0
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

EKS Anywhere on vSphere

Last updated at Posted at 2021-09-13

はじめに

EKS AnywhereをvSphere上で実行してみました。ついでにGitOpsして、EKS ConnectorでAWSマネジメントコンソールに登録してみました。

Amazon EKS Anywhereとは

AmazonのEKSで利用されている、KubernetesディストリビューションであるEKS Distroをオプレミス環境で利用するためのツール。詳しくはこの辺を。

準備

最新のeksctl cliのダウンロード

curl "https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gz" \
    --silent --location \
    | tar xz -C /tmp
sudo mv /tmp/eksctl /usr/local/bin/

バージョン確認

$ eksctl version
0.66.0

anywhereサブコマンドは使えるのか?プラグインが必要

$ eksctl anywhere
"eksctl-anywhere" plugin was not found on your path

eksctl anywhereを利用するためのプラグインのインストール

export EKSA_RELEASE="0.5.0" OS="$(uname -s | tr A-Z a-z)"
curl "https://anywhere-assets.eks.amazonaws.com/releases/eks-a/1/artifacts/eks-a/v${EKSA_RELEASE}/${OS}/eksctl-anywhere-v${EKSA_RELEASE}-${OS}-amd64.tar.gz" \
    --silent --location \
    | tar xz ./eksctl-anywhere
sudo mv ./eksctl-anywhere /usr/local/bin/

anywhereサブコマンドが利用できるようになったことを確認

$ eksctl anywhere
Use eksctl anywhere to build your own self-managing cluster on your hardware with the best of Amazon EKS

Usage:
  anywhere [command]

Available Commands:
  create      Create resources
  delete      Delete resources
  generate    Generate resources
  help        Help about any command
  upgrade     Upgrade resources
  version     Get the eksctl anywhere version

Flags:
  -h, --help            help for anywhere
  -v, --verbosity int   Set the log level verbosity

Use "anywhere [command] --help" for more information about a command.

eksを作成するためのマニフェストテンプレートの作成

クラスター名を指定してeksctl anywhere generate clusterconfigを実行するとクラスターの構成情報を記述するためのコンフィグファイル(マニフェスト)が生成される。

CLUSTER_NAME=prod
eksctl anywhere generate clusterconfig $CLUSTER_NAME \
   --provider vsphere > eksa-cluster.yaml

コンフィグファイル(eksa-cluster.yaml)は以下のリソースを定義する。kind: VSphereMachineConfigが3つあるが、それぞれコントロールプレーン(Master)、ノード、etcdを構成するためのものになっている。

apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: Cluster
--
apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereDatacenterConfig
--
apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereMachineConfig
metadata:
  name: prod-cp
--
apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereMachineConfig
metadata:
  name: prod
--
apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereMachineConfig
metadata:
  name: prod-etcd

コンフィグファイルの編集

Cluster

.spec.controlPlaneConfiguration.endpoint.hostとしてKubernetes APIのIPアドレスを指定する。このIPアドレスはノードがDHCPで取得するIPアドレスと同じCIDRで、DHCPのレンジ外のものを固定IPアドレスとして指定する。

spec:
  controlPlaneConfiguration:
    endpoint:
      host: "192.168.201.100"

GitOpsを利用する場合は、specに以下を追加する。(※GitOpsConfigを別途定義する必要がある)

spec:
  gitOpsRef:
    kind: GitOpsConfig
    name: eksacl

VSphereDatacenterConfig

EKS Anywhereクラスターを作成するvSphereクラスターの情報を定義する。

apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereDatacenterConfig
metadata:
  name: prod
spec:
  datacenter: "Tanzu-DC"
  insecure: true
  network: "/Tanzu-DC/Network/eks"
  server: "tanzu-vc.example.com"
  thumbprint: ""

VSphereMachineConfig

cp, worker, etcdそれぞれに対してdatastoreresourcePoolsshAuthorizedKeysを指定する。

apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: VSphereMachineConfig
metadata:
  name: prod
spec:
  datastore: "vsanDatastore"
  diskGiB: 25
  folder: ""
  memoryMiB: 8192
  numCPUs: 2
  osFamily: bottlerocket
  resourcePool: "/Tanzu-DC/host/Tanzu-Cluster/Resources/eks"
  users:
  - name: ec2-user
    sshAuthorizedKeys:
    - ssh-rsa AAAA...

