Comment dois-je procéder pour que mes nœuds de travail soient joints à mon cluster Amazon EKS ?

Date de la dernière mise à jour : 17/10/2019

Mes nœuds de travail ne sont pas joints à mon cluster Amazon Elastic Kubernetes Service (Amazon EKS). Comment puis-je résoudre ce problème ?

Brève description

Pour que vos nœuds de travail soient joints à votre cluster Amazon EKS, vous devez effectuer les opérations suivantes :

  • Vérifier que vous profitez de la prise en charge DNS pour votre Amazon Virtual Private Cloud (VPC Amazon) ;
  • Obtenir les autorisations appropriées pour le profil d’instance de vos nœuds de travail ;
  • Configurer les données utilisateur pour vos nœuds de travail ;
  • Vérifier que vos nœuds de travail se trouvent dans un sous-réseau associé à votre cluster Amazon EKS ;
  • Mettre à jour le fichier aws-auth de ConfigMap avec le rôle NodeInstanceRole associé à vos nœuds de travail ;
  • Respecter les exigences applicables aux groupes de sécurité de vos nœuds de travail ;
  • Définir les balises pour vos nœuds de travail ;
  • Vérifier que vos nœuds de travail sont en mesure d’atteindre le point de terminaison du serveur API de votre cluster Amazon EKS.

Important : les étapes ci-dessous ne font pas référence aux opérations supplémentaires nécessaires pour enregistrer les nœuds de travail dans votre cluster Amazon EKS s’il est question d’environnements où les critères suivants ne sont pas satisfaits :

  • Dans le VPC de votre cluster Amazon EKS, le paramètre de configuration domain-name-servers est défini sur AmazonProvidedDNS. Pour obtenir des informations supplémentaires, consultez la section Jeux d’options DHCP.
  • Vous utilisez, afin de lancer vos nœuds de travail, une Amazon Machine Image (AMI) Linux optimisée pour Amazon EKS.
    Remarque : l’AMI Linux optimisée pour Amazon EKS inclut toutes les configurations nécessaires, et notamment le script d’amorçage /etc/eks/bootstrap.sh permettant d’enregistrer les nœuds de travail dans votre cluster Amazon EKS.

Résolution

Vérifier que vous profitez de la prise en charge DNS pour votre Amazon Virtual Private Cloud (VPC Amazon)

Vérifiez que le VPC de votre cluster Amazon EKS prend en charge les noms d’hôte et résolutions DNS.

Si nécessaire, vérifiez et modifiez les attributs applicables à la prise en charge DNS.

Obtenir les autorisations appropriées pour le profil d’instance de vos nœuds de travail ;

Associez les stratégies AWS gérées suivantes au rôle associé au profil d’instance de vos nœuds de travail :

  • AmazonEKSWorkerNodePolicy ;
  • AmazonEKS_CNI_Policy ;
  • AmazonEC2ContainerRegistryReadOnly.

Pour savoir comment associer des stratégies à des rôles, consultez l’article Ajout d’autorisations applicables à l’identité IAM (console).

Configurer les données utilisateur pour vos nœuds de travail ;

Remarque : il n’est pas nécessaire de configurer les données utilisateur pour vos nœuds de travail si vous utilisez AWS CloudFormation afin de lancer ces derniers.

Afin de configurer les données utilisateur pour vos nœuds de travail, spécifiez celles-ci lors du lancement de vos instances Amazon Elastic Compute Cloud (Amazon EC2).

Par exemple, si vous utilisez un outil tiers tel que Terraform, saisissez les éléments suivants dans le champ Données utilisateur :

#!/bin/bash
set -o xtrace
/etc/eks/bootstrap.sh ${ClusterName} ${BootstrapArguments}

Important : remplacez ${ClusterName} par le nom de votre cluster Amazon EKS, et ${BootstrapArguments} par des valeurs d’amorçage supplémentaires (ou ne renseignez pas cette propriété).

Vérifier que vos nœuds de travail se trouvent dans un sous-réseau associé à votre cluster Amazon EKS ;

1.    Ouvrez la console Amazon EKS.

2.    Sélectionnez Clusters, puis votre cluster.

3.    Dans la section Mise en réseau, identifiez les sous-réseaux associés à votre cluster.

4.    Vérifiez que vos nœuds de travail font uniquement partie des sous-réseaux mentionnés à l’étape 3.

Mettre à jour le fichier aws-auth de ConfigMap avec le rôle NodeInstanceRole associé à vos nœuds de travail

Vérifiez que le fichier aws-auth de ConfigMap est configuré correctement, avec le rôle IAM de vos nœuds de travail (et non le profil d’instance).

Respecter les exigences applicables aux groupes de sécurité de vos nœuds de travail ;

Vérifiez que le groupe de sécurité du plan de contrôle, ainsi que le groupe de sécurité du nœud de travail, sont configurés à l’aide des paramètres recommandés pour le trafic entrant et sortant.

Pour obtenir des informations supplémentaires, consultez l’article Considérations relatives aux groupes de sécurité du cluster.

Définir les balises pour vos nœuds de travail ;

Pour la propriété Balise de vos nœuds de travail, définissez la valeur key sur kubernetes.io/cluster/clusterName et la valeur value sur owned.

Pour obtenir des informations supplémentaires, consultez l’article Considérations relatives au VPC du cluster.

Vérifier que vos nœuds de travail sont en mesure d’atteindre le point de terminaison du serveur API de votre cluster Amazon EKS.

Tenez compte des éléments suivants :

  • Vous pouvez lancer des nœuds de travail dans un sous-réseau associé à une table de routage redirigée, via une passerelle NAT ou Internet, vers le point de terminaison de l’API.
  • Si vos nœuds de travail sont lancés depuis un réseau privé restreint, vérifiez que ceux-ci sont en mesure d’atteindre le point de terminaison du serveur API Amazon EKS.
  • Si vos nœuds de travail sont lancés au sein d’un VPC, à l’aide d’un DNS personnalisé et non AmazonProvidedDNS, il est possible que ceux-ci ne puissent pas, si l’accès public au point de terminaison est désactivé et que seul un accès privé est possible, résoudre le point de terminaison du cluster Amazon EKS. Pour obtenir des informations supplémentaires, consultez l’article Activation de la résolution DNS pour les points de terminaison de cluster Amazon EKS

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?