Conceitos básicos do Amazon EKS - AWS Management Console e AWS CLI - Amazon EKS

Conceitos básicos do Amazon EKS - AWS Management Console e AWS CLI

Este manual ajuda a criar todos os recursos necessários para começar a usar o Amazon Elastic Kubernetes Service (Amazon EKS) com o AWS Management Console e o AWS CLI. Neste manual, você criará manualmente cada recurso. No final deste tutorial, você terá um cluster do Amazon EKS em execução, no qual poderá implantar as aplicações.

Os procedimentos deste guia fornecem visibilidade completa sobre como cada recurso é criado e como os recursos interagem entre si. Se você preferir que a maioria dos recursos seja criada automaticamente, use a CLI eksctl para criar os nós e o cluster. Para obter mais informações, consulte . Conceitos básicos do Amazon EKS - – eksctl.

Pré-requisitos

Antes de iniciar este tutorial, você deve instalar e configurar as ferramentas a seguir e os recursos necessários para criar e gerenciar um cluster do Amazon EKS.

  • AWS CLI – Uma ferramenta de linha de comando para trabalhar com os serviços AWS, incluindo o Amazon EKS. Este guia exige que você use a versão 2.4.9 ou superior, ou a versão 1.22.30 ou superior. Para obter mais informações, consulte Installing, updating, and uninstalling the AWS CLI (Instalar, atualizar e desinstalar a ) no Manual do usuário da AWS Command Line Interface. Depois de instalar a AWS CLI, recomendamos que você também a configure. Para obter mais informações, consulte Quick configuration with aws configure (Configuração rápida com ) no Manual do usuário do AWS Command Line Interface.

  • kubectl – Uma ferramenta de linha de comando para trabalhar com clusters do Kubernetes. Este guia requer que você use a versão 1.21 ou superior. Para obter mais informações, consulte Instalação do kubectl.

  • Permissões obrigatórias do IAM: o principal de segurança do IAM que você está usando deve ter permissões para trabalhar com funções do Amazon EKS IAM e funções vinculadas ao serviço, o AWS CloudFormation e uma VPC com recursos relacionados. Para obter mais informações, consulte Ações, recursos e chaves de condição do Amazon Elastic Kubernetes Service e Usar funções vinculadas a serviço no Guia do usuário do IAM. Você deve concluir todas as etapas deste manual como o mesmo usuário.

Etapa 1: Criar o cluster do Amazon EKS

Importante

Para começar da forma mais simples e rápida possível, este tópico inclui etapas para criar um cluster com configurações padrão. Antes de criar um cluster para uso em produção, recomendamos que você se familiarize com todas as configurações e implante um cluster com as configurações que atendam aos seus requisitos. Para obter mais informações, consulte . Criar um cluster do Amazon EKS. Algumas configurações poderão ser habilitadas apenas durante a criação do cluster.

Para criar um cluster

  1. Crie uma Amazon VPC com sub-redes públicas e privadas que atenda aos requisitos do Amazon EKS. Substitua region-code por qualquer Região da AWS com suporte ao Amazon EKS. Para obter uma lista das Região da AWS, consulte Endpoints e cotas do Amazon EKS no guia Referência geral da AWS. É possível substituir my-eks-vpc-stack por qualquer nome de sua preferência.

    aws cloudformation create-stack \ --region region-code \ --stack-name my-eks-vpc-stack \ --template-url https://amazon-eks.s3.us-west-2.amazonaws.com/cloudformation/2020-10-29/amazon-eks-vpc-private-subnets.yaml
    dica

    Para obter uma lista de todos os recursos que o comando anterior cria, abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation. Escolha a pilha my-eks-vpc-stack e depois a guia Resources (Recursos).

  2. Crie uma função do IAM de cluster e associe a política gerenciada do Amazon EKS IAM a ela. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas a outros serviços da AWS em seu nome para gerenciar os recursos que você usa com o serviço.

    1. Copie o conteúdo a seguir em um arquivo denominado cluster-role-trust-policy.json.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. Crie a função.

      aws iam create-role \ --role-name myAmazonEKSClusterRole \ --assume-role-policy-document file://"cluster-role-trust-policy.json"
    3. Anexe a política de IAM gerenciada pelo Amazon EKS à função.

      aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \ --role-name myAmazonEKSClusterRole
  3. Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.

    Verifique se a Região da AWS exibida no canto superior direito do seu console é a Região da AWS em que você deseja criar o cluster. Se não for, escolha a lista suspensa ao lado do nome da Região da AWS e, em seguida, a Região da AWS que deseja usar.

  4. Escolha Add cluster (Adicionar cluster) e, em seguida, Create (Criar). Caso não visualize essa opção, escolha Clusters do Amazon EKS no painel de navegação à esquerda.

