聊聊如何用AWS創(chuàng)建EKS集群

作者：呂涵之 2023-04-06 08:00:36

云計算

云原生 虛擬私有云 (VPC) 是僅適用于您的 Amazon 賬戶的虛擬網(wǎng)絡(luò)。它在邏輯上與 Amazon 云中的其他虛擬網(wǎng)絡(luò)隔絕。您可以在 VPC 內(nèi)啟動您的 Amazon 資源，例如 Amazon EC2 實例。

在臨河等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都做網(wǎng)站、網(wǎng)站制作 網(wǎng)站設(shè)計制作定制網(wǎng)站建設(shè),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,網(wǎng)絡(luò)營銷推廣,外貿(mào)網(wǎng)站制作,臨河網(wǎng)站建設(shè)費用合理。

使用 Amazon EKS（Elastic Kubernetes Service）集群，以便能夠輕松管理、部署和擴展應(yīng)用程序容器。EKS提供了一個高度可擴展、彈性、安全和穩(wěn)定的Kubernetes控制平面，并自動處理集群的部署、升級和維護。使用EKS集群可以讓開發(fā)團隊專注于構(gòu)建應(yīng)用程序，而無需管理底層基礎(chǔ)架構(gòu)的細(xì)節(jié)。

網(wǎng)絡(luò)配置

01創(chuàng)建VPC

虛擬私有云 (VPC) 是僅適用于您的 Amazon 賬戶的虛擬網(wǎng)絡(luò)。它在邏輯上與 Amazon 云中的其他虛擬網(wǎng)絡(luò)隔絕。您可以在 VPC 內(nèi)啟動您的 Amazon 資源，例如 Amazon EC2 實例。

https://cn-northwest-1.console.amazonaws.cn/vpc/home 點擊此鏈接進入VPC控制面板，在左邊菜單欄中找到“您的VPC”，在“您的VPC”界面點擊“創(chuàng)建VPC”按鈕。

選擇“僅VPC”要創(chuàng)建的資源，填寫“Name”和“IPv4 CIDR”，填寫內(nèi)容如下表所示，填寫完成后點擊“創(chuàng)建VPC”按鈕，繼而創(chuàng)建VPC完成。

Name	IPv4 CIDR
VPC-SG-R&I	172.25.0.0/19

創(chuàng)建完成后，編輯 VPC 設(shè)置,選擇“DHCP”選項集。在DNS設(shè)置中，勾選“啟用DNS解析”和“啟用DNS主機名”，完成后點擊“保存”按鈕。

02創(chuàng)建子網(wǎng)

子網(wǎng)是您的 VPC 內(nèi)的 IP 地址范圍。您可以在指定子網(wǎng)內(nèi)啟動Amazon資源。對必須連接互聯(lián)網(wǎng)的資源使用公有子網(wǎng)，而對將不會連接到互聯(lián)網(wǎng)的資源使用私有子網(wǎng)。

在VPC控制面板的左側(cè)菜單欄中找到“子網(wǎng)”，在子網(wǎng)控制面板中，點擊“創(chuàng)建子網(wǎng)”按鈕。創(chuàng)建子網(wǎng)所需配置信息如下表所示：

Name	VPC	可用區(qū)	IPv4 CIDR
subnet-R&i-public-ECS-A	VPC-SG-R&I	cn-northwest-1a	172.25.7.0/24
subnet-R&i-private-EKS cluster-A	VPC-SG-R&I	cn-northwest-1a	172.25.0.0/24
subnet-R&i-private-EKS cluster-C	VPC-SG-R&I	cn-northwest-1c	172.25.2.0/24
subnet-R&i-private-EKS cluster-B	VPC-SG-R&I	cn-northwest-1b	172.25.1.0/24

在VPC設(shè)置中，填寫“VPC ID”，就是剛才創(chuàng)建VPC。在子網(wǎng)設(shè)置中，填寫“子網(wǎng)名稱”、“可用區(qū)”、“IPv4 CIDR塊”，具體信息見上表，此處以“subnet-R&i-public-ECS-A”這個子網(wǎng)為例。

