aws-devops-zero-to-hero:EKS集群部署与管理实战
项目地址: https://gitcode.com/GitHub_Trending/aw/aws-devops-zero-to-hero 引言:容器编排的云原生革命
你是否正面临这些挑战:Kubernetes集群搭建繁琐、云资源整合困难、生产环境运维复杂?本文将带你通过AWS EKS(Amazon Elastic Kubernetes Service)实现容器化应用的全生命周期管理,从环境准备到高可用部署,从负载均衡到身份验证,一站式掌握企业级K8s实践。
读完本文你将获得:
- 从零搭建EKS集群的完整操作手册
- 多场景应用部署的实战配置模板
- ALB控制器与IAM角色的深度整合方案
- 常见故障的诊断与优化技巧
- 生产环境必备的安全最佳实践
一、EKS核心概念与架构解析
1.1 什么是Amazon EKS?
Amazon Elastic Kubernetes Service(Amazon EKS)是AWS提供的托管Kubernetes服务,消除了自建K8s控制平面的运维负担。EKS自动处理节点管理、升级和故障转移,让开发者专注于应用交付而非基础设施维护。
1.2 核心架构组件
| 组件 | 管理方式 | 职责 |
|---|---|---|
| 控制平面 | AWS托管 | API Server、etcd、调度器、控制器 |
| 节点组 | 可选托管 | 运行容器的EC2实例或Fargate |
| IAM集成 | 双向认证 | 集群身份与权限管理 |
| 网络 | VPC隔离 | Pod网络、安全组、负载均衡 |
1.3 EKS与传统K8s的核心差异
| 特性 | 自建Kubernetes | Amazon EKS |
|---|---|---|
| 控制平面维护 | 需自建高可用集群 | AWS多AZ托管,99.95% SLA |
| 版本升级 | 手动规划执行 | 一键升级,自动备份 |
| 节点管理 | 手动配置Auto Scaling | 托管节点组自动修复与更新 |
| 身份认证 | 第三方集成 | 原生IAM角色映射 |
| 网络插件 | 需手动部署 | AWS VPC CNI插件优化 |
二、环境准备与工具链配置
2.1 必备工具安装
| 工具 | 作用 | 安装命令 | 验证方法 |
|---|---|---|---|
| kubectl | K8s命令行客户端 | curl -LO "https://dl.k8s.io/release/v1.28.0/bin/linux/amd64/kubectl" | kubectl version --client |
| eksctl | EKS集群管理工具 | curl --silent --location "https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gz" | tar xz -C /tmp | eksctl version |
| AWS CLI | AWS服务管理工具 | curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip" | aws --version |
2.2 AWS CLI配置
# 配置AWS访问凭证
aws configure
AWS Access Key ID [None]: YOUR_ACCESS_KEY
AWS Secret Access Key [None]: YOUR_SECRET_KEY
Default region name [None]: us-east-1
Default output format [None]: json
# 验证配置
aws sts get-caller-identity
2.3 权限检查清单
| 所需权限 | 用途 | 最小策略 |
|---|---|---|
| eks:CreateCluster | 创建EKS集群 | AmazonEKSClusterPolicy |
| iam:CreateRole | 创建服务角色 | IAMFullAccess(受限使用) |
| ec2:CreateVpc | 网络资源管理 | AmazonVPCFullAccess |
| eksctl:AssociateIAMOIDCProvider | OIDC集成 | AmazonEKSClusterPolicy |
三、EKS集群部署实战
3.1 集群创建(Fargate模式)
# 创建Fargate集群
eksctl create cluster \
--name demo-cluster \
--region us-east-1 \
--fargate \
--version 1.28
# 验证集群状态
eksctl get cluster --name demo-cluster --region us-east-1
3.2 OIDC身份提供商配置
# 设置环境变量
export cluster_name=demo-cluster
export region=us-east-1
# 获取OIDC ID
oidc_id=$(aws eks describe-cluster \
--name $cluster_name \
--query "cluster.identity.oidc.issuer" \
--output text | cut -d '/' -f 5)
# 检查现有OIDC提供商
aws iam list-open-id-connect-providers | grep $oidc_id
# 如不存在则创建
eksctl utils associate-iam-oidc-provider \
--cluster $cluster_name \
--approve
3.3 集群创建流程图
四、应用部署与服务暴露
4.1 示例应用部署清单
deploy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: eks-sample-linux-deployment
