指标帮助程序

CNI 指标帮助程序是一种工具，您可以用来抓取网络接口和 IP 地址信息、在集群级别聚合指标以及将指标推送到 Amazon CloudWatch。要详细了解指标帮助程序，请参阅 GitHub 上的 cni-metrics-helper。

在管理 Amazon EKS 集群时，您可能希望了解已经分配了多少个 IP 地址以及还有多少个地址可用。CNI 指标帮助程序可帮助您：

跟踪这些指标随时间的变化
诊断和排除与 IP 分配和回收相关的问题
提供容量规划见解

预置了节点时，CNI 插件会自动从节点的子网向主网络接口 (eth0) 分配辅助 IP 地址池。此 IP 地址池称为暖池，其大小由节点的实例类型确定。例如，一个 c4.large 实例的每个接口可以支持三个网络接口和九个 IP 地址。可供指定 pod 使用的 IP 地址数量比最大值（十个）少一个，因为其中一个 IP 地址预留给弹性网络接口自身。有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的每个实例类型的每个网络接口的 IP 地址。

在 IP 地址池耗尽时，该插件会自动附加另一个弹性网络接口到实例，并将另外一组辅助 IP 地址分配到接口。此过程将继续，直到节点不再支持额外的弹性网络接口。

系统为您的集群收集以下指标并导出到 CloudWatch：

集群可以支持的网络接口的最大数量
已分配到 pods 的网络接口数
当前分配给 pods 的 IP 地址
IP 地址总数以及最大可用 IP 地址数
ipamD 错误数

先决条件

集群的现有 Amazon Identity and Access Management (IAM) OpenID Connect (OIDC) 提供程序。要确定您是否已经拥有一个或是否要创建一个，请参阅为集群创建 IAM OIDC 提供商。
您的设备或 Amazon CloudShell 上安装并配置了 2.8.0 版或更高版本，或 1.25.87 版或更高版本的 Amazon CLI。您可以使用 aws --version | cut -d / -f2 | cut -d ' ' -f1 检查您的当前版本。软件包管理器（如 yum、apt-get 或适用于 macOS 的 Homebrew）通常比 Amazon CLI 的最新版本落后几个版本。要安装最新版本，请参阅《Amazon Command Line Interface 用户指南》中的安装、更新和卸载 Amazon CLI 和使用 aws configure 进行快速配置。Amazon CloudShell 中安装的 Amazon CLI 版本也可能比最新版本落后几个版本。要对其进行更新，请参阅《Amazon CloudShell 用户指南》中的将 Amazon CLI 安装到您的主目录。
您的设备或 Amazon CloudShell 上安装了 kubectl 命令行工具。该版本可以与集群的 Kubernetes 版本相同，或者最多早于或晚于该版本一个次要版本。例如，如果您的集群版本为 1.22，则可以将 kubectl 版本 1.21、1.22 或 1.23 用于它。要安装或升级 kubectl，请参阅安装或更新 kubectl。
如果您的集群为 1.21 版本或更高版本，确保您的 Amazon VPC CNI plugin for Kubernetes、kube-proxy 和 CoreDNS 附加组件为服务账户令牌中列出的最低版本。

部署 CNI 指标帮助程序

创建 IAM policy 和角色并部署指标帮助程序。

部署 CNI 指标帮助程序

创建一项 IAM policy，该策略需向 CNI 指标帮助程序授予 cloudwatch:PutMetricData 权限，以便向 CloudWatch 发送指标数据。

要创建名为 cni-metrics-helper-policy.json 的文件，请运行以下命令。


cat >cni-metrics-helper-policy.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*"
        }
    ]
}
EOF

创建一项名为 AmazonEKSVPCCNIMetricsHelperPolicy 的 IAM policy。


aws iam create-policy --policy-name AmazonEKSVPCCNIMetricsHelperPolicy \
    --description "Grants permission to write metrics to CloudWatch" \
    --policy-document file://cni-metrics-helper-policy.json

创建 IAM 角色并向其附加此 IAM policy。创建 Kubernetes 服务账户。用 IAM 角色 ARN 对 Kubernetes 服务账户进行注释，用 Kubernetes 服务账户名称对 IAM 角色进行注释。您可以使用 eksctl 或 Amazon CLI 创建角色。

eksctl

运行以下命令以创建 IAM 角色。请将 my-cluster 替换为集群名称，将 111122223333 替换为账户 ID，并将 region-code 替换为集群所在的 Amazon Web Services 区域。


eksctl create iamserviceaccount \
    --name cni-metrics-helper \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name "AmazonEKSVPCCNIMetricsHelperRole" \
    --attach-policy-arn arn:aws:iam::111122223333:policy/AmazonEKSVPCCNIMetricsHelperPolicy \
    --approve