  5. Na página Configure cluster (Configurar cluster), faça o seguinte:

    1. Insira um nome para o seu cluster, como my-cluster.

    2. Em Cluster Service Role (Função de serviço do cluster), escolha myAmazonEKSClusterRole.

    3. Deixe as configurações restantes com seus valores padrão e escolha Next (Próximo).

  6. Na página Specify networking (Especificar redes), faça o seguinte:

    1. Escolha o ID da VPC que você criou em uma etapa anterior na lista suspensa VPC. É algo como vpc-00x0000x000x0x000 | my-eks-vpc-stack-VPC.

    2. Deixe as configurações restantes com seus valores padrão e escolha Next (Próximo).

  7. Na página Configure logging (Configurar registro em log), escolha Next (Próximo).

  8. Na página Review and create (Revisar e criar), escolha Create (Criar).

    À direita do nome do cluster, o status do cluster será Creating (Em criação) por vários minutos, até que o processo de provisionamento do cluster seja concluído. Não passe para a próxima etapa até que o status seja Active (Ativo).

    nota

    Talvez você receba um erro porque uma das zonas de disponibilidade em sua solicitação não tem capacidade suficiente para criar um cluster do Amazon EKS. Se isso acontecer, o resultado do erro conterá as zonas de disponibilidade que são compatíveis com o novo cluster. Tente criar o cluster com pelo menos duas sub-redes que estejam localizadas nas zonas de disponibilidade compatíveis de sua conta. Para obter mais informações, consulte . Insufficient capacity (Capacidade insuficiente).

Etapa 2: Configurar o computador para se comunicar com seu cluster

Nesta seção, você cria um arquivo kubeconfig para o cluster. As configurações neste arquivo ativam a opção CLI do kubectl para se comunicar com o cluster.

Para configurar o computador para se comunicar com o cluster

  1. Crie um arquivo kubeconfig para o cluster. Substitua region-code pela Região da AWS em que você criou o cluster e my-cluster pelo nome do cluster.

    aws eks update-kubeconfig --region region-code --name my-cluster

    Por padrão, um arquivo ~/.kube é criado em config ou o novo cluster é adicionado a um arquivo config existente no ~/.kube.

  2. Teste a configuração.

    kubectl get svc
    nota

    Se você receber qualquer erro de autorização ou de tipo de recurso, consulte Acesso negado ou não autorizado (kubectl) na seção de solução de problemas.

    Resultado

    NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE svc/kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 1m

Etapa 3: criar nós

Importante

Para começar da forma mais simples e rápida possível, este tópico inclui etapas para criar nós com configurações padrão. Antes de criar nós para uso em produção, recomendamos que você se familiarize com todas as configurações e implante nós com as configurações que atendam aos seus requisitos. Para obter mais informações, consulte . Nós do Amazon EKS. Algumas configurações poderão ser habilitadas apenas durante a criação dos nós.

Você pode criar um cluster com um dos seguintes tipos de nós. Para saber mais sobre cada tipo, consulte Nós do Amazon EKS. Depois que o cluster for implantado, você pode adicionar outros tipos de nós.

  • Fargate – Linux: escolha este tipo de nó se quiser executar aplicações do Linux no AWS Fargate. O Fargate é um mecanismo de computação sem servidor que permite a implantação de pods do Kubernetes sem gerenciar instâncias do Amazon EC2.

  • Nós gerenciados – Linux: escolha este tipo de nó se quiser executar aplicações do Amazon Linux em instâncias do Amazon EC2. Embora não seja abordado neste guia, também é possível usar os nós Autogerenciado do Windows e Bottlerocket para o cluster.

Fargate – Linux

Criar um perfil do Fargate. Quando os pods do Kubernetes são implantados com critérios que correspondem aos critérios definidos no perfil, os pods são implantados no Fargate.

Para criar um perfil do Fargate

  1. Crie uma função do IAM de cluster e associe a política gerenciada do Amazon EKS IAM a ela. Quando o cluster cria pods na infraestrutura do Fargate, os componentes em execução na infraestrutura do Fargate precisam fazer chamadas para as APIS da AWS em seu nome para executar ações como extrair imagens de contêiner do Amazon ECR ou rotear logs para outros serviços da AWS. A função de execução de pod do Amazon EKS fornece as permissões do IAM para fazer isso.

    1. Copie o conteúdo a seguir em um arquivo denominado pod-execution-role-trust-policy.json.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. Criar uma função para a execução de pod do IAM.

      aws iam create-role \ --role-name myAmazonEKSFargatePodExecutionRole \ --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
    3. Anexe a política de IAM gerenciada pelo Amazon EKS à função.

      aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \ --role-name myAmazonEKSFargatePodExecutionRole
  2. Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.

