通过 Amazon EKS 开始使用 Amazon Fargate - Amazon EKS
确保现有节点可以与 Fargate pods 进行通信创建 Fargate pod 执行角色为您的集群创建 Fargate 配置文件更新 CoreDNS后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

通过 Amazon EKS 开始使用 Amazon Fargate

本主题描述如何通过 Amazon EKS 集群开始在 Amazon Fargate 上运行 pods。

如果使用 CIDR 块限制对集群的公有端点的访问,建议您还启用私有端点访问。通过这种方式,Fargate pods 可以与集群通信。在未启用私有端点的情况下,您指定用于公有访问的 CIDR 块必须包含来自 VPC 的出站源。有关更多信息,请参阅Amazon EKS 集群端点访问控制

先决条件

现有集群。Amazon EKS 上的 Amazon Fargate 在除 Amazon GovCloud(美国东部)和 Amazon GovCloud(美国西部)以外的所有 Amazon EKS 区域推出。如果您还没有 Amazon EKS 集群,请参阅 开始使用 Amazon EKS

确保现有节点可以与 Fargate pods 进行通信

如果您使用的是没有节点的新集群,或是只有托管节点组的集群,可以跳至 创建 Fargate pod 执行角色

假设您正在使用已有关联节点的现有集群。确保这些节点上的 pods 可以与 Fargate 上运行的 pods 自由通信。Fargate 上运行的 Pods 会自动配置为为与这些节点关联的集群使用集群安全组。确保集群中的任何现有节点都可以向集群安全组发送流量以及从中接收流量。托管节点组 也自动配置为使用集群安全组,这样无需修改或检查它们是否具备此兼容性。

针对已使用 eksctl 或者 Amazon EKS 管理 Amazon CloudFormation 模板创建的现有节点组,您可以手动将集群安全组添加到节点。或者,您也可以修改节点组的 Auto Scaling 组启动模板,以便将集群安全组附加到实例。想要了解更多有关信息,请参阅 Amazon VPC 用户指南中的更改实例的安全组主题

您可以在 Amazon Web Services Management Console 中集群的 Networking(联网)部分下,检查您集群的安全组。或者,您可以使用下面的 Amazon CLI 命令进行这项操作。使用此命令时,请将 my-cluster 替换为您的集群名称。

aws eks describe-cluster --name my-cluster --query cluster.resourcesVpcConfig.clusterSecurityGroupId

创建 Fargate pod 执行角色

当您的集群在 Amazon Fargate 上创建 pods 时,在 Fargate 基础设施上运行的组件必须代表您调用 Amazon API。Amazon EKS pod 执行角色提供执行此操作的 IAM 权限。要创建 Amazon Fargate pod 执行角色,请参阅 Amazon EKS pod 执行 IAM 角色

注意

如果您使用 --fargate 选项通过 eksctl 创建了集群,则您的集群已具有 pod 执行角色,您可以使用模式 eksctl-my-cluster-FargatePodExecutionRole-ABCDEFGHIJKL 在 IAM 控制台中找到它。同样,如果您使用 eksctl 创建 Fargate 配置文件,则 eksctl 会创建您的 pod 执行角色(如果尚未创建)。

为您的集群创建 Fargate 配置文件

您必须先定义一个 Fargate 配置文件,以指定在启动时哪些 pods 使用 Fargate,然后才能安排在集群中的 Fargate 上运行的 pods。有关更多信息,请参阅Amazon Fargate 配置文件

注意

如果您使用 --fargate 选项通过 eksctl 创建了集群,则已经为您的集群创建了 Fargate 配置文件,而且其包含 kube-systemdefault 命名空间中所有 pods 的选择器。使用以下程序为您想要用于 Fargate 的任何其他命名空间创建 Fargate 配置文件。

您可以使用 eksctl 或 Amazon Web Services Management Console 创建 Fargate 配置文件。

eksctl

此过程需要 eksctl 版本 0.114.0 或更高版本。可以使用以下命令来查看您的版本:

eksctl version

有关如何安装或升级 eksctl 的说明,请参阅 安装或更新 eksctl

利用 eksctl 创建 Fargate 配置文件

使用以下 eksctl 命令创建 Fargate 配置文件,并将所有 example value 替换为您自己的值。您需要指定命名空间。但是,--labels 选项不是必选。

eksctl create fargateprofile \
    --cluster my-cluster \
    --name my-fargate-profile \
    --namespace my-kubernetes-namespace \
    --labels key=value

您可以将某些通配符用于 my-kubernetes-namespacekey=value 标签。有关更多信息,请参阅Fargate 配置文件通配符

Amazon Web Services Management Console

使用 Amazon Web Services Management Console 为集群创建 Fargate 配置文件

  1. 从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home#/clusters

  2. 选择要为其创建 Fargate 配置文件的集群。

  3. 请选择 Compute(计算)选项卡。

  4. Fargate profiles(Fargate 配置文件)下,选择 Add Fargate profile(添加 Fargate 配置文件)

  5. Configure Fargate profile(配置 Fargate 配置文件)页面上,执行以下操作:

    1. 对于 Name(名称),为 Fargate 配置文件输入名称。名称必须唯一。

    2. 对于 Pod execution role(容器组(pod)执行角色),选择要用于您的 Fargate 配置文件的 pod 执行角色。将仅显示具有 eks-fargate-pods.amazonaws.com 服务委托人的 IAM 角色。如果您未看到列出的任何角色,则必须创建一个角色。有关更多信息,请参阅Amazon EKS pod 执行 IAM 角色