現在EKS Anywhereで利用可能なOSイメージはbottlerocketとubuntuを利用可能であるため、osFamiliyとしてどちらかを指定する。ubuntuのOVAが8.54GBであるのに対し、bottolerocketは1.27GBと非常に小さいため、クラスター構築時間を大きく短縮できる。

image.png

GitOps

GitOpsを有効化する場合は、GitOpsConfigを追加する。

apiVersion: anywhere.eks.amazonaws.com/v1alpha1
kind: GitOpsConfig
metadata:
  name: eksacl
spec:
  flux:
    github:
      branch: main
      clusterConfigPath: clusters/eksacl
      fluxSystemNamespace: flux-system
      owner: masanara
      personal: true
      repository: eksagitops

クラスター作成時にGitHubにリポジトリを作成するため、repoに対してアクセスを許可するPersonal Access Tokenを生成してEKSA_GITHUB_TOKEN環境変数として構成する。

image.png
image.png

export EKSA_GITHUB_TOKEN=ghp_MyValidPersonalAccessTokenWithRepoPermissions

GitOpsを有効化したクラスターを削除する際も、EKSA_GITHUB_TOKEN環境変数が求められる。

$ eksctl anywhere delete cluster eksacl
Error: failed to delete cluster: failed to set up git ooptions: error Git provider: github access token environment variable EKSA_GITHUB_TOKEN is invalid; could not get var from environment

vSphere環境の準備

EKSAクラスターを構成する仮想マシンはAWSが配布するOVAテンプレートを利用する。OVAテンプレートはコンテンツライブラリに登録された後、仮想マシンインベントリのTemplatesフォルダに仮想マシンテンプレートとして配置されるが、Templatesフォルダは自動的に生成されないため、あらかじめ用意しておく必要がある。

$ wget https://github.com/vmware/govmomi/releases/download/v0.26.1/govc_Linux_x86_64.tar.gz
$ tar zxvf govc_Linux_x86_64.tar.gz govc
$ mv govc /usr/local/bin
$ export GOVC_URL='tanzu-vc.example.com'
$ export GOVC_USERNAME='administrator@vsphere.local'
$ export GOVC_PASSWORD='VMware1!'
$ govc folder.create /Tanzu-DC/vm/Templates
$ govc folder.info /Tanzu-DC/vm/Templates
Name:        Templates
  Path:      /Tanzu-DC/vm/Templates
  Types:     Folder,VirtualMachine,VirtualApp
  Children:  0

クラスターの作成

vSphereクレデンシャルを環境変数として設定する

export EKSA_VSPHERE_USERNAME='administrator@vsphere.local'
export EKSA_VSPHERE_PASSWORD='VMware1!'

作成したマニフェストを利用して、クラスターの作成を実行する。GitOpsを有効にした場合、クラスター作成時にEKSA_GITHUB_TOKEN環境変数が設定されていない場合、エラーとなる。