03創(chuàng)建路由器

  路由表 包含一組被稱為路由的規(guī)則，決定了來自您的子網(wǎng)或網(wǎng)關(guān)的網(wǎng)絡(luò)流量將指向何處。

在VPC控制面板的左側(cè)菜單欄中找到“路由表”，在路由表控制面板中，點擊“創(chuàng)建路由表”按鈕。創(chuàng)建路由表所需配置信息如下表所示：

Name	VPC	關(guān)聯(lián)子網(wǎng)名稱	路由
			目標(biāo)	目標(biāo)
rt-sg-r&i-ecs-cluster	VPC-SG-R&I	subnet-R&i-public-ECS-A	0.0.0.0/0	igw-sg-r&i（互聯(lián)網(wǎng)網(wǎng)關(guān)）
			172.25.0.0/19	local
rt-sg-r&i-EKS-cluster	VPC-SG-R&I	subnet-R&i-private-EKS cluster-A， subnet-R&i-private-EKS cluster-C， subnet-R&i-private-EKS cluster-B	0.0.0.0/0	nat-sg-rni（NAT 網(wǎng)關(guān)）
			172.25.0.0/19	local

在路由表設(shè)置中，填寫“名稱”和“VPC”，具體信息見上表，此處以“rt-sg-r&i-ecs-cluster”這個路由表為例。填寫完成后，點擊“創(chuàng)建路由表”按鈕。

勾選剛創(chuàng)建的路由表，在下面信息欄中找到“子網(wǎng)關(guān)聯(lián)”，點擊“編輯子網(wǎng)關(guān)聯(lián)”。

在可用子網(wǎng)配置中，勾選關(guān)聯(lián)子網(wǎng)名稱，詳情請見上表。填寫完成后，點擊“保存關(guān)聯(lián)”按鈕，完成路由表與子網(wǎng)的關(guān)聯(lián)。

04創(chuàng)建網(wǎng)絡(luò)接口

彈性網(wǎng)絡(luò)接口 是 VPC 中表示虛擬網(wǎng)卡的邏輯網(wǎng)絡(luò)組件。

點擊https://cn-northwest-1.console.amazonaws.cn/ec2/v2/home 鏈接，進入EC2控制面板。在左側(cè)菜單欄中找到“網(wǎng)絡(luò)接口”。在網(wǎng)絡(luò)接口界面，點擊“創(chuàng)建網(wǎng)絡(luò)接口”按鈕。創(chuàng)建網(wǎng)絡(luò)接口所需配置信息如下表所示：

子網(wǎng)	私有 IPv4 地址
subnet-R&i-public-ECS-A	自動分配

在詳細(xì)信息配置中，填寫“子網(wǎng)”，完成后點擊“創(chuàng)建網(wǎng)絡(luò)接口”按鈕。

05創(chuàng)建彈性公網(wǎng)IP

彈性 IP 地址是公有 IPv4 地址，可通過 Internet 訪問。如果您的實例沒有公有 IPv4 地址，則可以將彈性 IP 地址與您的實例關(guān)聯(lián)以啟用與 Internet 的通信。例如，這允許您從本地計算機連接到您的實例。

在VPC控制面板的左側(cè)菜單欄中找到“彈性IP”，在彈性IP地址控制面板中，點擊“分配彈性IP地址”按鈕，即可分配彈性IP。

選中剛創(chuàng)建的彈性IP地址，點擊“操作”按鈕，在其下拉框中點擊“關(guān)聯(lián)彈性IP地址”。

在彈性IP地址配置中，選擇“網(wǎng)絡(luò)接口”，在網(wǎng)絡(luò)接口處填寫剛創(chuàng)建的“網(wǎng)絡(luò)接口”，填寫完成后點擊“關(guān)聯(lián)”按鈕，完成彈性IP地址與網(wǎng)絡(luò)接口的關(guān)聯(lián)。

06創(chuàng)建NAT網(wǎng)關(guān)

NAT 網(wǎng)關(guān)是一種網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 服務(wù)。您可以使用 NAT 網(wǎng)關(guān)，以便私有子網(wǎng)中的實例可以連接到 VPC 外部的服務(wù)，但外部服務(wù)無法啟動與這些實例的連接。

