Introducción a Amazon EKS

© 2020, Amazon Web Services, Inc. or its Affiliates.
Camilo Cortés
Arquitecto de Soluciones
AmazonWeb Services
2020
Introducción a Amazon EKS

Agenda
• Kubernetes y Amazon EKS
• Redes en Amazon EKS
• Seguridad
• Monitoreo
• Multiples NodePools /Tipos de Instancias

puerto 8080 puerto 8080
ReplicaSet
#Pods —2
selector de etiquetas: v1
ReplicaSet
#Pods —1
selector de etiquetas: v2
Nodo
Docker
Pod
Contenedores
Conceptos de Kubernetes

Conceptos de Kubernetes

kubelet

kubelet
kubelet
kubelet
kubelet
Plano de Control

Amazon Elastic Kubernetes Service (EKS) es un servicio
de Kubernetes administrado. EKS corre un “upstream” de
Kubernetes y está certificado conforme a Kubernetes.

¿Qué hace EKS por usted a diferencia de ejecutar Kubernetes
en EC2?
• Desplegamos el Plano de Control de Kubernetes y etcd en una
configuración de alta disponibilidad a través de 3 AZs
• Gestionamos ese plano de control por ud de manera similar a nuestro
servicio de base de datos relacional gestionada RDS
• Proporcionamos un plugin de red (CNI) que integra la configuración
de red de los Pods de forma nativa con AWSVPC
• Integramos/federamos el acceso de usuarios a la CLI de Kubernetes
(kubectl) y al API con AWS IAM

EKS está certificado y es conforme con Kubernetes
EKS corre un “upstream” de
Kubernetes y cuenta con una
certificación de conformidad con
Kubernetes.
Esto significa que las aplicaciones
administradas por Amazon EKS son
totalmente compatibles con las
aplicaciones administradas por
cualquier entorno estándar de
Kubernetes.

Arquitectura de Amazon EKS
prod-cluster-123.eks.amazonaws.com
Nodos de trabajo de EKS
kubectl
Tu cuenta de AWS
VPC
Amazon EKS

VPC
Infraestructura altamente
disponible y de tenant único
Todos los componentes “nativos de
AWS”
Etcd aislado para ayudar con
operaciones/actualizaciones
seguras y sin problemas
Encabezado por un NLB - que
habilita los Endpoints privados en
suVPC
NLB
Zona Disponibilidad 1 Zona Disponibilidad 2 Zona Disponibilidad 3
Etcd
Servidores API
Plano de control EKS
Amazon EKS

Redes

VPC Nodos deTrabajo (su cuenta)
Kubectl
VPC Plano de control (cuenta deAWS)
etcd
AZ 1 AZ 2
Servidor API
etcd
Servidor API
ENIS propiedad de
EKS
prod-cluster-123.eks.amazonaws.com
Zona privada
Kubelet
AZ 1
Nodo de
trabajo
Kube-proxy
Kubelet
AZ 2
Nodo de
trabajo
Kube-proxy
Endpoints API de EKS privados

Redes de Pod con EKS
ENI
IPs secundarias:
10.0.0.1
10.0.0.2
10.0.0.1
10.0.0.2
ENI
10.0.0.20
10.0.0.22
IPs secundarias:
10.0.0.20
10.0.0.22
ec2.associateaddress ()
SubredVPC — 10.0.0.0/24
Instancia 1 Instancia 2

Seguridad

Modelo de Responsabilidad Compartida
Responsable de la
Seguridad “de” la nube
Responsable de la
Seguridad “en” la nube
Configuración de redes y cortafuegos
Administración de Identidad y Acceso
Datos del Cliente
Compute Almacenamiento Base de datos Networking
Regiones Zonas de disponibilidad Ubicaciones Edge
SistemaOperativo
Aplicaciones Plataforma
AWSCLIENTE

Acción K8s permitida/denegada
EKS: Autenticación IAM + kubectl
Autorización de identidad de
AWS contra Kubernetes RBAC
API de K8s
Pasa la identidad deAWS
Verifica la identidad deAWS
kubectl
Autenticación de
AWS con IAM

