启动自行管理的 Windows 节点 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

启动自行管理的 Windows 节点

本主题介绍了如何启动向 Amazon EKS 集群注册的 Windows 节点的自动扩缩组。在这些节点加入集群后,您可以向其部署 Kubernetes 应用程序。

重要
  • Amazon EKS 节点是标准的 Amazon EC2 实例,您需要基于常规的 Amazon EC2 实例价格为其付费。有关更多信息,请参阅 Amazon EC2定价

  • 您可以在 Amazon Outpost 上的 Amazon EKS 扩展集群中启动 Windows 节点,但您无法在 Amazon Outpost 上的本地集群中启动它们。有关更多信息,请参阅Amazon Outposts 上的 Amazon EKS

为集群启用 Windows 支持。我们建议您在启动 Windows 节点组之前查看重要的注意事项。有关更多信息,请参阅启用 Windows 支持

您可以通过 eksctl 或 Amazon Web Services Management Console 启动自行管理的 Windows 节点。

eksctl

要使用 eksctl 启动自行管理的 Windows 节点

此过程要求您已安装 eksctl,且您的 eksctl 版本至少为 0.114.0。可以使用以下命令来查看您的版本。

eksctl version

有关如何安装或升级 eksctl 的说明,请参阅 安装或更新 eksctl

注意

此过程仅适用于使用 eksctl 创建的集群。

  1. (可选)如果 AmazonEKS_CNI_Policy 托管 IAM policy(如果您拥有 IPv4 集群)或 AmazonEKS_CNI_IPv6_Policy(如果您拥有 IPv6 集群时自行创建)附加到 Amazon EKS 节点 IAM 角色,我们建议将其分配到关联到 Kubernetes aws-node 服务账户的 IAM 角色。有关更多信息,请参阅配置 Amazon VPC CNI plugin for Kubernetes 将 IAM 角色用于服务账户

  2. 此过程假设您已经有一个现有集群。如果您还没有要将 Windows 节点组添加到的 Amazon EKS 集群和 Amazon Linux 2 节点组,则建议您遵循 开始使用 Amazon EKS – eksctl 指南操作。指南提供使用 Amazon Linux 节点创建 Amazon EKS 集群的完整演练。

    使用以下命令创建您的节点组。将 my-cluster 替换为您的集群名称。名称只能包含字母数字字符(区分大小写)和连字符。该名称必须以字母字符开头,且不得超过 100 个字符。将 ng-windows 替换为您的节点组名称。名称只能包含字母数字字符(区分大小写)和连字符。该名称必须以字母字符开头,且不得超过 100 个字符。将剩余的 example values 替换为您自己的值。

    重要

    要将节点组部署到 Amazon Outposts、Amazon Wavelength 或 Amazon 本地区域子网,在创建集群时不要传递 Amazon Outposts、Wavelength 或本地区域子网。使用配置文件创建节点组,指定 Amazon Outposts、Wavelength 或本地区域子网。有关更多信息,请参阅 eksctl 文档中的从配置文件创建节点组Config 文件架构

    注意

    Amazon EKS 优化版 Windows AMI 可配置为使用 containerd 作为运行时。当使用 eksctl 启动 Windows 节点时,在节点组配置中将 containerRuntime 指定为 containerd。有关更多信息,请参阅本用户指南中的 启用 containerd 运行时间引导标记eksctl 文档中的定义容器运行时region-code 替换为集群所在的 Amazon Web Services 区域。

    eksctl create nodegroup \ --region region-code \ --cluster my-cluster \ --name ng-windows \ --node-type t2.large \ --nodes 3 \ --nodes-min 1 \ --nodes-max 4 \ --managed=false \ --node-ami-family WindowsServer2019FullContainer
    注意
    • 如果节点无法加入集群,请参阅《故障排除指南》中的 节点未能加入集群

    • 要查看 eksctl 命令可用选项,请输入以下命令。

      eksctl command -help

    输出示例如下。创建节点时会输出几行。输出的最后几行类似于以下示例行。

    [✔] created 1 nodegroup(s) in cluster "my-cluster"
  3. (可选)部署示例应用程序以测试集群和 Windows 节点。

  4. 如果满足以下条件,我们建议阻止容器组(pod)访问 IMDS:

    • 您计划将 IAM 角色分配到所有 Kubernetes 服务账户,以便容器组(pod)只具有他们所需的最低权限。

    • 集群中没有任何容器组(pod)需要出于其他原因(例如检索当前 Amazon Web Services 区域)访问 Amazon EC2 实例元数据服务(IMDS)。