  3. Na página Clusters, escolha o cluster my-cluster.

  4. Na página my-cluster, faça o seguinte:

    1. Escolha a guia Configuration (Configuração).

    2. Escolha a guia Compute (Computação).

    3. Em Fargate Profiles (Perfis do Fargate), escolha Add Fargate profile (Adicionar perfil do Fargate).

  5. Na página Configure Fargate Profile (Configurar o perfil do Fargate), faça o seguinte:

    1. Em Name (Nome), insira um nome exclusivo para o perfil do Fargate, como my-profile.

    2. Em Pod execution role (Função de execução de pod), escolha a função myAmazonEKSFargatePodExecutionRole criada em uma etapa anterior.

    3. Escolha a lista suspensa Subnets (Sub-redes) e desmarque qualquer sub-rede que tenha Public no nome. Somente sub-redes privadas são suportadas por pods em execução no Fargate.

    4. Escolha Next (Próximo).

  6. Na página Configure pod selection (Configurar a seleção de pods), faça o seguinte:

    1. Em Namespace, insira default.

    2. Escolha Next (Próximo).

  7. Na página Review and create (Revisar e criar), revise as informações do perfil do Fargate e selecione Create (Criar).

  8. Após alguns minutos, o Status na seção Fargate Profile configuration (Configuração do perfil do Fargate) será alterada de Creating (Em criação) para Active (Ativo). Não passe para a próxima etapa até que o status seja Active (Ativo).

  9. Se você planeja implantar todos os pods no Fargate (nenhum em nós do Amazon EC2), faça o seguinte para criar outro perfil do Fargate e executar o resolvedor de nomes padrão (CoreDNS) no Fargate.

    nota

    Se você não fizer isso, não obterá nenhum nó no momento.

    1. Na página Fargate Profile (Perfil do Fargate), escolha my-cluster.

    2. Em Fargate profiles (Perfis do Fargate), escolha Add Fargate profile (Adicionar perfil do Fargate).

    3. Em Name (Nome), insira CoreDNS.

    4. Em Pod execution role (Função de execução de pod), escolha a função myAmazonEKSFargatePodExecutionRole criada em uma etapa anterior.

    5. Escolha a lista suspensa Subnets (Sub-redes) e desmarque qualquer sub-rede que tenha Public no nome. Somente sub-redes privadas são compatíveis com os pods em execução no Fargate.

    6. Escolha Next (Próximo).

    7. Em Namespace, insira kube-system.

    8. Escolha Match labels (Rótulos de correspondência) e, em seguida, Add label (Adicionar rótulo).

    9. Insira k8s-app em Key (Chave) e kube-dns em value (valor). Isso é necessário para implantar o resolvedor de nomes padrão (CoreDNS) no Fargate.

    10. Escolha Next (Próximo).

    11. Na página Review and create (Revisar e criar), revise as informações do perfil do Fargate e selecione Create (Criar).

    12. Depois, use o comando a seguir para remover a anotação padrão eks.amazonaws.com/compute-type : ec2 dos pods do CoreDNS.

      kubectl patch deployment coredns \ -n kube-system \ --type json \ -p='[{"op": "remove", "path": "/spec/template/metadata/annotations/eks.amazonaws.com~1compute-type"}]'
    nota

    O sistema cria e implanta dois nós com base no rótulo de perfil do Fargate adicionado por você. Você não verá nada listado em Node Groups (Grupos de nós), uma vez que eles não são aplicáveis aos nós do Fargate, mas encontrará os novos nós listados na guia Overview (Visão geral).

Managed nodes – Linux

Crie um grupo de nós gerenciados, especificando as sub-redes e a função do IAM do nó que você criou nas etapas anteriores.

Para criar o grupo de nós gerenciados do Amazon EC2 Linux

  1. Crie uma função do IAM do nó e associe a política gerenciada do Amazon EKS IAM a ela. O daemon kubelet do nó do Amazon EKS chama as APIs da AWS em seu nome. Os nós recebem permissões para essas chamadas de API por meio de um perfil de instância do IAM e políticas associadas.

    1. Copie o conteúdo a seguir em um arquivo denominado node-role-trust-policy.json.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. Crie a função do IAM para o nó.

      aws iam create-role \ --role-name myAmazonEKSNodeRole \ --assume-role-policy-document file://"node-role-trust-policy.json"
    3. Anexe à função as políticas do IAM gerenciadas necessárias.

      aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy \ --role-name myAmazonEKSNodeRole aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly \ --role-name myAmazonEKSNodeRole aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy \ --role-name myAmazonEKSNodeRole
  2. Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.

