通过 Amazon EKS 开始使用 Amazon Fargate
此功能在 Amazon Web Services 区域(中国)不可用。
本主题可帮助您开始在 Amazon EKS 集群的 Amazon Fargate 上运行 Pod。
如果您使用 CIDR 块限制对集群的公有端点的访问,建议您还启用私有端点访问,以便 Fargate Pod 可以与集群进行通信。在未启用私有终端节点的情况下,您指定用于公有访问的 CIDR 块必须包含来自 VPC 的出口源。有关更多信息,请参阅 Amazon EKS 集群端点访问控制。
先决条件
现有集群。AmazonAmazon EKS 上的 Fargate 在除中国(北京)、中国(宁夏)、Amazon GovCloud(美国东部)和 Amazon GovCloud(美国西部)以外的所有 Amazon EKS 区域推出。如果您还没有 Amazon EKS 集群,请参阅 开始使用 Amazon EKS。
确保现有节点可以与 Fargate Pod 进行通信
如果您使用的是没有节点的新集群,或是只有托管节点组的集群,可以跳至 创建 Fargate Pod 执行角色。
假设您正在使用已有关联节点的现有集群。您应确保这些节点上的容器组可以与 Fargate 上运行的容器组自由通信。在 Fargate 上运行的 Pod 会自动配置为使用与其关联的集群的集群安全组。确保集群中的任何现有节点都可以向集群安全组发送流量以及从中接收流量。托管节点组 也自动配置为使用集群安全组,这样无需修改或检查它们是否具备此兼容性。
针对已使用 eksctl
或者 Amazon EKS 管理 Amazon CloudFormation 模板创建的现有节点组,您可以手动将集群安全组添加到节点。或者,您也可以修改节点组的 Auto Scaling 组启动模板,以便将集群安全组附加到实例。想要了解更多有关信息,请参阅 Amazon VPC 用户指南中的更改实例的安全组主题。
您可以在 Amazon Web Services Management Console 中集群的 Networking(联网)部分下,检查您集群的集群安全组。或者,您可以使用下面的 Amazon CLI 命令进行这项操作。使用此命令时,请将 my-cluster
替换为您的集群名称。
aws eks describe-cluster --name
my-cluster
--query cluster.resourcesVpcConfig.clusterSecurityGroupId
创建 Fargate Pod 执行角色
当您的集群在 Amazon Fargate 上创建容器组时,在 Fargate 基础设施上运行的组件必须代表您调用 Amazon API。这是为了他们可以执行诸如从 Amazon ECR 中拉取容器镜像或将日志路由到其他 Amazon 服务的操作。Amazon EKS Pod 执行角色提供执行此操作的 IAM 权限。
如果您是使用 eksctl
选项通过 --fargate
创建了集群,那么您的集群已具有 Pod 执行角色,您可以直接跳至 为您的集群创建 Fargate 配置文件。同样,如果您使用 eksctl
创建 Fargate 配置文件,则 eksctl
会创建您的 Pod 执行角色(如果尚未创建)。
创建 Fargate 配置文件时,必须指定要用于 Pod 的 Pod 执行角色。此角色将被添加到集群的 Kubernetes 基于角色的访问控制kubelet
注册到您的 Amazon EKS 集群,以便它可以作为节点显示在您的集群中。有关更多信息,请参阅 Amazon EKS 容器执行 IAM 角色。
-
在 Fargate Pod 中运行的容器不能承担与 Pod 执行角色相关联的 IAM 权限。要授予 Fargate Pod 中的容器访问其他Amazon服务的权限,则必须使用 服务账户的 IAM 角色。
-
角色 ARN 不能包含路径。角色 ARN 的格式必须为
arn:aws:iam::
。有关更多信息,请参阅 aws-auth ConfigMap 不授予对集群的访问权限。111122223333
:role/role-name
使用 Amazon Web Services Management Console 创建 Amazon Fargate Pod 执行角色
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧导航窗格中,选择 Roles (角色)。
-
在角色页中,选择创建角色。
-
在 Select trusted entity(选择受信任的实体)页面上,执行以下操作:
-
在 Trusted entity type(受信任的实体类型)部分中,选择 Amazon Web Service。
-
从 Use cases for other Amazon Web Services(其他 Amazon Web Services 的使用案例)下拉列表中,选择 EKS。
-
选择 EKS - Fargate pod(EKS - Fargate 容器)。
选择 Next (下一步)。
-
-
在 Add permissions(添加权限)页面上,选择 Next(下一步)。
-
在 Name, review, and create(命名、查看和创建)页面中,执行以下操作:
-
对于 Role name (角色名称),为角色输入唯一名称,例如