在VPC控制面板的左側(cè)菜單欄中找到“NAT 網(wǎng)關(guān)”，在NAT 網(wǎng)關(guān)控制面板中，點擊“創(chuàng)建NAT網(wǎng)關(guān)”按鈕。創(chuàng)建NAT網(wǎng)關(guān)所需配置信息如下表所示：

Name	子網(wǎng)名稱	連接類型
nat-sg-rni	subnet-R&i-public-ECS-A	公有

在NAT網(wǎng)關(guān)設(shè)置中，填寫“名稱”、“子網(wǎng)”，具體信息見上表。連接類型選擇“公有”，彈性IP分配ID為剛創(chuàng)建的彈性公網(wǎng)IP，填寫完成后，點擊“創(chuàng)建NAT網(wǎng)關(guān)”按鈕。

07創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)

Internet 網(wǎng)關(guān)是一種橫向擴展、冗余且高度可用的 VPC 組件，支持在 VPC 和 Internet 之間進行通信。它支持 IPv4 和 IPv6 流量。它不會對您的網(wǎng)絡(luò)流量造成可用性風(fēng)險或帶寬限制。

借助互聯(lián)網(wǎng)網(wǎng)關(guān)，公有子網(wǎng)中具有公有 IPv4 地址或 IPv6 地址的資源（例如 EC2 實例）可以連接到互聯(lián)網(wǎng)。同樣，互聯(lián)網(wǎng)上的資源也可以使用公有 IPv4 地址或 IPv6 地址發(fā)起到子網(wǎng)中的資源的連接。例如，您可以通過互聯(lián)網(wǎng)網(wǎng)關(guān)，使用本地電腦連接到 Amazon 中的 EC2 實例。

互聯(lián)網(wǎng)網(wǎng)關(guān)為您的 VPC 路由表中可通過互聯(lián)網(wǎng)路由的流量提供目標(biāo)。對于使用 IPv4 的通信，互聯(lián)網(wǎng)網(wǎng)關(guān)還會執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)。對于使用 IPv6 的通信，不需要 NAT，因為 IPv6 地址是公有的。建立互聯(lián)網(wǎng)網(wǎng)關(guān)并不需要繳納額外的費用。

在VPC控制面板的左側(cè)菜單欄中找到“互聯(lián)網(wǎng)網(wǎng)關(guān)”，在互聯(lián)網(wǎng)網(wǎng)關(guān)控制面板中，點擊“創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)”按鈕。創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)所需配置信息如下表所示：

Name	關(guān)聯(lián)VPC名稱
igw-sg-r&i	VPC-SG-R&I

在互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)置中，填寫Name，具體信息請見上表，填寫完成后點擊“創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)”按鈕。

選中剛創(chuàng)建的互聯(lián)網(wǎng)網(wǎng)關(guān)，點擊“操作”按鈕，在其下拉框中點擊“附加到VPC”按鈕，附加我們創(chuàng)建的VPC。

下圖為附加VPC完成后的截圖

在路由表控制面板，選中名為“rt-sg-r&i-ecs-cluster”的路由表，點擊“編輯路由”按鈕。

點擊“添加路由”按鈕，加上剛創(chuàng)建的互聯(lián)網(wǎng)網(wǎng)關(guān)，具體目標(biāo)地址按需求來，這里只作為參考。填寫完成后，點擊“保存更改”。

創(chuàng)建集群服務(wù)角色

01創(chuàng)建集群服務(wù)角色

點擊https://console.amazonaws.cn/iamv2/home?reginotallow=cn-northwest-1#/home 鏈接進入IAM控制面板，在左側(cè)菜單欄中找到角色，點擊“創(chuàng)建角色按鈕”，創(chuàng)建角色所需配置信息如下表所示：

角色名稱	權(quán)限策略
EKSClusterRole	AmazonEC2ContainerRegistryReadOnly
	AmazonEKSClusterPolicy
	AmazonEKS_CNI_Policy
	AmazonEKSWorkerNodePolicy