  3. Escolha o nome do cluster criado por você no Etapa 1: Criar o cluster do Amazon EKS, por exemplo, my-cluster.

  4. Na página my-cluster, faça o seguinte:

    1. Escolha a guia Configuration (Configuração).

    2. Escolha a guia Compute (Computação).

    3. Escolha Add Node Group (Adicionar grupo de nós).

  5. Na página Configure Node Group (Configurar grupo de nós), faça o seguinte:

    1. Em Name (Nome), insira um nome exclusivo para o seu grupo de nós gerenciados, como my-nodegroup.

    2. Em Node IAM role name (Nome da função do IAM de nós), escolha a função myAmazonEKSNodeRole que você criou em uma etapa anterior. Recomendamos que cada grupo de nós use sua própria função exclusiva do IAM.

    3. Escolha Next (Próximo).

  6. Na página Set compute and scaling configuration (Definir configurações de computação e escalabilidade), aceite os valores padrão e escolha Next (Próximo).

  7. Na página Specify networking (Especificar redes), aceite os valores padrão e escolha Next (Próximo).

  8. Na página Review and create (Revisar e criar), reveja a configuração do grupo de nós gerenciados e escolha Create (Criar).

  9. Após alguns minutos, o Status em Node Group configuration(Configuração do grupo de nós) mudará de Creating (Em criação) para Active (Ativo). Não passe para a próxima etapa até que o status seja Active (Ativo).

Etapa 4: visualizar recursos

Você pode exibir os nós e as workloads do Kubernetes.

Para visualizar nós e workloads

  1. No painel de navegação à esquerda, escolha Clusters do Amazon EKS. Escolha o nome do cluster criado por você, por exemplo, my-cluster, na lista de Clusters.

  2. Na página my-cluster, faça o seguinte:

    1. Na guia Overview (Visão geral), você verá a lista de Nós que foram implantados para o cluster. Você pode escolher o nome de um nó para consultar mais informações sobre ele. Para obter mais informações sobre o que você vê aqui, consulte Previsualizar os nós.

    2. Na guia Workloads do cluster, você verá uma lista das workloads que são implantadas por padrão em um cluster do Amazon EKS. Você pode escolher o nome de uma workload para consultar mais informações sobre ela. Para obter mais informações sobre o que você vê aqui, consulte Visualizar workloads. Se você criou nós Fargate, somente coredns tem um status.

Etapa 5: excluir recursos

Após concluir o cluster e os nós criados para este tutorial, exclua os recursos que você criou. Se quiser realizar outras ações com esse cluster antes de excluir os recursos, consulte Próximas etapas.

Para excluir os recursos que você criou neste guia

  1. Exclua todos os grupos de nós ou perfis do Fargate que criou.

    1. Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.

    2. No painel de navegação à esquerda, escolha Clusters do Amazon EKS. Na lista de clusters, escolha my-cluster.

    3. Escolha a guia Configuration (Configurações) e, em seguida, Compute (Computação).

    4. Se você criou um grupo de nós, escolha o grupo de nós my-nodegroup e, em seguida, escolha Delete (Excluir). Insira my-nodegroup e escolha Delete (Excluir).

    5. Escolha-o para cada perfil do Fargate criado por você e, então, escolha Delete (Excluir). Insira o nome do perfil e, então, escolha Delete (Excluir).

      nota

      Ao excluir um segundo perfil do Fargate, talvez seja necessário esperar a conclusão de exclusão do primeiro.

    6. Não continue até que o grupo de nós ou perfis do Fargate estejam excluído(s).

  2. Exclua o cluster.

    1. No painel de navegação à esquerda, escolha Clusters do Amazon EKS. Na lista de clusters, escolha my-cluster.

    2. Escolha Delete Cluster (Excluir cluster).

    3. Insira my-cluster e escolha Delete (Excluir). Não continue até que o cluster seja excluído.

  3. Exclua a pilha do AWS CloudFormation da VPC criada.

    1. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

    2. Escolha a pilha my-eks-vpc-stack e, então, Delete (Excluir).

    3. Na caixa de diálogo de confirmação Delete my-eks-vpc-stack (Excluir o my-eks-vpc-stack), escolha Delete stack (Excluir pilha).

  4. Exclua as funções do IAM criadas.

    1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação à esquerda, escolha Roles.

    3. Na lista, selecione cada função criada (myAmazonEKSClusterRole, assim como myAmazonEKSFargatePodExecutionRole ou myAmazonEKSNodeRole). Escolha Delete (Excluir), insira o texto de confirmação solicitado e escolha Delete (Excluir).

Próximas etapas

Os seguintes tópicos de documentação ajudam a estender a funcionalidade do seu cluster.