AmazonEKSFargatePodExecutionRole
。 在 Add tags (Optional)(添加标签(可选))下,通过以键值对的形式附加标签来向角色添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 IAM 用户指南中的标记 IAM 实体。
-
选择 Create role (创建角色)。
-
为您的集群创建 Fargate 配置文件
您必须先定义一个 Fargate 配置文件,以指定 Pod 在启动时哪些 Pod 应该使用 Fargate,然后才能安排在集群中的 Fargate 上运行的 Pod。有关更多信息,请参阅 Amazon Fargate 配置文件。
如果您是使用 --fargate
选项通过 eksctl
创建的集群,那么已经为您的集群创建了 Fargate 配置文件,而且其包含 kube-system
和 default
命名空间中所有 Pod 的选择器。使用以下程序为您想要用于 Fargate 的任何其他命名空间创建 Fargate 配置文件。
您可以使用 eksctl
或 Amazon Web Services Management Console 创建 Fargate 配置文件。
此过程需要 eksctl
版本 0.84.0
或更高版本。可以使用以下命令来查看您的版本:
eksctl version
有关安装或升级 eksctl
的更多信息,请参阅 安装或升级 eksctl。
更新 CoreDNS
预设情况下,CoreDNS 配置为在 Amazon EKS 集群的 Amazon EC2 基础设施上运行。如果仅在集群的 Fargate 上运行 Pod(一组容器),请完成以下步骤。
如果使用 --fargate
选项用 eksctl
创建集群,则可以跳至 后续步骤。
为 CoreDNS 创建 Fargate 配置文件。将
my-cluster
替换为集群名称,将111122223333
替换为账户 ID,将AmazonEKSFargatePodExecutionRole
替换为容器执行角色名称,并将0000000000000001
、0000000000000002
和0000000000000003
替换为私有子网的 ID。如果没有 Pod(一组容器)执行角色,则必须先创建一个。重要 角色 ARN 不能包含路径。角色 ARN 的格式必须为
arn:aws:iam::
。有关更多信息,请参阅 aws-auth ConfigMap 不授予对集群的访问权限。111122223333
:role/role-name
aws eks create-fargate-profile \ --fargate-profile-name coredns \ --cluster-name
my-cluster
\ --pod-execution-role-arn arn:aws:iam::111122223333
:role/AmazonEKSFargatePodExecutionRole
\ --selectors namespace=kube-system,labels={k8s-app=kube-dns} \ --subnets subnet-0000000000000001
subnet-0000000000000002
subnet-0000000000000003
然后,使用下面的命令从 CoreDNS Pod 移除
eks.amazonaws.com/compute-type : ec2
注释。kubectl patch deployment coredns \ -n kube-system \ --type json \ -p='[{"op": "remove", "path": "/spec/template/metadata/annotations/eks.amazonaws.com~1compute-type"}]'
后续步骤
-
您可以开始使用以下工作流迁移现有应用程序来在 Fargate 上运行现有应用程序。
-
创建 Fargate 配置文件,该配置文件与您的应用程序的 Kubernetes 命名空间和 Kubernetes 标签相匹配。
-
删除并重新创建所有现有的 Pod,以便可以在 Fargate 上安排它们。例如,以下命令触发
coredns
部署的推广。您可以修改命名空间和部署类型以更新特定 Pod。kubectl rollout restart -n
kube-system
deployment coredns
-
-
部署 Amazon EKS 上的应用程序负载均衡 以允许在 Fargate 上运行的 Pod 的入口对象。
-
您可以使用 Vertical Pod Autoscaler 最初针对您的 Fargate Pod 合理调整 CPU 和内存的大小,然后使用 Horizontal Pod Autoscaler 来扩展这些 Pod。如果您希望 Vertical Pod Autoscaler 自动将 Pod 重新部署到具有更大 CPU 和内存组合的 Fargate,请将 Vertical Pod Autoscaler 的模式设置为
Auto
或Recreate
。这是为了确保正确的功能。有关更多信息,请参阅 GitHub 上的 Vertical Pod Autoscaler文档。 -
您可以依照这些说明设置 Amazon Distro for OpenTelemetry
(ADOT) 收集器,用于监控应用程序。