選中“亞馬遜云科技服務(wù)”，在其他亞馬遜云科技服務(wù)的使用案例中，查找“EKS”，選中“EKS - Cluster”，完成后點擊“下一步”按鈕。

繼續(xù)點擊“下一步”。

填寫“角色名稱”，具體信息請見上表。填寫完成后，點擊“創(chuàng)建角色”，完成EKS集群角色創(chuàng)建。

點擊剛創(chuàng)建的角色，進入詳細(xì)界面。

找到“權(quán)限”，點擊“添加權(quán)限”按鈕。

添加入下圖所示的權(quán)限，具體名稱請見上表。

選擇完成后，點擊“添加權(quán)限”按鈕，完成角色權(quán)限的添加。

02創(chuàng)建集群安全組

在VPC控制面板的左側(cè)菜單欄中找到“安全組”，在安全組控制面板中，點擊“創(chuàng)建安全組”按鈕。創(chuàng)建安全組所需配置信息如下表所示：

安全組名稱	VPC	標(biāo)簽（鍵）	標(biāo)簽（值）
eks-cluster-sg-live-k8s	VPC-SG-R&I	Name	eks-cluster-sg-live-k8s
		kubernetes.io/cluster/live-k8s	owned

在基本詳細(xì)信息中，填寫“安全組名稱”、“VPC”、“入站規(guī)則”、“出站規(guī)則”，具體信息請見上表。填寫完成后，點擊“創(chuàng)建安全組”按鈕，完成安全組的創(chuàng)建。

03創(chuàng)建密鑰對

在AMI控制面板的左側(cè)菜單欄中找到“密鑰對”，在密鑰對控制面板中，點擊“創(chuàng)建密鑰對”按鈕。創(chuàng)建密鑰對所需配置信息如下表所示：

名稱	密鑰對類型	私鑰文件格式
AWS_LIVE_SecretKey	RSA	.pem

在密鑰對配置中填寫“名稱”、“密鑰對類型”、“私鑰文件格式”，具體信息請見上表。填寫完成后點擊“創(chuàng)建密鑰對”，完成密鑰對的創(chuàng)建。

導(dǎo)出該密鑰對，用于遠(yuǎn)程連接。

04創(chuàng)建集群

點擊https://cn-northwest-1.console.amazonaws.cn/eks/home 鏈接進入EKS控制面板創(chuàng)建集群，創(chuàng)建集群所需配置信息如下表所示：

集群名稱	Kubernetes 版本	集群服務(wù)角色
live_k8s	1.23	EKSClusterRole

填寫“集群名稱”后，點擊“下一步”按鈕。

在配置集群界面，填寫“名稱”、“Kubernetes 版本”、“集群服務(wù)角色”，具體信息如上表所示。根據(jù)下表信息填寫“標(biāo)簽”，填寫完成后點擊“下一步”按鈕。

標(biāo)簽
鍵	值
Createdby	JIN
Env	prod
Name	live-k8s
Project	live

在聯(lián)網(wǎng)配置中，填寫“VPC”、“子網(wǎng)”、“安全組”等信息，具體信息及配置如下圖、下表所示。

VPC名稱	子網(wǎng)	集群安全組	服務(wù)的 IPv4 地址范圍	集群端點訪問
VPC-SG-R&I	subnet-R&i-private-EKS cluster-A	eks-cluster-sg-live-k8s	10.100.0.0/16	公有和私有
	subnet-R&i-private-EKS cluster-C
	subnet-R&i-private-EKS cluster-B

在配置日志記錄中，按需求進行配置，我這里暫時不配置日志，直接點擊“下一個”按鈕。

在選擇插件中，選中如下三個插件，點擊“下一步”按鈕。

在配置選定的插件設(shè)置中，直接點擊“下一個”按鈕。

檢查所有配置，都沒有問題后，點擊“創(chuàng)建”按鈕，完成集群創(chuàng)建。

05創(chuàng)建身份供應(yīng)商

在創(chuàng)建完成后的集群詳情界面中，找到“概述”，復(fù)制“OpenID Connect 提供商 URL”，用于下面的操作。

在IAM控制臺界面的左側(cè)菜單欄中，找到“身份提供商”，點擊“添加提供商”按鈕。

具體配置信息請見下圖和下表所示。要注意“提供商 URL”，即為剛復(fù)制的“OpenID Connect 提供商 URL”。

提供商類型	提供商 URL	受眾	標(biāo)簽
			鍵	值
OpenID Connect	EKS中的OpenID Connect 提供商 URL	sts.amazonaws.com	Createdby	JIN
			Env	prod
			Name	live-k8s
			Project	live

