本教程適用範圍
- 在AWS上使用EKS服務部署k8s Dashboard,並通過ALB訪問
- EKS叢集計算節點採用託管EC2,並使用啟動模板。
- 使用AWS海外賬號,us-west-2區域
- 使用賬號預設vpc(172.31.0.0/16)和子網
- 使用awscli建立而不是eksctl
- 對AWS有一定了解,不適用於AWS小白
- 文中程式碼,漢字部分需要修改成自己的資訊
涉及到知識點
- AWS服務:EC2,IAM,EKS,VPC,ACM,ALB,SecurityGroup, awscli, eksctl
- K8s: Service, Pod, Ingress, Node
必備條件
- 有一臺用於操作的伺服器(本教程使用ec2: ubuntu 18,EKS預設將叢集最大許可權賦予建立叢集的使用者,所以不建議使用控制檯建立叢集,尤其是對於SSO登入使用者)
- 擁有AWS administrator許可權(本教程將許可權賦予伺服器)
- 擁有域名管理許可權(能夠建立並解析域名)
- 擁有域名證書(本教程使用ACM證書)
詳細步驟
安裝kubectl,awscli
# install kubectl
wget https://dl.k8s.io/release/v1.22.0/bin/linux/amd64/kubectl
chmod 755 kubectl
mv kubectl /usr/bin
# install awscli
pip3 install awscli
# install eksctl
wget https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gz
tar -xvf eksctl_Linux_amd64.tar.gz
chmod 755 eksctl
mv eksctl /usr/bin
輸入如下表示安裝完成
在EKS上啟動一個叢集
使用aws控制檯,建立eks-cluster角色,策略如下:
建立eks-cluster安全組
將需要使用的子網新增如下標籤(有了此標籤,才能使用alb)
建立叢集
aws eks create-cluster \
--region us-west-2 \
--name zhenglisai \
--kubernetes-version 1.21 \
--role-arn arn:aws:iam::你的賬號ID:role/eks-cluster \
--resources-vpc-config subnetIds=subnet-cf36ca92,subnet-75866b0d,subnet-19ef9b32,securityGroupIds=sg-0daa7eabdc1f845fd
從控制檯可以看到叢集建立中
檢視叢集狀態
建立叢集計算節點例項啟動模板
在控制檯EC2中建立啟動模板,使用映象AMI:ami-0cb182e3037115aa0,根據自己需要選擇例項型別,安全組,伺服器金鑰對,啟動模板中不要設定網路介面和IAM 例項配置檔案,最重要的一步是在啟動模板最後的使用者資料中填寫:
指令碼後引數為EKS叢集名
建立叢集計算節點例項角色
建立叢集計算節點組
aws eks create-nodegroup \
--cluster-name zhenglisai \
--nodegroup-name zls-node \
--scaling-config minSize=1,maxSize=3,desiredSize=2 \
--subnets subnet-cf36ca92 subnet-75866b0d subnet-19ef9b32 \
--node-role arn:aws:iam::你的賬號ID:role/eks-demo \
--launch-template version=4,id=lt-020949e5e604df89c
配置kubectl以訪問EKS
# --name 後為叢集名
aws eks --region us-west-2 update-kubeconfig --name zhenglisai
配置完成後,訪問EKS叢集
表示完成配置,可以訪問叢集了。
檢視所有正在執行的pod
可以看到,有兩個pod沒有起來,我們看一下為什麼沒有起來
執行
kubectl get pods coredns-85d5b4454c-rkccb --namespace kube-system --output yaml
看輸出是沒有可用的計算節點,說明我們上一步建立的計算節點還沒執行起來,檢視可用節點,確實沒有
等大約兩分鐘以後,再次執行,可以看到例項已經註冊到叢集了
再次檢視pod狀態,都已經執行起來了。
安裝Metric Server
這個東西主要用於叢集的彈性擴容指標和dashboard指標,不是用於監控資源!
執行部署
kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml
輸出
驗證部署是否成功
部署Dashboard
執行
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.5/aio/deploy/recommended.yaml
預設情況下,Kubernetes 控制皮膚使用者的許可權是有限的,我們建立一個超級使用者
建立一個名為eks-admin.yaml的檔案,內容為
apiVersion: v1
kind: ServiceAccount
metadata:
name: eks-admin
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
name: eks-admin
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: eks-admin
namespace: kube-system
執行此檔案
kubectl apply -f eks-admin.yaml
獲取Dashboard的token令牌,用於訪問Dashboard
kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep eks-admin | awk '{print $1}')
到此為止,已完成叢集的搭建和Dashboard的部署,但是此時只能在叢集內部訪問Dashboard,無法通過外網訪問。下一步將Dashboard介面暴露給ALB
安裝AWS負載均衡器控制器到EKS叢集
下載IAM策略
wget https://raw.githubusercontent.com/kubernetes-sigs/aws-load-balancer-controller/v2.2.0/docs/install/iam_policy.json
建立策略
aws iam create-policy \
--policy-name AWSLoadBalancerControllerIAMPolicy \
--policy-document file://iam_policy.json
建立叢集IAM OIDC身份提供商
eksctl utils associate-iam-oidc-provider --cluster zhenglisai --approve
建立k8s賬戶並關聯策略
eksctl create iamserviceaccount \
--cluster=zhenglisai \
--namespace=kube-system \
--name=aws-load-balancer-controller \
--attach-policy-arn=arn:aws:iam::你的賬號ID:policy/AWSLoadBalancerControllerIAMPolicy \
--override-existing-serviceaccounts \
--approve
安裝負載均衡器控制器
kubectl apply -k "github.com/aws/eks-charts/stable/aws-load-balancer-controller/crds?ref=master"
helm repo add eks https://aws.github.io/eks-charts
helm repo update
helm upgrade -i aws-load-balancer-controller eks/aws-load-balancer-controller \
--set clusterName=zhenglisai \
--set serviceAccount.create=false \
--set serviceAccount.name=aws-load-balancer-controller \
-n kube-system
驗證安裝是否完成
部署Ingress
建立部署檔案,dashboard-ingress.yaml,內容如下(需要修改漢字部分內容):
---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
namespace: kubernetes-dashboard
name: ingress-dashboard
annotations:
alb.ingress.kubernetes.io/load-balancer-name: zhenglisai
alb.ingress.kubernetes.io/backend-protocol: HTTPS
kubernetes.io/ingress.class: alb
alb.ingress.kubernetes.io/scheme: internet-facing
alb.ingress.kubernetes.io/target-type: ip
alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}]'
alb.ingress.kubernetes.io/certificate-arn: 你證書的ARN,在ACM中檢視
spec:
rules:
- host: 你的域名
http:
paths:
- path: /*
backend:
serviceName: kubernetes-dashboard
servicePort: 443
執行檔案,建立ingress
kubectl apply -f dashboard-ingress.yaml
去域名解析網站,建立域名,並指向ALB的DNS
使用https協議訪問域名
輸入上一章節中獲取Dashboard的token令牌即可登入