Amazon CLI

确定集群的 OIDC 提供商 URL。将 my-cluster 替换为您的集群名称。如果命令的输出为 None，请查看先决条件。


aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

输出示例如下。


oidc.eks.region-code.amazonaws.com.cn/id/EXAMPLED539D4633E53DE1B71EXAMPLE

创建 IAM 角色，从而向 Kubernetes 服务账户授予 AssumeRoleWithWebIdentity 操作权限。

将以下内容复制到您的设备。请将 111122223333 替换为您的账户 ID。将 EXAMPLED539D4633E53DE1B71EXAMPLE 和 region-code 替换为在上一步中返回的值。替换值后，运行命令以创建一个名为 trust-policy.json 的文件。


cat >trust-policy.json <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com.cn/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "oidc.eks.region-code.amazonaws.com.cn/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
          "oidc.eks.region-code.amazonaws.com.cn/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:cni-metrics-helper"
        }
      }
    }
  ]
}
EOF

创建角色。


aws iam create-role \
  --role-name AmazonEKSVPCCNIMetricsHelperRole \
  --assume-role-policy-document file://"trust-policy.json"

向角色附加 IAM policy。请将 111122223333 替换为您的账户 ID。


aws iam attach-role-policy \
  --policy-arn arn:aws:iam::111122223333:policy/AmazonEKSVPCCNIMetricsHelperPolicy \
  --role-name AmazonEKSVPCCNIMetricsHelperRole

使用以下命令将 CNI 指标帮助程序的推荐版本添加到您的集群中。

重要
您每次只更新一个次要版本。例如，如果您的当前版本为 1.9，并且您想要更新到 1.11，则应首先更新到 1.10，再更新到 1.11，方法是在以下命令更改版本号。
推荐版本和最新版本适用于 Amazon EKS 支持的所有 Kubernetes 版本。

中国（北京）(cn-north-1) 或中国（宁夏）(cn-northwest-1)
```
kubectl apply -f https://raw.githubusercontent.com/aws/amazon-vpc-cni-k8s/v1.11.4/config/master/cni-metrics-helper-cn.yaml
```
用之前创建的 IAM 角色的 ARN 注释上一步创建的 cni-metrics-helper Kubernetes 服务账户。将 111122223333 替换为账户 ID，将 my-cluster 替换为集群名称，将 AmazonEKSVPCCNIMetricsHelperRole 替换为上一步创建的 IAM 角色名称。
```
kubectl annotate serviceaccount cni-metrics-helper \
    -n kube-system \
    eks.amazonaws.com/role-arn=arn:aws:iam::111122223333:role/AmazonEKSVPCCNIMetricsHelperRole
```
（可选）配置您的 Kubernetes 服务账户使用的 Amazon Security Token Service 端点类型。有关更多信息，请参阅配置服务账户的 Amazon Security Token Service 端点。

重新启动 cni-metrics-helper 部署。


kubectl rollout restart \
    deployment cni-metrics-helper \
    -n kube-system

创建指标控制面板

部署 CNI 指标帮助程序之后，您可在 CloudWatch 控制台中查看 CNI 指标。本主题可帮助您创建控制面板来查看集群的 CNI 指标。

创建 CNI 指标面板

通过以下网址打开 CloudWatch 控制台：https://console.aws.amazon.com/cloudwatch/。
请在左侧导航窗格中，选择 Metrics（指标），然后选择 All metrics（全部指标）。
在 Custom Namespaces（自定义命名空间）中选择 Kubernetes。
选择 CLUSTER_ID。
在 Metrics（指标）选项卡上，选择要添加到控制面板的指标。
在控制台右上方，选择 Actions（操作），然后选择 Add to dashboard（添加到控制面板）。
在 Select a dashboard（选择控制面板）部分选择 Create new（新建），为控制面板输入一个名称（例如 EKS-CNI-metrics），然后选择 Create（创建）。
在 Widget type（小组件类型）部分选择 Number（数字）。
在 Customize widget title（自定义小组件标题）部分中，输入控制面板标题的逻辑名称，例如 EKS CNI metrics。
选择 Add to dashboard（添加到控制面板）完成操作。现在，您的 CNI 指标已添加到您可以监控的控制面板。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

pods 的多个网络接口