labels:
app: eks-sample-linux-app
spec:
replicas: 3
selector:
matchLabels:
app: eks-sample-linux-app
template:
metadata:
labels:
app: eks-sample-linux-app
spec:
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: kubernetes.io/arch
operator: In
values:
- amd64
- arm64
containers:
- name: nginx
image: public.ecr.aws/nginx/nginx:1.23
ports:
- name: http
containerPort: 80
imagePullPolicy: IfNotPresent
nodeSelector:
kubernetes.io/os: linux
service.yaml
apiVersion: v1
kind: Service
metadata:
name: eks-sample-linux-service
labels:
app: eks-sample-linux-app
spec:
selector:
app: eks-sample-linux-app
ports:
- protocol: TCP
port: 80
targetPort: 80
type: ClusterIP
4.2 部署命令与验证
# 应用部署
kubectl apply -f deploy.yaml
kubectl apply -f service.yaml
# 验证部署状态
kubectl get pods -o wide
kubectl get svc eks-sample-linux-service
# 查看日志
kubectl logs -f <pod-name>
4.3 多环境部署策略对比
| 部署策略 | 适用场景 | 优势 | 实施复杂度 |
|---|---|---|---|
| 手动kubectl | 临时测试 | 简单直接 | ★☆☆☆☆ |
| Helm Charts | 生产环境 | 版本管理、回滚支持 | ★★★☆☆ |
| Kustomize | 多环境差异配置 | 原生支持、无需额外工具 | ★★☆☆☆ |
| GitOps(ArgoCD) | 企业级CI/CD | 声明式、审计跟踪 | ★★★★☆ |
五、负载均衡与Ingress配置
5.1 ALB控制器部署
# 下载IAM策略
curl -O https://raw.githubusercontent.com/kubernetes-sigs/aws-load-balancer-controller/v2.5.4/docs/install/iam_policy.json
# 创建IAM策略
aws iam create-policy \
--policy-name AWSLoadBalancerControllerIAMPolicy \
--policy-document file://iam_policy.json
# 创建服务账户
eksctl create iamserviceaccount \
--cluster=demo-cluster \
--namespace=kube-system \
--name=aws-load-balancer-controller \
--role-name AmazonEKSLoadBalancerControllerRole \
--attach-policy-arn=arn:aws:iam::ACCOUNT_ID:policy/AWSLoadBalancerControllerIAMPolicy \
--approve
# 安装Helm chart
helm repo add eks https://aws.github.io/eks-charts
helm repo update eks
helm install aws-load-balancer-controller eks/aws-load-balancer-controller \
-n kube-system \
--set clusterName=demo-cluster \
--set serviceAccount.create=false \
--set serviceAccount.name=aws-load-balancer-controller \
--set region=us-east-1 \
--set vpcId=vpc-xxxxxxxxxxxxxxxxx
5.2 Ingress资源配置示例
ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: eks-sample-ingress
annotations:
kubernetes.io/ingress.class: alb
alb.ingress.kubernetes.io/scheme: internet-facing
alb.ingress.kubernetes.io/target-type: ip
spec:
rules:
- http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: eks-sample-linux-service
port:
number: 80
# 应用ingress配置
kubectl apply -f ingress.yaml
# 查看ingress状态
kubectl get ingress
5.3 ALB权限故障排除流程
六、集群管理与监控
6.1 集群版本升级
# 检查可用版本
eksctl get cluster --name demo-cluster --region us-east-1
# 升级控制平面
eksctl upgrade cluster --name demo-cluster --version 1.29 --approve
