Introdução ao Amazon EKS

© 2020, Amazon Web Services, Inc. or its Affiliates.
Bruno Emer
Arquiteto de Soluções, AWS
Introdução ao Amazon EKS

O Amazon Elastic Kubernetes Service (EKS) é um serviço
de Kubernetes totalmente gerenciado. O EKS executa a
mais recente versão de produção do Kubernetes e é
certificado como compatível com o Kubernetes

port 8080 port 8080
ReplicaSet
#Pods—2
label selector: v1
ReplicaSet
#Pods—1
label selector: v2
Node
Docker
Pod
Containers
Kubernetes - Conceitos

Kubernetes - Conceitos

kubelet

kubelet
kubelet
kubelet
kubelet
Control Plane

O que o EKS faz para você:
• Nós realizamos o deploy do Control Plane do Kuberentes e do etcd
em uma configuração altamente disponível em 3 Azs
• Nós gerenciamos o control plane para você, assim como fazemos
com os bancos de dados do serviço RDS
• Nós provemos um plugin de rede (CNI) que integra a rede dos pods
nativamente com a AWSVPC
• Nós integramos/federamos o acesso de usuários atra’ves do CLI
(kubectl) e API com o AWS IAM

EKS é Kubernetes Certified
O EKS executa o Kubernetes
upstream e é certificado como
compatível com o Kubernetes.
Isso significa que aplicações
gerenciadas pelo Amazon EKS são
totalmente compatíveis com os
aplicativos gerenciados por
qualquer ambiente Kubernetes
padrão.

Amazon EKS - Arquitetura
prod-cluster-123.eks.amazonaws.com
EKS workers
kubectl
Your AWS account
VPC
Amazon EKS

VPC
Infraestrutura altamente disponíve
e single tenant
Todos componentes são nativos da
AWS
Separação do etcd para auxiliar
com processos de upgrades e
operação
Interface provida por um NLB que
habilita private endpoints na sua
VPC
NLB
Availability Zone 1 Availability Zone 2 Availability Zone 3
Etcd
API Servers
EKS Control Plane
Amazon EKS

Rede

Public == false
Private == true
WorkerVPC (your account)
Kubectl
Control PlaneVPC (AWS account)
etcd
AZ 1 AZ 2
API Server
etcd
API Server
EKS-owned ENIs
prod-cluster-123.eks.amazonaws.com
Private hosted zone
Kubelet
AZ 1
Worker node
Kube-proxy
Kubelet
AZ 2
Worker node
Kube-proxy
Endpoints da API do EKS privados

Pod Networking com o EKS
ENI
Secondary IPs:
10.0.0.1
10.0.0.2
10.0.0.1
10.0.0.2
ENI
10.0.0.20
10.0.0.22
Secondary IPs:
10.0.0.20
10.0.0.22
ec2.associateaddress()
VPC Subnet – 10.0.0.0/24
Instance 1 Instance 2

Segurança

Modelo de responsabilidade compartilhada
Responsible for
Security “of” the cloud
Responsible for
Security “in” the cloud
Network and Firewall Configuration
Identity & Access Management
Customer Data
Compute Storage Database Networking
Regions Availability Zones Edge Locations
Operating System
Applications Platform
AWSCUSTOMER

IAM = Quem pode fazer o que na Plataforma e/ou no cluster?
Pessoas Código / Pipelines
Photo & Licence Photo & Licence

E você deveria investir em automação fim-a-fim
• Infraestrutura como Código
• Builds de código & Containers
• Segurança (DevSecOps)
• Deployments (Não utilize o
kubectl para realizar deploys
em pod usando seu laptop!)
Invista aqui para tornar os
processos mais fáceis e
automáticos e deixar seu time
focar no que importa!
Photo

Porque DevSecOps implementa segurança nos pipelines de CI/CD?
Se você não tornar isto rápido e
fácil, as pessoas irão contornar as
políticas ou restrições para fazer o
serviço e entregar os prazos!
Photo &
Licence

Ação no K8s permitida/negada
EKS: Autenticação com o IAM + kubectl
Autorização da identidadeAWS
utilizando RBAC
API do K8s
ForneceAWS Identity
Veririca AWS Identity
kubectl
AWS IAM
Autenticação

Nota: O usuário ou IAM role que cria o cluster irá
possuir permissões de full admin no mesmo!
O ideal é a utilização de um usuário ou IAM role
dedicado com acesso limitado, assim como você
faz com a conta root

Kubernetes RBAC - Basics
O Kubernetes possui Roles que são
definidas e aplicadas a um único
namespace (um cluster virtual) e
ClusterRoles que são aplicadas a
todos os namespaces do cluster.
Você define roles customizadas
descrevendo resources (como pods e
nodes) e quais verbs (como get,
update e delete) são permitidos.
kind: ClusterRole
metadata:
name: cluster-admin
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
- nonResourceURLs:
- '*'
verbs:
- '*'