    有关更多信息,请参阅限制对分配给工作节点的实例配置文件的访问

Amazon Web Services Management Console

先决条件

步骤 1:要使用 Amazon Web Services Management Console 启动自行管理 Windows 节点

  1. 等待集群状态显示为 ACTIVE。如果在集群处于活动状态之前启动节点,则节点将无法向集群注册,您需要重新启动节点。

  2. 打开 Amazon CloudFormation 控制台:https://console.aws.amazon.com/cloudformation

  3. 选择 Create stack(创建堆栈)。

  4. 对于 Specify template(指定模板),选择 Amazon S3 URL,然后复制以下 URL,将其粘贴到 Amazon S3 URL,然后选择 Next(下一步)两次。

    https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/cloudformation/2020-10-29/amazon-eks-windows-nodegroup.yaml
  5. Quick create stack(快速创建堆栈)页面上,相应地填写以下参数:

    • 堆栈名称:为 Amazon CloudFormation 堆栈选择堆栈名称。例如,您可以将其命名为 my-cluster-nodes

    • ClusterName:输入您在创建 Amazon EKS 集群时使用的名称。

      重要

      此名称必须与 第 1 步:创建 Amazon EKS 集群 中使用的名称完全匹配。否则,您的节点无法加入群集。

    • ClusterControlPlaneSecurityGroup:从您在创建 VPC 时生成的 Amazon CloudFormation 输出中,选择安全组。

      以下步骤显示了检索适用组的一种方法。

      1. 从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home#/clusters

      2. 选择集群的名称。

      3. 选择 Networking(联网)选项卡。

      4. ClusterControlPlaneSecurityGroup 下拉列表中选择时使用 Additional security groups(其他安全组)值作为参考。

    • NodeGroupName:输入节点组的名称。稍后您可以使用此名称来标识为您的节点创建的弹性伸缩节点组。名称只能包含字母数字字符(区分大小写)和连字符。该名称必须以字母字符开头,且不得超过 100 个字符。

    • NodeAutoScalingGroupMinSize:输入您的节点 Auto Scaling 组可缩减到的最小节点数。

    • NodeAutoScalingGroupDesiredCapacity:输入创建堆栈时要扩展到的所需节点数目。

    • NodeAutoScalingGroupMaxSize:输入您的节点 Auto Scaling 组可横向扩展到的最大节点数。

    • NodeInstanceType:选择节点的实例类型。有关更多信息,请参阅选择 Amazon EC2 实例类型

      注意

      GitHub 上的 vpc_ip_resource_limit.go 中列出了 Amazon VPC CNI plugin for Kubernetes 最新版本支持的实例类型。您可能需要更新 CNI 版本以使用最新的受支持实例类型。有关更多信息,请参阅更新 Amazon VPC CNI plugin for Kubernetes 自行管理的附加组件

    • NodeImageIdSSMParam:预先填充了当前推荐的 Amazon EKS 优化版 Windows Core AMI ID 的 Amazon EC2 Systems Manager 参数。要使用完整版本的 Windows,请将 Core 替换为 Full

    • NodeImageId:(可选)如果您使用自定义 AMI(而不是 Amazon EKS 优化版 AMI),则输入 Amazon Web Services 区域的节点 AMI ID。如果您为此字段指定值,它会覆盖 NodeImageIdSSMParam 字段中的任意值。

    • NodeVolumeSize:指定您的节点的根卷大小(以 GiB 为单位)。

    • KeyName:输入 Amazon EC2 SSH 密钥对的名称,您可使用该密钥对来在节点启动后使用 SSH 连接到这些节点。如果还没有 Amazon EC2 密钥对,可以在 Amazon Web Services Management Console 中创建一个。有关更多信息,请参阅 Windows 实例 Amazon EC2 用户指南中的 Amazon EC2 密钥对

      注意

      如果您不在此处提供密钥对,Amazon CloudFormation 堆栈创建将失败。

    • BootstrapArguments:指定要传递给节点引导脚本的所有可选参数,如使用 -KubeletExtraArgs 的其他 kubelet 实际参数。

      注意

      您可以配置 Amazon EKS 优化版 Windows AMI 使用 containerd 作为运行时。使用 Amazon CloudFormation 模板来创建 Windows 节点时,请在引导参数中指定 -ContainerRuntime containerd 以启用 containerd 运行时。有关更多信息,请参阅启用 containerd 运行时间引导标记

