摘要:本教程適用范圍本教程適用范圍在上使用服務(wù)部署�,并通過訪問集群計(jì)算節(jié)點(diǎn)采用托管���,并使用啟動(dòng)模板�。到此�,完成集群的搭建,部署�����,部署�����,并實(shí)現(xiàn)了外網(wǎng)訪問�����。
本教程適用范圍
- 在AWS上使用EKS服務(wù)部署k8s Dashboard�,并通過ALB訪問
- EKS集群計(jì)算節(jié)點(diǎn)采用托管EC2�,并使用啟動(dòng)模板�����。
- 使用AWS海外賬號(hào)�,us-west-2區(qū)域
- 使用賬號(hào)默認(rèn)vpc(172.31.0.0/16)和子網(wǎng)
- 使用awscli創(chuàng)建而不是eksctl
- 對(duì)AWS有一定了解,不適用于AWS小白
- 文中代碼��,漢字部分需要修改成自己的信息
涉及到知識(shí)點(diǎn)
- AWS服務(wù):EC2��,IAM����,EKS,VPC�����,ACM����,ALB,SecurityGroup, awscli�����, eksctl
- K8s: Service, Pod, Ingress, Node
必備條件
- 有一臺(tái)用于操作的服務(wù)器(本教程使用ec2: ubuntu 18,EKS默認(rèn)將集群最大權(quán)限賦予創(chuàng)建集群的用戶�����,所以不建議使用控制臺(tái)創(chuàng)建集群���,尤其是對(duì)于SSO登錄用戶)
- 擁有AWS administrator權(quán)限(本教程將權(quán)限賦予服務(wù)器)
- 擁有域名管理權(quán)限(能夠創(chuàng)建并解析域名)
- 擁有域名證書(本教程使用ACM證書)
詳細(xì)步驟
安裝kubectl��,awscli
# install kubectlwget https://dl.k8s.io/release/v1.22.0/bin/linux/amd64/kubectlchmod 755 kubectlmv kubectl /usr/bin# install awsclipip3 install awscli# install eksctlwget https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gztar -xvf eksctl_Linux_amd64.tar.gzchmod 755 eksctlmv eksctl /usr/bin
輸入如下表示安裝完成
在EKS上啟動(dòng)一個(gè)集群
使用aws控制臺(tái),創(chuàng)建eks-cluster角色����,策略如下:
創(chuàng)建eks-cluster安全組
將需要使用的子網(wǎng)添加如下標(biāo)簽(有了此標(biāo)簽��,才能使用alb)
創(chuàng)建集群
aws eks create-cluster / --region us-west-2 / --name zhenglisai / --kubernetes-version 1.21 / --role-arn arn:aws:iam::你的賬號(hào)ID:role/eks-cluster / --resources-vpc-config subnetIds=subnet-cf36ca92,subnet-75866b0d,subnet-19ef9b32,securityGroupIds=sg-0daa7eabdc1f845fd
從控制臺(tái)可以看到集群創(chuàng)建中
查看集群狀態(tài)
創(chuàng)建集群計(jì)算節(jié)點(diǎn)實(shí)例啟動(dòng)模板
在控制臺(tái)EC2中創(chuàng)建啟動(dòng)模板��,使用鏡像AMI:ami-0cb182e3037115aa0,根據(jù)自己需要選擇實(shí)例類型�����,安全組���,服務(wù)器密鑰對(duì)�,啟動(dòng)模板中不要設(shè)置網(wǎng)絡(luò)接口和IAM 實(shí)例配置文件�,最重要的一步是在啟動(dòng)模板最后的用戶數(shù)據(jù)中填寫:
腳本后參數(shù)為EKS集群名
創(chuàng)建集群計(jì)算節(jié)點(diǎn)實(shí)例角色
創(chuàng)建集群計(jì)算節(jié)點(diǎn)組
aws eks create-nodegroup / --cluster-name zhenglisai / --nodegroup-name zls-node / --scaling-config minSize=1,maxSize=3,desiredSize=2 / --subnets subnet-cf36ca92 subnet-75866b0d subnet-19ef9b32 / --node-role arn:aws:iam::你的賬號(hào)ID:role/eks-demo / --launch-template version=4,id=lt-020949e5e604df89c
配置kubectl以訪問EKS
# --name 后為集群名aws eks --region us-west-2 update-kubeconfig --name zhenglisai
配置完成后,訪問EKS集群
表示完成配置���,可以訪問集群了���。
查看所有正在運(yùn)行的pod
可以看到,有兩個(gè)pod沒有起來����,我們看一下為什么沒有起來
執(zhí)行
kubectl get pods coredns-85d5b4454c-rkccb --namespace kube-system --output yaml
看輸出是沒有可用的計(jì)算節(jié)點(diǎn),說明我們上一步創(chuàng)建的計(jì)算節(jié)點(diǎn)還沒運(yùn)行起來���,查看可用節(jié)點(diǎn)�,確實(shí)沒有
等大約兩分鐘以后,再次執(zhí)行��,可以看到實(shí)例已經(jīng)注冊(cè)到集群了
再次查看pod狀態(tài)����,都已經(jīng)運(yùn)行起來了。
安裝Metric Server
這個(gè)東西主要用于集群的彈性擴(kuò)容指標(biāo)和dashboard指標(biāo)���,不是用于監(jiān)控資源���!