Fundamentos Kubernetes RBAC
Kubernetes tiene Roles que se
definen y aplican dentro de un único
espacio de nombres (un clúster
virtual) y ClusterRoles que aplican a
todo el clúster en todos los espacios
de nombres.
Se definen roles personalizados que
describen recursos (como pods y
nodos) y qué verbos (como get,
update y delete) se permiten contra
ellos.
kind: ClusterRole
metadata:
name: cluster-admin
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
- nonResourceURLs:
- '*'
verbs:
- '*'

Kubernetes RBAC ClusterRoles incorporados
ClusterRole
predeterminado
Descripción
cluster-admin
Permite el acceso de superusuario para realizar cualquier acción sobre cualquier recurso. Cuando se
Cuando se utiliza en un ClusterRoleBinding, da control total sobre cada recurso en el clúster y en
y en todos los espacios de nombres. Cuando se usa en un RoleBinding, da control total sobre cada
sobre cada recurso en el espacio de nombres del Rolebinding, incluido el espacio de nombres en sí.
admin
Permite el acceso de administrador, destinado a ser otorgado dentro de un espacio de nombres
nombres utilizando un RoleBinding. Si se utiliza en un RoleBinding, permite el acceso de
lectura/escritura a la mayoría de los recursos de un espacio de nombres, incluida la capacidad de
capacidad de crear roles y RoleBindings dentro del espacio de nombres. No permite el acceso de
acceso de escritura a la cuota de recursos ni al propio espacio de nombres.
edit
Permite el acceso de lectura/escritura a la mayoría de los objetos en un espacio de nombres. No
No permite ver o modificar roles o RoleBindings.
view
Permite el acceso de sólo lectura para ver la mayoría de los objetos en un espacio de nombres. No
nombres. No permite ver roles ni RoleBindings. No permite ver secretos, ya que estos requieren
requieren escalamiento de privilegios

Responsable de
Responsable de
Datos del Cliente
SistemaOperativo
AWSCLIENTE

Registro y Auditoría del Plano de Control
El registro (loging) del plano de control, especialmente alrededor de un rastro de
auditoría de acciones API, es un aspecto importante de la seguridad y tener la capacidad
de revisar quién y que hizo en el clúster.
Cuando se utiliza EKS puede (y debe) habilitar dicho registro en CloudWatch Logs.

Instalando un Proveedor de Políticas de Red en Kubernetes
El cortafuegos dentro de Kubernetes está controlado por NetworkPolicies.
Primero necesitas agregar un Proveedor de Políticas de Red a EKS/Kubernetes
para poder usar Políticas de Red. Uno popular cubierto en nuestra
documentación es Calico.
https://docs.aws.amazon.com/eks/latest/userguide/calico.html

Frontend
Gatos Perros
kind: NetworkPolicy
apiVersion: extensions/v1beta1
metadata:
name: default-deny
spec:
podSelector:
matchLabels: {}
catsndogs-namespace
Políticas de red sobre Kubernetes

Frontend
Gatos Perros
catsndogs-namespace
kind: NetworkPolicy
metadata:
name: public-to-frontend
spec:
podSelector:
matchLabels:
role: frontend
ingress:
- from:
- ipBlock:
cidr: "0.0.0.0/0"
ports:
- protocol: TCP
port: 80

Frontend
Gatos Perros
catsndogs-namespace
kind: NetworkPolicy
metadata:
name: frontend-to-cats
spec:
podSelector:
matchLabels:
role: cats
ingress:
- from:
- podSelector:
matchLabels:
role: “frontend”
ports:
- protocol: TCP
port: 80

Edición Secure Cloud (CE)
Características:
• Apoyo Empresarial de Tigera
• Cifrado IPSEC de host a host
• Se enriquecen registros de flujo con metadatos de carga de
trabajo de Kubernetes
• Integración entre grupos de seguridad de AWS y políticas de red

También está en nuestra hoja de ruta

Responsable de
Responsable de
Datos del Cliente
Sistema Operativo
AWSCLIENTE

Nodos de Trabajo Grupos de Nodos
Administrados
Amazon EKS – Opciones Plano de Datos
Pod 3 Pod 2 Pod 1Pod 3 Pod 3
AWS Fargate
Amazon EKS
Grupo de Autoescalamiento Grupo de Autoescalamiento

