AWSのKubernetes環境(EKS)をコマンド一発で作る

2019/02/25

Amazon Elastic Container Service for Kubernetes(EKS)がGAになって半年ちょっとが経ち、ようやく重い腰を上げて作ってみました。

ただドキュメント(Getting Started with Amazon EKS)がなかなか読みにくく、長いのでCloudformationやAWS CLIを使ってコマンド一発で自動で起動できるようにしてみました。

前提

必要なツール

kubectl
AWS CLI
やる気

環境

macOS

ソースコード

ソースコードはgithubにあげています。
https://github.com/monkeydaichan/eks-sample
os1maさんのソースをforkする形で利用させてもらってます。

やっていく

EKSは限られたリージョンでしか構築できません。今回はオレゴン(us-west-2)に構築しました。
それではEKSを作っていきましょう。

EKSの起動

eks-start.shを実行すると、env/env.shで環境変数を設定してEKSが作られていきます。
作られるリソースの名前を変更したい場合はここを変更してください。

$ ./eks-start.sh

1 2	$ ./eks-start.sh

シェルを実行して２０分ぐらいでEKSの構築が終わります。

EKSの構築が終わったら下記のコマンドでKUBECONFIGを設定します。
変数EKS_KUBE_CONFIG_FILEはenv/env.shでセットしている内容に読み替えてください。

$ KUBECONFIG=EKS_KUBE_CONFIG_FILE

1 2	$ KUBECONFIG=EKS_KUBE_CONFIG_FILE

KUBECONFIGのセットが終わったら、nodeの情報が取れます。

$ kubectl get node

1 2	$ kubectl get node

ダッシュボードにアクセス

コマンドだけじゃ嫌よ。というかたはダッシュボードをデプロイしてください。

$ cd resource/dashboard
$ ./deploy.sh

$ cd resource/dashboard

$ ./deploy.sh

tokenとURLが表示されます。
URLにアクセスしてtokenを入力するとダッシュボードにログインできます。

サンプルアプリケーション

AWSがサンプルアプリケーションを公開しているので、それをデプロイします。

$ cd resource/sample-application
$ ./deploy.sh

$ cd resource/sample-application

$ ./deploy.sh

これで自動でロードバランサーが作成されます。
ロードバランサーのドメインはダッシュボードから確認してください。

http://ドメイン:3000にアクセスするとサンプルアプリケーションが表示されます。

サンプルアプリケーションの削除は下記コマンドでできます。

$ cd resource/sample-application
$ ./delete.sh

$ cd resource/sample-application

$ ./delete.sh

EKSの権限

EKSのフル権限は作成したIAMユーザに付与されます。
クラスターのユーザーまたは IAM ロールの管理 - Amazon EKS
他のIAMユーザにもフル権限を付与したい場合は次のようにします。
env/env.shの中身をすべてコピーしてターミナルに貼り付け。

$ ROLE_ARN=$(aws cloudformation describe-stacks \
    --stack-name $EKS_WORKER_STACK_NAME \
    --query 'Stacks[0].Outputs[0].OutputValue' \
    | sed -E 's/.(.*)./\1/')

$ cat &lt;&lt; EOT &gt; prepare/config/configmap.yml
apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
    - rolearn: $ROLE_ARN
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
  mapUsers: |
    - userarn: &lt;The ARN of the IAM user you want to add&gt;
      username: &lt;Any name&gt;
      groups:
        - system:masters

$ ROLE_ARN=$(aws cloudformation describe-stacks \

--stack-name $EKS_WORKER_STACK_NAME \

--query 'Stacks[0].Outputs[0].OutputValue' \

| sed -E 's/.(.*)./\1/')

$ cat << EOT > prepare/config/configmap.yml

apiVersion: v1

kind: ConfigMap

metadata:

name: aws-auth

namespace: kube-system

data:

mapRoles: |

- rolearn: $ROLE_ARN

username: system:node:{{EC2PrivateDNSName}}

groups:

- system:bootstrappers

- system:nodes

mapUsers: |

- userarn: <The ARN of the IAM user you want to add>

username: <Any name>

groups:

- system:masters

prepare/config/configmap.ymlファイルの<ARN of the IAM user you want to add>を追加したいIAMユーザのARNに変更、 <Any name>は任意の名前に変更します。
このymlファイルをEKSにデプロイすることで、権限の付与ができます。

$ kubectl apply -f prepare/config/configmap.yml

1 2	$ kubectl apply -f prepare/config/configmap.yml

EKSの削除

作ったEKSを削除したい場合もコマンド一発です。

$ ./all-delete.sh

1 2	$ ./all-delete.sh

ハマったところ

IAMユーザの追加のところで非常にハマりました。。。
ドキュメント読むの大事やんねー。。。

-AWS, Container
-Docker, Kubernetes

: AWSでCentOS7にssh接続できない

AWSを使うことになったのでCentOS7を無料枠で立てました ssh接続でしょ ...

: EKSでオートスケール ~ PodとEC2どちらも~

はじめにこの記事は Amazon EKS #2 Advent Calendar ...

: AWSで独自ドメインを無料で簡単にSSL化！

ゴールお名前.comで取得したドメイン（example.comとする）のサブド ...

: KubernetesでNodeをリセットする方法

kubernetesではなかなか環境がぶっ壊れることはないですが、たまにはあるノ ...

: ELB配下のEC2のapacheでbasic認証をかける

タイトルの通り、elb配下のec2のapacheにbasic認証を設定するときに ...

: BareMetalのkubernetesクラスタでkube-dnsを動かす！

kubernetesクラスタ環境ではpod間のアクセスに名前解決が使えます。 h ...

: 機械学習環境をKubernetesで構築する

ゴール kubernetesのPod作成時にGPUを使うようにします。環境 [ ...

Amazon EKS用heptio-autenticator-awsのインストール

$ wget -o /usr/local/bin/heptio-authenticator-aws https://amazon-eks.s3-us-west-2.amazonaws.com/1.10.3/2018-06-05/bin/darwin/amd64/heptio-authenticator-aws
$ chmod +x /usr/local/bin/heptio-authenticator-aws

1 2	$ wget -o /usr/local/bin/heptio-authenticator-aws https://amazon-eks.s3-us-west-2.amazonaws.com/1.10.3/2018-06-05/bin/darwin/amd64/heptio-authenticator-aws $ chmod +x /usr/local/bin/heptio-authenticator-aws

PREV: [EC2より良い!!] lightsailでインスタンスを作成する!
NEXT: AWSのKubernetesでサービスを公開する最高の方法~ALB,ACM,Route53の自動作成~