service Kubernetes afin que les Pods ne disposent que des autorisations minimales dont ils ont besoin.

   • Aucun Pods membre du cluster n'a besoin d'accéder au service de métadonnées d'instance Amazon EC2 (IMDS) pour d'autres raisons, telles que la récupération du courant. Région AWS

   Pour plus d'informations, consultez Restreindre l'accès au profil d'instance affecté au composant master.