Kubernetes RBAC built-in ClusterRoles
Default ClusterRole
Description
cluster-admin
Allows super-user access to perform any action on any resource.When used in a ClusterRoleBinding,
a ClusterRoleBinding, it gives full control over every resource in the cluster and in all namespaces.
namespaces.When used in a RoleBinding, it gives full control over every resource in the rolebinding's
rolebinding's namespace, including the namespace itself.
admin
Allows admin access, intended to be granted within a namespace using a RoleBinding. If used in
used in a RoleBinding, allows read/write access to most resources in a namespace, including the
the ability to create roles and rolebindings within the namespace. It does not allow write access to
access to resource quota or to the namespace itself.
edit
Allows read/write access to most objects in a namespace. It does not allow viewing or modifying
modifying roles or rolebindings.
view
Allows read-only access to see most objects in a namespace. It does not allow viewing roles or
or rolebindings. It does not allow viewing secrets, since those are escalating

Logging e Auditoria do Control Plane
Logging do control plane, especialmente com a finalidade de trilha de auditoria das
ações naAPI, é um aspecto important da segurança.
Quanto utilizando o EKS você pode (e deve) habilitar o logging para o CloudWatch
Logs.

Instalando um Network Policy Provider no Kubernetes
Regras de firewall no Kubernetes são controladas através de NetworkPolicies.
Você precisa primeiro adicionar um Network Policy Provider ao EKS /
Kubernetes para poder utilizar Network Policies. O Calico é um Network Policy
Provider coberto em nossa documentação.
https://docs.aws.amazon.com/eks/latest/userguide/calico.html

Security Group por POD
https://docs.aws.amazon.com/eks/latest/userguide/security-groups-for-pods.html

Modo EC2 – Responsabilidades dos clientes
• Tipo de instância e quantidade?
• Qual é a proporção de CPU e RAM?
• Capacidade adicional para
escalabilidade e disponibilidade?
• Qual SO escolher?
• Se for Amazon Linux, nós provemos as
AMIs
• Hardening do SO (ex.: CIS benchmark)
• Patching do SO, Docker, kubelet etc.
Photo & Licence

Modelo de responsabilidade compartilhada - Fargate
Responsible for Security
“of” the cloud
Responsible for
Security “in” the cloud
Network and Firewall Configuration
Identity & Access Management
Customer Data
Compute Storage Database Networking
Regions Availability Zones Edge Locations
Operating System
Applications
Platform
AWSCUSTOMER

Atualizando o EKS
• O Kubernetes tem uma nova versão major todo trimetre
• O Kubernetes tem novas versões minor frequentemente
• Algumas vezes essas atualização são relacionadas a segurança
• O EKS possui APIs para iniciar o processo de update do control
plane
• Você então precisa atualizar os worker nodes:
• Geralmente os worker nodes estão em auto-scaling
groups, o que significa atualizar as AMIs
• Nós provemosAMIs para os worker nodes do EKS
regularmente, além dos scripts necessários para
atualização de suas próprias AMIs

Monitoramento

Duas formas para a coleta e monitoramento das métricas em seu
cluster
Você pode utilizar o CloudWatch Container Insights
Para agregar, alertar e visualizer métricas no mesmo lugar
onde você visualzar todas as outras métricas dos serviços da
AWS.
Você pode utilizar o Prometheus para agregar / alertar
sobre seu Cluster, Nodes e métricas dos Pods e o Grafana
para visualizar estas métricas em Dashboards.

Duas formas para coletar e monitorar logs em seu cluster
Você pode também utilizar o fluentd para enviar logs para o
CloudWatch Logs. Isto pode atender as suas necessiadades,
mas caso queira, você também pode enviar os logs para
outros serviços.
Um padrão comum, utilizando ferramenta open source é
coletar logs com o fluentd e enviar os mesmos para o
Elasticsearch onde você pode visualizá-las com o Kibana –
um stack conhecido como EFK.
Enquanto voce pode executar estes components por si só,
nós recomendamos a utilização de serviços gerenciados
como o Amazon ElasticSearch que também inclui o Kibana.
Amazon Elasticsearch Service Amazon CloudWatch

Multiplos NodePools /Tipos de
instâncias
(ex. misturando GPU, Spot eWindows)

Você pode utilizar intâncias com GPU no EKS
A AWS tem múltiplos tipos de instâncias que
oferecem GPUs, como as insâncias da família
p3.
Estes tipos de instâncias são usadas para coisas
como Machine Learning e necessidades de
computação intense que se beneficiam de
paralelismo massivo.
É possível executar este tipo de instância em
um NodeGroup separado e utilizar taints e
tolerations para garantir que apenas workloads
que precisem de GPU serão executados nestas
instâncias.

Você pode utilizar instâncias Spot com o EKS
AWS oferece instâncias que não estão em uso
no momento com descontos de até 90%.
É possível possuir clusters sendo executados
totalmente com instâncias Spot ou clusters
mistos com instâncias Spot e Sob Demanda
para atender as suas necessidades.

Obrigado

Introdução ao Amazon EKS

Mais conteúdo relacionado

Mais procurados

Semelhante a Introdução ao Amazon EKS

Mais de Amazon Web Services LATAM

Introdução ao Amazon EKS

Notas do Editor