# 升级节点组(如使用EC2节点组)
eksctl upgrade nodegroup --cluster demo-cluster --name standard-workers --approve
6.2 资源监控配置
# CloudWatch容器洞察配置
apiVersion: v1
kind: ConfigMap
metadata:
name: cloudwatch-agent-config
namespace: amazon-cloudwatch
data:
cloudwatch-agent-config.json: |
{
"agent": {
"metrics_collection_interval": 60,
"logfile": "/var/log/cloudwatch-agent.log"
},
"metrics": {
"metrics_collected": {
"kubernetes": {
"cluster_name": "demo-cluster",
"metrics_collection_interval": 60
}
}
}
}
6.3 关键监控指标
| 指标类别 | 核心指标 | 阈值 | 告警级别 |
|---|---|---|---|
| 控制平面 | API Server延迟 | >500ms | P1 |
| 节点健康 | 节点NotReady状态 | >5分钟 | P1 |
| 资源使用率 | CPU使用率 | >80% | P2 |
| 应用健康 | Pod重启次数 | >5次/小时 | P2 |
| 网络 | 入站流量错误率 | >1% | P3 |
七、安全最佳实践
7.1 RBAC权限控制
# 示例:只读权限ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: view-only
rules:
- apiGroups: [""]
resources: ["pods", "services"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: view-only-binding
subjects:
- kind: User
name: jane@example.com
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: view-only
apiGroup: rbac.authorization.k8s.io
7.2 镜像安全策略
# 镜像拉取策略配置
apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints
metadata:
name: restrict-images
allowPrivilegedContainer: false
allowedCapabilities: []
runAsUser:
type: MustRunAsNonRoot
seccompProfiles:
- docker/default
allowedUnsafeSysctls: []
forbiddenSysctls:
- "*"
allowedImageRegistries:
- "public.ecr.aws/*"
- "123456789012.dkr.ecr.us-east-1.amazonaws.com/*"
7.3 安全合规检查清单
- 使用AWS Secrets Manager存储敏感信息
- 启用VPC Flow Logs监控网络流量
- 实施Pod安全策略限制特权容器
- 定期轮换IAM访问凭证
- 启用EKS控制平面日志审计
- 配置网络策略限制Pod间通信
八、常见问题与解决方案
8.1 集群连接问题
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| kubectl命令超时 | API Server端点不可达 | 检查安全组入站规则是否允许443端口 |
| 认证失败 | kubeconfig过期 | 执行aws eks update-kubeconfig --name demo-cluster |
| 节点NotReady | 节点组IAM权限不足 | 验证AmazonEKSWorkerNodePolicy附加状态 |
8.2 应用部署故障
# 排查Pod启动失败
kubectl describe pod <pod-name>
# 检查事件日志
kubectl get events --sort-by='.lastTimestamp'
# 验证服务端点
kubectl get endpoints eks-sample-linux-service
8.3 性能优化建议
- 资源请求与限制:为所有Pod设置合理的CPU/内存请求和限制
- 节点亲和性:将相关服务调度到同一节点减少网络延迟
- 水平Pod自动扩缩器:基于CPU使用率或自定义指标自动扩缩容
- 卷优化:使用EBS gp3代替gp2,为频繁访问数据配置缓存
九、总结与进阶路线
通过本文实战,你已掌握EKS集群从创建到运维的全流程技能。EKS作为AWS容器服务的核心,为云原生应用提供了稳定高效的运行平台。下一步推荐深入学习:
- 高级网络配置:Calico网络策略、服务网格(Istio)集成
- CI/CD流水线:使用AWS CodePipeline实现GitOps工作流
- 有状态应用部署:RDS Operator、EBS CSI驱动使用
- 成本优化:Fargate Spot、资源Right-sizing最佳实践
动手实践是掌握EKS的最佳途径,建议基于本文示例构建测试集群,尝试不同节点类型、部署策略和监控方案,逐步积累生产环境经验。
如果你觉得本文有价值,请点赞收藏并关注作者,下期将带来《EKS混合模式部署:EC2与Fargate资源优化实践》。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