$ eksctl anywhere create cluster -f eksa-cluster.yaml
Checking Github Access Token permissions
✅ Github personal access token has the required repo permissions
Performing setup and validations
Warning: VSphereDatacenterConfig configured in insecure mode
VSphereMachineConfig folder for control plane is not set or is empty. Will default to root vSphere folder.
VSphereMachineConfig folder for worker nodes is not set or is empty. Will default to root vSphere folder.
VSphereMachineConfig folder for etcd machines is not set or is empty. Will default to root vSphere folder.
✅ Connected to server
✅ Authenticated to vSphere
✅ Datacenter validated
✅ Network validated
✅ Datastore validated
✅ Resource pool validated
✅ Datastore validated
✅ Resource pool validated
✅ Datastore validated
✅ Resource pool validated
Creating template. This might take a while.
✅ Control plane and Workload templates validated
✅ Vsphere Provider setup is valid
✅ Flux path
Creating new bootstrap cluster
Installing cluster-api providers on bootstrap cluster
Provider specific setup
Creating new workload cluster
Installing networking on workload cluster
Installing storage class on workload cluster
Installing cluster-api providers on workload cluster
Moving cluster management from bootstrap to workload cluster
Installing EKS-A custom components (CRD and controller) on workload cluster
Creating EKS-A CRDs instances on workload cluster
Installing AddonManager and GitOps Toolkit on workload cluster
Adding cluster configuration files to Git
Enumerating objects: 76, done.
Counting objects: 100% (76/76), done.
Compressing objects: 100% (39/39), done.
Total 76 (delta 11), reused 71 (delta 6), pack-reused 0
Finalized commit and committed to local repository      {"hash": "8094dc2f18b850bfc6954dbfc5c5d20edf7c67c8"}
Writing cluster config file
Deleting bootstrap cluster
🎉 Cluster created!

クラスター作成中に指定したリポジトリに、クラスターの構成が記述されたマニフェストファイルがclusters/クラスター名/eksa-system配下に作成される。

image.png

vSphere上には以下の仮想マシンが作成される。

image.png

GitOpsの利用

GitOpsを有効化してクラスターを構成すると、flux-systemネームスペースが作成され、Fluxが利用可能な状態でクラスターが作成される。

$ kubectl get pod -n flux-system
NAME                                       READY   STATUS    RESTARTS   AGE
helm-controller-6d875c9745-rkz9g           1/1     Running   0          5h48m
kustomize-controller-74c85f9944-lhvlk      1/1     Running   0          112m
notification-controller-7c59756d9d-wlz2v   1/1     Running   0          5h48m
source-controller-65dcfdf7f7-c8dpr         1/1     Running   0          5h48m

github上のマニフェストファイルを編集してGitOpsの動きを確認してみる。

クラスターの構成変更

デフォルトEKS Anywhereのマニフェストファイルの構成では2台のワーカーで構成されている。

$ kubectl get node
NAME              STATUS   ROLES                  AGE     VERSION
192.168.201.150   Ready    control-plane,master   5h37m   v1.21.3
192.168.201.152   Ready    control-plane,master   5h33m   v1.21.3
192.168.201.38    Ready    <none>                 5h35m   v1.21.3
192.168.201.76    Ready    <none>                 5h35m   v1.21.3

eksa-systems配下のeksa-cluster.yamlファイルのワーカーノード数(.spec.workerNodeGroupConfigurations.count)を修正・コミットし、暫く待つ仮想マシンが追加され、EKSクラスターのワーカーノードが増える。

image.png

$ kubectl get node
NAME              STATUS   ROLES                  AGE     VERSION
192.168.201.150   Ready    control-plane,master   5h57m   v1.21.3
192.168.201.152   Ready    control-plane,master   5h53m   v1.21.3
192.168.201.157   Ready    <none>                 36s     v1.21.3
192.168.201.38    Ready    <none>                 5h55m   v1.21.3
192.168.201.76    Ready    <none>                 5h55m   v1.21.3
192.168.201.79    Ready    <none>                 33s     v1.21.3

リソースの作成

github上に作成されたクラスターディレクトリ内にマニフェストを作成して、githubにpushするとクラスター上のfluxが変更を検出してマニフェストの内容をクラスターに反映させる。