06創(chuàng)建計算節(jié)點組

在剛創(chuàng)建的EKS詳情頁中，找到“計算”，點擊“創(chuàng)建節(jié)點組”按鈕。創(chuàng)建節(jié)點組所需配置信息如下表所示：

節(jié)點組名稱	節(jié)點 IAM 角色	SSH 密鑰對	標(biāo)簽
			鍵	值
live-k8s-nodegroup	AWS-EKS-LIVE-NODEGROUP-ROLE	AWS_LIVE_SecretKey	Project	live
			Createdby	JIN
			Env	prod
			Name	live-k8s

在配置節(jié)點組中，填寫“名稱”、“節(jié)點組IAM角色”、“標(biāo)簽”，具體信息請見上表。填寫完成后，點擊“下一個”按鈕。

在設(shè)置計算和擴展配置中，根據(jù)下圖和下表所示填寫信息。填寫完成后，點擊“下一個”按鈕。

AMI 類型	容量類型	實例類型	磁盤大小
Amazon Linux 2 (AL2_x86_64)	On-Demand	c5.xlarge	300GiB

在指定聯(lián)網(wǎng)中，選擇“配置對節(jié)點的SSH訪問權(quán)限”。

會彈出一個警告，點擊“啟用”按鈕。

根據(jù)下圖及下表進行配置，配置完成后點擊“下一個”按鈕。

子網(wǎng)	SSH 密鑰對
subnet-R&i-private-EKS cluster-A	AWS_LIVE_SecretKey
subnet-R&i-private-EKS cluster-C
subnet-R&i-private-EKS cluster-B

檢查所有配置，完成后點擊“創(chuàng)建”按鈕，完成節(jié)點組的創(chuàng)建。

大約等待30分鐘后，可以看到“計算”頁面已經(jīng)創(chuàng)建了4臺節(jié)點，并且狀態(tài)為“已就緒”。

插件的狀態(tài)也都為活動，則說明節(jié)點創(chuàng)建成功。

07創(chuàng)建跳板機

創(chuàng)建角色

創(chuàng)建跳板機EC2的角色，具體配置如下圖下表所示。

角色名稱	權(quán)限策略
EC2_Full_access	AWSCloud9SSMInstanceProfile
	AWSResourceAccessManagerFullAccess
	AmazonEC2FullAccess
	AmazonEKSClusterPolicy
	AmazonSSMManagedInstanceCore
	AmazonSSMPatchAssociation
	CloudWatchFullAccess

創(chuàng)建安全組

根據(jù)下表信息，創(chuàng)建安全組。

安全組名稱	出站規(guī)則
live_vpn	類型	協(xié)議	端口范圍	源	描述
	SSH	TCP	22	x.x.x.x/x	特定ip
	所有流量	全部	全部	10.100.0.0/16	EKS SERVICE
	所有流量	全部	全部	eks-cluster-sg-live-k8s	–
	入站規(guī)則
	類型	協(xié)議	端口范圍	目標(biāo)	描述
	所有流量IPv4	全部	全部	0.0.0.0/0	–