Instancias EC2 — Responsabilidades del cliente
• ¿Tipo de instancia y cantidad a elegir?
• ¿Cuál es la relación CPU / RAM?
• ¿Exceso de capacidad para escalar y
disponibilidad?
• ¿Qué SO elegir?
• Si es Amazon Linux, proporcionamos
AMIs
• Endurecimiento del SO (por ejemplo,
contra el benchmarkCIS)
• El parcheado del SO, Docker, ECS Agent o
kubelet etc.
Foto & Licence

Amazon EKS – Nodos de Trabajo (No Administrados)
Se despliega uno o mas Nodos deTrabajo en un Grupo de Nodos. Un Grupo de
Nodos es una o más instancias de Amazon EC2 que se despliegan en un grupo de
Autoescalamiento de Amazon EC2
Amazon EKS prove una imagen especializada AMI (Amazon Machine Image)
llamada Amazon EKS-optimized AMI. Esta imagen esta configurada para
trabajar conAmazon EKS e incluye:
• Docker
• Kubelet
• AWS IAM Authenticator
• Bootstrap script que permite descubrir y conectar el nodo al plano de control
del cluster de manera automatica.
• https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html
Nodos de Trabajo
Amazon EKS
Grupo de Autoescalamiento

Amazon EKS – Nodos Administrados
• Automatizan el aprovisionamiento y la administración del ciclo de vida de los
nodos de trabajo (instancias de Amazon EC2)
• Puede crear, actualizar o terminar nodos para su clúster con una sola
operación. Los nodos se ejecutan utilizando las últimas AMI optimizadas
para Amazon EKS, mientras que las actualizaciones y terminaciones drenan
los nodos para garantizar que sus aplicaciones permanezcan disponibles.
• Todos los nodos administrados se aprovisionan como parte de un grupo de
Autoescalamiento de Amazon EC2 que administra Amazon EKS.
• Nuevo! Soporte de AMIs customizadas a través de ”LaunchTemplates”
Grupos de Nodos
Administrados
Grupo de Autoescalamiento
Amazon EKS

Modelo de Responsabilidad Compartida - Fargate
Responsable de Seguridad
“de” la nube
Responsable de
Datos del Cliente
Sistema Operativo
Aplicaciones
Plataforma
AWSCLIENTE

AWS Fargate para Amazon EKS
Utiliza tus Pods
existentes
Listo para Producción Integración y Capacidad
Adecuada
No es necesario cambiar la definición
de los Pods existentes
Fargate funciona con flujos de trabajo
y servicios existentes que se ejecutan
en Kubernetes.
Despliegue pods rápidamente. Ejecute pods
fácilmente en diferentes AZs para obtener
alta disponibilidad.
Cada pod corre en un ambiente de computo
aislado (VM)
Pague solo por los recursos que se necesitan
para ejecutar sus pods.
Incluye integraciones nativas de AWS para redes
y seguridad.

Amazon EKS - Fargate
Cuenta del clienteAWS
Plano de Control
VPC
AWS Fargate
Ejecuta un container en
FARGATE por mi por favor
No tienes que administrar
capacidad de computo
PodService
ENI

Plantilla de Perfil de EKS Fargate
Subnets donde se lanzaran los
pods
Criterio de seleccion para
Fargate
Rol de IAM con permisos necesarios

Plano de Control
Administrado de EKS
Plano de Datos
de EKS
EKS VPC
VPC del Cliente
Arquitectura EKS Fargate
etcd
Servidor API
Nodo no Administrado Nodo Administrado
EC2
Fargate Pods
Fargate VPC
Webhook
Fargate
Scheduler
Perfil EKS
Fargate
Adquirir
Capacidad

