[k8s novice x JAWSコンテナ]Kubernetes Wakaran Tokyo #3 EKS Hands-on 解説

Transcript

1. [k8s novice x JAWSコンテ ナ]Kubernetes Wakaran Tokyo #3 EKS Hands-on

   解説

2. 全体アーキテクチャー

3. EKSのアーキテクチャー JAWS-UG コンテナ支部 #27 EKSワークショップ ハンズオン

4. VPC Module • VPCとNAT gatewayを作成 • AWS Load Balancer Controller経由でLBを作成す

   る場合、下記タグを付与することでサブネットID の指定が不要になる ◦ kubernetes.io/role/elb=1 ◦ kubernetes.io/role/internal-elb=1 Network Load Balancers で TCP および UDP トラフィックをルーティングする

5. EKS Module • EKSクラスターとNodeGroupを作成 • cluster_endpoint_public_acces=trueなので、コ ントロールプレーンにインターネット経由でアク セス可能 ◦ 下記のような設定も可能

   ▪ VPC内からのアクセスに絞る ▪ パブリックかつIP制限 • (実は)全く同じ設定なので、NodeGroupを2つ作成 する意味はない ◦ 下記のような要件で分けることが多い ▪ スポットインスタンスを利用 ▪ PodをデプロイするAZを明示的に指定 • KarpenterやEKS AutoModeでは、Nodeが足りな くなった際に直接EC2が登録される

6. コントロールプレーンへの認証について aws eks update-kubeconfig --name <クラスター名> EKSクラスターへ「kubectl」コマンドでアクセスする際の認証・認可の仕組みと設定 | DeveloperIO kubeconfig

   ファイルを自動生成 aws-authと呼ばれる ConfigMapを触る必要あり

7. aws-auth クラスター作成者は設定不要でAdmin相当

8. EKSアクセスエントリ A deep dive into simplified Amazon EKS access management

   controls EKSの設定で完結

9. EKSアクセスエントリ EKS APIとConfigMapに変更可能

10. EKSアクセスエントリ IAMプリンシパルと プリセットされたポリシーを紐づけ

11. AWS Load Balancer Controller

12. AWS Load Balancer Controller • マニフェストファイル適用の結果、AWS Load Balancer ControllerがNLBを作成してくれる •

    Ingressリソースを作成して、ALBを作成する ことも可能 • LBの詳細な設定はannotationsで実施可能 ◦ Annotations | AWS Load Balancer Controller

13. IRSA(IAM Roles for Service Accounts) 詳解: IAM Roles for Service

    Accounts eksctlで設定を行っている eksctl utils associate-iam-oidc-provider eksctl create iamserviceaccount

14. IRSA(IAM Roles for Service Accounts) 下記作業が必要 • OIDCプロバイダーの作成 • Service

    Accountの作成 ◦ annotationsの追加が必要 • IAMロールの作成 • Service Accountを指定してPod作成

15. EKS Pod Identity Service AccountとIAMロールを指定するだけ

16. aws-auth、アクセスエントリ、IRSA、Pod Identityの整理 権限を与える対象 以前からの方式(今回はこちら) 新しい方式 Kubernetesを扱うユーザー aws-auth アクセスエントリ Pod IRSA

    Pod Identity