クラスターディレクトリ内にtestディレクトリを作成してマニフェスト(nginx.yaml)を置く。

.
└── clusters
    └── eksacl
        ├── eksa-system
        │   ├── eksa-cluster.yaml
        │   └── kustomization.yaml
        ├── flux-system
        │   ├── gotk-components.yaml
        │   ├── gotk-patches.yaml
        │   ├── gotk-sync.yaml
        │   └── kustomization.yaml
        └── test
            └── nginx.yaml

nginx.yamlは以下の通り

apiVersion: v1
kind: Namespace
metadata:
  name: test
---
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: nginx
  name: nginx
  namespace: test
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx:alpine
        name: nginx
---
apiVersion: v1
kind: Service
metadata:
  name: nginx
  namespace: test
spec:
  selector:
    app: nginx
  ports:
    - port: 80
      targetPort: 80

しばらくするとクラスターにはネームスペースが作成されて、マニフェストの内容が反映される。

$ kubectl get ns test
NAME   STATUS   AGE
test   Active   113s
$ kubectl get deploy,pod,svc -n test
NAME                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/nginx   3/3     3            3           115s

NAME                        READY   STATUS    RESTARTS   AGE
pod/nginx-cf4d5b4c8-2tghp   1/1     Running   0          115s
pod/nginx-cf4d5b4c8-8cx2n   1/1     Running   0          115s
pod/nginx-cf4d5b4c8-f2csm   1/1     Running   0          115s

NAME            TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
service/nginx   ClusterIP   10.99.191.46   <none>        80/TCP    115s

helmによるリソースの作成

fluxはhelmチャートを利用したリソースの作成も可能。helmを利用する場合は、HelmRepositoryHelmReleaseを定義する。

apiVersion: v1
kind: Namespace
metadata:
  name: podinfo
---
apiVersion: source.toolkit.fluxcd.io/v1beta1
kind: HelmRepository
metadata:
  name: podinfo
  namespace: podinfo
spec:
  interval: 1m
  url: https://stefanprodan.github.io/podinfo
---
apiVersion: helm.toolkit.fluxcd.io/v2beta1
kind: HelmRelease
metadata:
  name: podinfo
  namespace: podinfo
spec:
  interval: 5m
  chart:
    spec:
      chart: podinfo
      version: ">=5.0.0"
      sourceRef:
        kind: HelmRepository
        name: podinfo
        namespace: podinfo
      interval: 1m
  values:
    replicaCount: 3

作成したネームスペースにHelmRepositoryHelmReleaseが作成されており、helm listで追加されたパッケージを確認することが可能。

$ kubectl get ns podinfo
NAME      STATUS   AGE
podinfo   Active   85s

$ kubectl get helmrepository -n podinfo
NAME      URL                                      READY   STATUS                                                       AGE
podinfo   https://stefanprodan.github.io/podinfo   True    Fetched revision: 8411f23d07d3701f0e96e7d9e503b7936d7e1d56   95s

$ kubectl get helmrelease -n podinfo
NAME      READY   STATUS                             AGE
podinfo   True    Release reconciliation succeeded   104s
$ kubens podinfo
✔ Active namespace is "podinfo"

$ helm list
NAME    NAMESPACE       REVISION        UPDATED                                 STATUS          CHART           APP VERSION
podinfo podinfo         1               2021-09-13 09:51:04.350035442 +0000 UTC deployed        podinfo-6.0.0   6.0.0

$ kubectl get deploy,pod,svc
NAME                      READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/podinfo   5/5     5            5           2m5s

NAME                           READY   STATUS    RESTARTS   AGE
pod/podinfo-5c6c96c87b-5rfnq   1/1     Running   0          2m5s
pod/podinfo-5c6c96c87b-m648v   1/1     Running   0          2m5s
pod/podinfo-5c6c96c87b-ngxx4   1/1     Running   0          2m5s
pod/podinfo-5c6c96c87b-pbwz4   1/1     Running   0          2m5s
pod/podinfo-5c6c96c87b-ssgsr   1/1     Running   0          2m5s

NAME              TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)             AGE
service/podinfo   ClusterIP   10.96.150.177   <none>        9898/TCP,9999/TCP   2m5s