Fargate
Nodos Administrados Nodos No
Administrados
Unidad deTrabajo Pod Pod / EC2 Pod / EC2
Unidad de Costo Pod EC2 EC2
Ciclo de vida del
Host
No hay Host visible AWS (SSH esta permitido) Cliente
AMI del Host No hay Host visible
AMIs revisadas por AWS y
LaunchTemplates
Cliente - BYO
Host : Pods 1 : 1 1 : muchos 1 : muchos
Fargate vs. Nodos Administrados y No Administrados

Monitoreo

Dos formas de recolectar y monitorear métricas en tu clúster
Puedes utilizar nuestro nuevo servicio CloudWatch Container
Insights
Puedes agregar, alertar y visualizar esas mismas métricas en el
mismo lugar que todas sus demás métricas relacionadas con
AWS.
Puedes usar el proyecto de Prometheus de la CNCF para
agregar/alertar sobre tus métricas del Cluster, Nodos y Pods.
Asi mismo usar Grafana para visualizarlas en un tablero de
instrumentos.
Cubrimos cómo configurarlos en tu cluster en el contenido de
https://eksworkshop.com

O una de las ofertas comerciales SaaS que funcionan con EKS

Dos formas de recolectar y monitorear los registros en su clúster
También puedes usar fluentd para enviar los registros a
CloudWatch Logs
A menudo vemos que los clientes los envían a CloudWatch
Logs con una baja retención como lugar donde los puedes
buscar o visualizar si Elasticsearch está abajo por alguna razón,
luego pueden ser enviados a Elasticsearch o un servicio de
terceros desde allí.
Un patrón común que utiliza herramientas completamente
abiertas es recolectar registros con fluentd para transmitir
directamente a un Elasticsearch donde los vas a consultar /
visualizar con Kibana — esto a menudo se llama la pila EFK.
Si bien puedes ejecutar todos estos componentes tú mismo en
tu clúster, te animamos a usar el servicio admnistrado de
Amazon Elasticsearch (que también incluye a Kibana).
ServicioAmazon Elasticsearch Amazon CloudWatch

Múltiples NodePools/Tipos de
instancias

Puedes usar instancias habilitadas para GPU en EKS
AWS tiene varios tipos de instancias que tienen
GPUs como nuestras nuevas instancias p3s.
Estos tipos de instancias son útiles para procesos
de Machine Learning y otros
computacionalmente intensivos que pueden
beneficiarse de la paralelización masiva.
Es posible tener algunas de ellas en un
NodeGroup separado dentro de un clúster de uso
mixto y luego usar “Taints andTolerations” de
Kubernetes para asegurar que sólo aquellas
cargas de trabajo que se benefician de las GPU se
programen en esas instancias.

Puedes usar instancias Spot con EKS
AWS tiene disponibles instancias que
actualmente se encuentran sin uso con un
descuento de hasta el 90%. Estas instancias son
conocidas como Spot
Es posible tener ya sea un clúster totalmente
corriendo en Spot (y ejecutar mecanismos para
que sea seguro correr cargas allí) o un clúster
mixto con una capacidad fundacional basa en
instancias OnDemand con la posibilidad de
escalar con instancias Spot cuando sea necesario.

Puedes agregar nodos de Windows a tu clúster de EKS
• Para Nodos basados enWindows, es posible hacer uso
de un grupo de Nodos administrados
• Consideraciones importantes
• Las cargas de trabajo de Windows son
compatibles con los clústeres de Amazon
EKS que ejecutan Kubernetes versión 1.14 o
posterior
• Los clústeres de Amazon EKS deben
contener uno o más nodos de Linux para
ejecutar pods del sistema central que solo se
ejecutan en Linux, como coredns y el
controlador de recursos deVPC
• Después de agregar compatibilidad con
Windows a su clúster, debe especificar
selectores de nodos en sus aplicaciones para
que los pods lleguen a un nodo con el
sistema operativo adecuado.

Gracias !
Camilo Cortes
Solutions Architect
AmazonWeb Services
2020
Javier Cristancho
Solutions Architect

Introducción a Amazon EKS

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Introducción a Amazon EKS

Similar to Introducción a Amazon EKS (20)

More from Amazon Web Services LATAM

More from Amazon Web Services LATAM (20)

Recently uploaded

Recently uploaded (20)

Introducción a Amazon EKS

Editor's Notes