    3. 选择 Subnets(子网)下拉列表并取消选择名称中带有 Public 的所有子网。Fargate 上运行的 pods 仅支持私有子网。

    4. 对于 Tags(标签),您可以自行选择是否为 Fargate 配置文件添加标签。这些标签不会传播到与配置文件关联的其他资源,如 pods。

    5. 选择 Next (下一步)

  6. Configure pod selection(配置选择)页面上,请执行以下操作:

    1. 对于 Namespace(命名空间),输入与 pods 匹配的命名空间。

      • 您可以使用匹配的特定命名空间,例如 kube-systemdefault

      • 您可以使用某些通配符(例如 prod-*)以匹配多个命名空间(例如,prod-deploymentprod-test)。有关更多信息,请参阅Fargate 配置文件通配符

    2. (可选)将 Kubernetes 标签添加到选择器中。特别是将它们添加到指定命名空间中的 pods 需要匹配的那个。

      • 您可以将标签 infrastructure: fargate 添加到选择器中,以便只有指定命名空间中也具有 infrastructure: fargate Kubernetes 标签的 pods 与选择器匹配。

      • 您可以使用某些通配符(例如 key?: value?)以匹配多个命名空间(例如,keya: valueakeyb: valueb)。有关更多信息,请参阅Fargate 配置文件通配符

    3. 选择 Next (下一步)

  7. Review and create(查看和创建)页面上,查看 Fargate 配置文件的信息,然后选择 Create(创建)

更新 CoreDNS

预设情况下,CoreDNS 配置为在 Amazon EKS 集群的 Amazon EC2 基础设施上运行。如果在集群的 Fargate 上运行 pods,请完成以下步骤。

注意

如果使用 --fargate 选项用 eksctl 创建集群,则可以跳至 后续步骤

  1. 使用以下命令为 CoreDNS 创建 Fargate 配置文件。将 my-cluster 替换为您的集群名称,将 111122223333 替换为您的账户 ID,将 AmazonEKSFargatePodExecutionRole 替换为您的 pod 执行角色名称,并将 000000000000000100000000000000020000000000000003 替换为您的私有子网 ID。如果没有 pod 执行角色,则必须首先创建一个

    重要

    角色 ARN 不能包含路径。角色 ARN 的格式必须为 arn:aws:iam::111122223333:role/role-name。有关更多信息,请参阅aws-auth ConfigMap 不授予对集群的访问权限

    aws eks create-fargate-profile \
    --fargate-profile-name coredns \
    --cluster-name my-cluster \
    --pod-execution-role-arn arn:aws:iam::111122223333:role/AmazonEKSFargatePodExecutionRole \
    --selectors namespace=kube-system,labels={k8s-app=kube-dns} \
    --subnets subnet-0000000000000001 subnet-0000000000000002 subnet-0000000000000003

  2. 运行下面的命令从 CoreDNS pods 中删除 eks.amazonaws.com/compute-type : ec2 注释。

    kubectl patch deployment coredns \
    -n kube-system \
    --type json \
    -p='[{"op": "remove", "path": "/spec/template/metadata/annotations/eks.amazonaws.com~1compute-type"}]'

后续步骤

  • 您可以开始使用以下工作流迁移现有应用程序来在 Fargate 上运行现有应用程序。

    1. 创建 Fargate 配置文件,该配置文件与您的应用程序的 Kubernetes 命名空间和 Kubernetes 标签相匹配。

    2. 删除并重新创建所有现有的 pods,以便可以在 Fargate 上安排它们。例如,以下命令触发 coredns 部署的推广。您可以修改命名空间和部署类型以更新特定 pods。

      kubectl rollout restart -n kube-system deployment coredns

  • 部署 Amazon EKS 上的应用程序负载均衡 以允许在 Fargate 上运行的 pods 的入口对象。

  • 您可以使用 Vertical Pod Autoscaler 为 Fargate pods 设置正确的初始 CPU 和内存大小,然后使用 Horizontal Pod Autoscaler 来扩展这些 pods。如果您希望 Vertical Pod Autoscaler 自动将 pods 重新部署到具有更高 CPU 和内存组合的 Fargate,请将 Vertical Pod Autoscaler 的模式设置为 AutoRecreate。这是为了确保正确的功能。有关更多信息,请参阅 GitHub 上的 Vertical Pod Autoscaler 文档。

  • 您可以按照这些说明设置 Amazon Distro for OpenTelemetry (ADOT) 收集器,用于监控应用程序。