EKS Connectorの利用

プレビューリリースとして提供されているEKS Connectorを利用するとAWSマネジメントコンソールにクラスターを登録することが可能。(ドキュメント:Amazon EKS Connector)

Amzon EKS Connector Roleの作成

aws cliを利用してEKS Connectorに必要になるRole/Polciyを作成する。

aws iam create-service-linked-role --aws-service-name eks-connector.amazonaws.com

Amazon EKS Connector Agent IAM Roleの作成

以下の内容でポリシーファイルを作成

  • eks-connector-agent-trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSMAccess",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
  • eks-connector-agent-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

作成したjsonファイルを利用してEKSConnectorAgentRole/AmazonEKSConnectorAgentPolicyを作成する。

aws iam create-role \
     --role-name AmazonEKSConnectorAgentRole \
     --assume-role-policy-document file://eks-connector-agent-trust-policy.json
iam put-role-policy \
     --role-name AmazonEKSConnectorAgentRole \
     --policy-name AmazonEKSConnectorAgentPolicy \
     --policy-document file://eks-connector-agent-policy.json

クラスターの登録

EKS Connectorを利用してオンプレミスのEKSクラスターをマネジメントコンソールに登録するためには、コンソール側でクラスターを登録し、生成されたマニフェストをクラスターに適用し、EKS Connectorコンポーネントをクラスター上で実行する必要がある。

AWSにマネジメントコンソールの「Elastic Kubernetres Service」を開き、「クラスター」を選択し、「クラスターを追加」メニューから「登録」を選択する。

image.png

登録するクラスターの名前、プロバイダーを指定し、接続設定として作成したEKSコネクタロール(AmazonEKSConnectorAgentRole)を選択し、「クラスターを登録」を実行する。

image.png

登録したクラスターに対して適用するマニフェストをダウンロードする。

image.png

ダウンロードしたyamlファイルにより、クラスターにeks-connectorを作成する。作成に成功すると、eks-connectorネームスペースにeks-connector-0/eks-connector-1 Podが作成される。

$ kubectl apply -f eks-connector.yaml
namespace/eks-connector created
secret/eks-connector-activation-config created
role.rbac.authorization.k8s.io/eks-connector-secret-access created
serviceaccount/eks-connector created
secret/eks-connector-token created
rolebinding.rbac.authorization.k8s.io/eks-connector-secret-access created
configmap/eks-connector-agent created
statefulset.apps/eks-connector created
$ kubectl get pod -n eks-connector
NAME              READY   STATUS    RESTARTS   AGE
eks-connector-0   2/2     Running   0          46s
eks-connector-1   2/2     Running   0          24s

ここまでの手順でEKSクラスター自体は「アクティブ」な状態となる。

image.png

AWSマネジメントコンソールにアクセスするユーザーが、EKS Connectorを介してKubernetesクラスターにアクセスできるようClusterRole/ClusterRoleBindingを設定する。eks-connector-clusterrole.yaml と、eks-connector-console-dashboard-full-access-group.yamlを利用してClusterRole/ClusterRoleBinding/RBAC Authorizationを設定する。各マニフェスト内の%IAM_ARN%をIAMユーザーのARNに置き換えて適用する。

$ kubectl apply -f eks-connector-clusterrole.yaml
clusterrolebinding.rbac.authorization.k8s.io/eks-connector-service created
clusterrole.rbac.authorization.k8s.io/eks-connector-service created
$ kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml
clusterrole.rbac.authorization.k8s.io/eks-connector-console-dashboard-full-access-clusterrole created
clusterrolebinding.rbac.authorization.k8s.io/eks-connector-console-dashboard-full-access-clusterrole-binding created

上記のClusterRole/ClusterRoleBinding/RBAC Authorizationの設定が正しく完了していない場合、クラスター内部のリソースを表示することができない。

image.png

ClusterRole/ClusterRoleBinding/RBAC Authorizationを構成することで、クラスターを構成するノードはPod等の情報をマネジメントコンソールから確認することが可能になる。

image.png

image.png

0
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?