執(zhí)行部署
kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml
輸出
驗(yàn)證部署是否成功
部署Dashboard
執(zhí)行
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.5/aio/deploy/recommended.yaml
默認(rèn)情況下,Kubernetes 控制面板用戶的權(quán)限是有限的�����,我們創(chuàng)建一個(gè)超級(jí)用戶
創(chuàng)建一個(gè)名為eks-admin.yaml的文件��,內(nèi)容為
apiVersion: v1kind: ServiceAccountmetadata: name: eks-admin namespace: kube-system---apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRoleBindingmetadata: name: eks-adminroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-adminsubjects:- kind: ServiceAccount name: eks-admin namespace: kube-system
執(zhí)行此文件
kubectl apply -f eks-admin.yaml
獲取Dashboard的token令牌,用于訪問Dashboard
kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep eks-admin | awk {print $1})
到此為止,已完成集群的搭建和Dashboard的部署�,但是此時(shí)只能在集群內(nèi)部訪問Dashboard,無法通過外網(wǎng)訪問��。下一步將Dashboard接口暴露給ALB
安裝AWS負(fù)載均衡器控制器到EKS集群
下載IAM策略
wget https://raw.githubusercontent.com/kubernetes-sigs/aws-load-balancer-controller/v2.2.0/docs/install/iam_policy.json
創(chuàng)建策略
aws iam create-policy / --policy-name AWSLoadBalancerControllerIAMPolicy / --policy-document file://iam_policy.json
創(chuàng)建集群IAM OIDC身份提供商
eksctl utils associate-iam-oidc-provider --cluster zhenglisai --approve
創(chuàng)建k8s賬戶并關(guān)聯(lián)策略
eksctl create iamserviceaccount / --cluster=zhenglisai / --namespace=kube-system / --name=aws-load-balancer-controller / --attach-policy-arn=arn:aws:iam::你的賬號(hào)ID:policy/AWSLoadBalancerControllerIAMPolicy / --override-existing-serviceaccounts / --approve
安裝負(fù)載均衡器控制器
kubectl apply -k "github.com/aws/eks-charts/stable/aws-load-balancer-controller/crds?ref=master"helm repo add eks https://aws.github.io/eks-chartshelm repo updatehelm upgrade -i aws-load-balancer-controller eks/aws-load-balancer-controller / --set clusterName=zhenglisai / --set serviceAccount.create=false / --set serviceAccount.name=aws-load-balancer-controller / -n kube-system
驗(yàn)證安裝是否完成
部署Ingress
創(chuàng)建部署文件���,dashboard-ingress.yaml��,內(nèi)容如下(需要修改漢字部分內(nèi)容):
---apiVersion: networking.k8s.io/v1beta1kind: Ingressmetadata: namespace: kubernetes-dashboard name: ingress-dashboard annotations: alb.ingress.kubernetes.io/load-balancer-name: zhenglisai alb.ingress.kubernetes.io/backend-protocol: HTTPS kubernetes.io/ingress.class: alb alb.ingress.kubernetes.io/scheme: internet-facing alb.ingress.kubernetes.io/target-type: ip alb.ingress.kubernetes.io/listen-ports: [{"HTTPS":443}] alb.ingress.kubernetes.io/certificate-arn: 你證書的ARN���,在ACM中查看spec: rules: - host: 你的域名 http: paths: - path: /* backend: serviceName: kubernetes-dashboard servicePort: 443
執(zhí)行文件,創(chuàng)建ingress
kubectl apply -f dashboard-ingress.yaml
去域名解析網(wǎng)站���,創(chuàng)建域名,并指向ALB的DNS
使用https協(xié)議訪問域名
輸入上一章節(jié)中獲取Dashboard的token令牌即可登錄
到此�,完成EKS集群的搭建����,Dashobard部署,Ingress部署��,并實(shí)現(xiàn)了外網(wǎng)訪問Dashboard�。