創(chuàng)建彈性IP地址

創(chuàng)建網(wǎng)絡(luò)接口

創(chuàng)建網(wǎng)絡(luò)接口，子網(wǎng)為“subnet-R&i-public-ECS-A”，具體操作如下圖所示。

為剛創(chuàng)建的網(wǎng)絡(luò)接口綁定彈性IP地址，具體操作如下圖所示。

創(chuàng)建EC2

在EC2控制面板的左側(cè)菜單欄中找到“實例”，在實例控制面板中，點擊“啟動新實例”按鈕。創(chuàng)建新實例所需配置信息如下表所示：

名稱	AMI名稱	實例類型	密鑰對名稱	vpc名稱
LIVE_VPN	amzn2-ami-kernel-5.10-hvm-2.0.20221004.0-x86_64-gp2	c5.xlarge	AWS_LIVE_SecretKey	VPC-SG-R&I
子網(wǎng)名稱	安全組	IAM	存儲大小	存儲類型
subnet-R&i-public-ECS-A	live_vpn	EC2_Full_access	100 GiB	gp3

填寫名稱，點擊“瀏覽其他AMI”按鈕，選擇我們需要的AMI。

在輸入框中，填寫我們需要的AMI，點擊“社區(qū)AMI(1)”，選中該AMI。

選擇我們需要的“實例類型”和“密鑰對”。

如下圖所示，進行網(wǎng)絡(luò)配置。

點開“高級網(wǎng)絡(luò)配置”，在“網(wǎng)絡(luò)接口”處選擇我們剛創(chuàng)建的網(wǎng)絡(luò)接口。

根據(jù)需求配置存儲。

選中剛創(chuàng)建的角色，完成配置后，點擊“啟動實例”按鈕，完成EC2的創(chuàng)建。

創(chuàng)建完成后，如下圖所示。

安裝必要軟件

在跳板機EC2中運行下面的命令，安裝必要的軟件。

## Installing pip
if ! hash python pip unzip jq yq &> /dev/null; then
    if [ -f /usr/bin/yum ]; then sudo yum -y -q install python-pip unzip jq && sudo pip install yq; fi
    if [ -f /usr/bin/apt ]; then sudo apt update && sudo apt install --yes python-pip unzip jq && sudo pip install yq; fi
fi
 
## Installing awscli
if ! command -v aws &> /dev/null; then
    curl --silent --location "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
    unzip -q awscliv2.zip
    sudo ./aws/install --update
    rm -fr awscliv2* aws*/
fi
 
## Installing eksctl
if ! command -v eksctl &> /dev/null; then
    curl --silent --location "https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gz" | tar xz -C /tmp
    sudo mv /tmp/eksctl /usr/local/bin
    source <(eksctl completion bash) 2>/dev/null
fi
 
## Installing aws-iam-authenticator
if ! command -v aws-iam-authenticator &> /dev/null; then
    curl -o aws-iam-authenticator https://amazon-eks.s3.us-west-2.amazonaws.com/1.23.7/2022-06-29/bin/linux/amd64/aws-iam-authenticator
    chmod +x ./aws-iam-authenticator
    mkdir -p $HOME/.bin && mv ./aws-iam-authenticator $HOME/.bin/aws-iam-authenticator && export PATH=$HOME/.bin:$PATH
    echo 'export PATH=$HOME/.bin:$PATH' >> ~/.bashrc
fi
 
## Installaing kubectl
if ! command -v kubectl &> /dev/null; then
    curl -o kubectl https://amazon-eks.s3.us-west-2.amazonaws.com/1.23.7/2022-06-29/bin/linux/amd64/kubectl
    chmod +x ./kubectl
    sudo mv ./kubectl /usr/local/bin/kubectl

生成kubeconfig

為當(dāng)前管理用戶，創(chuàng)建訪問密鑰。

在跳板機EC2中配置aws-cli ~/.aws/config。

aws configure
AWS Access Key ID [None]: #這里填寫AK
AWS Secret Access Key [None]: #這里填寫SK
Default region name [None]: cn-northwest-1 #填寫地域
Default output format [None]: json

執(zhí)行下面命令查看配置。

aws sts get-caller-identity

執(zhí)行下面命令，生成kubeconf。

aws eks --region cn-northwest-1 update-kubeconfig --name live_k8s

小結(jié)

至此，AWS創(chuàng)建EKS集群完成，且可以遠(yuǎn)程登錄跳板機，并使用跳板機連接EKS集群。

分享名稱：聊聊如何用AWS創(chuàng)建EKS集群
瀏覽路徑：http://m.5511xx.com/article/dpoggdg.html