    • DisableIMDSv1:预设情况下,每个节点支持实例元数据服务版本 1 (IMDSv1) 和 IMDSv2。您可以禁用 IMDSv1。要防止节点组中的未来节点和 pods 使用 MDSv1,请将 DisableIMDSv1 设置为 true(真)。有关 IMDS 的更多信息,请参阅配置实例元数据服务

    • VpcId:选择创建的 VPC 的 ID。

    • NodeSecurityGroups:选择在您创建 VPC 时为您的 Linux 节点组创建的安全组。如果您的 Linux 节点附加了多个安全组,请指定所有安全组。例如,如果 Linux 节点组是使用创建的 eksctl

    • 子网:选择创建的子网。如果您使用 为 Amazon EKS 集群创建 VPC 中的步骤创建了 VPC,则在 VPC 中仅指定私有子网以供您的节点启动到其中。

      重要
      • 如果其中的任何子网是公有子网,则其必须启用自动公有 IP 地址分配设置。如果没有为该公有子网启用该设置,则您部署到该公有子网的任何节点都不会分配到公有 IP 地址,也无法与集群或其他 Amazon 服务进行通信。如果子网是在 2020 年 3 月 26 日之前使用任一 Amazon EKS Amazon CloudFormation VPC 模板部署的,或者是使用 eksctl 部署的,则会为这些公有子网禁用自动公有 IP 地址分配。有关如何为子网启用公有 IP 地址分配的信息,请参阅修改子网的公有 IPv4 寻址属性。如果节点部署到私有子网,则可以通过 NAT 网关与集群和其他 Amazon 服务进行通信。

      • 如果子网没有 Internet 访问权限,请确保您了解 私有集群要求 中的注意事项和额外步骤。

      • 如果您选择 Amazon Outposts、Wavelength 或本地区域子网,则这些子网不得在您创建集群时就已传入。

  6. 确认堆栈可创建 IAM 资源,然后选择 Create stack(创建堆栈)

  7. 完成创建堆栈后,在控制台中选中它,然后选择 Outputs(输出)

  8. 记录已创建的节点组的 NodeInstanceRole。您在配置 Amazon EKS Windows 节点时需要此值。

步骤 2:使节点能够加入集群

  1. 下载、编辑和应用 Amazon IAM 身份验证器配置映射。

    1. 下载配置映射:

      curl -o aws-auth-cm-windows.yaml https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/cloudformation/2020-10-29/aws-auth-cm-windows.yaml
    2. 使用首选文本编辑器打开 文件。将 ARN of instance role (not instance profile) of **Linux** nodeARN of instance role (not instance profile) of **Windows** node 代码段替换为您为 Linux 和 Windows 节点记录的 NodeInstanceRole 值,然后保存该文件。

      重要
      • 请勿修改此文件中的任何其他行。

      • 不要对 Windows 和 Linux 节点使用相同的 IAM 角色。

      apiVersion: v1 kind: ConfigMap metadata: name: aws-auth namespace: kube-system data: mapRoles: | - rolearn: ARN of instance role (not instance profile) of **Linux** node username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodes - rolearn: ARN of instance role (not instance profile) of **Windows** node username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodes - eks:kube-proxy-windows
    3. 应用配置。此命令可能需要几分钟才能完成。

      kubectl apply -f aws-auth-cm-windows.yaml
      注意

      如果您收到任何授权或资源类型错误,请参阅故障排除主题中的 未经授权或访问被拒绝 (kubectl)

      如果节点无法加入集群,请参阅《故障排除指南》中的 节点未能加入集群

  2. 查看节点的状态并等待它们达到 Ready 状态。

    kubectl get nodes --watch
  3. (可选)部署示例应用程序以测试集群和 Windows 节点。

  4. (可选)如果 AmazonEKS_CNI_Policy 托管 IAM policy(如果您拥有 IPv4 集群)或 AmazonEKS_CNI_IPv6_Policy(如果您拥有 IPv6 集群时自行创建)附加到 Amazon EKS 节点 IAM 角色,我们建议将其分配到关联到 Kubernetes aws-node 服务账户的 IAM 角色。有关更多信息,请参阅配置 Amazon VPC CNI plugin for Kubernetes 将 IAM 角色用于服务账户

  5. 如果满足以下条件,我们建议阻止容器组(pod)访问 IMDS:

    • 您计划将 IAM 角色分配到所有 Kubernetes 服务账户,以便容器组(pod)只具有他们所需的最低权限。

    • 集群中没有任何容器组(pod)需要出于其他原因(例如检索当前 Amazon Web Services 区域)访问 Amazon EC2 实例元数据服务(IMDS)。

    有关更多信息,请参阅限制对分配给工作节点的实例配置文件的访问