写点什么

在 EKS 上使用 Kubernetes Service Catalog 和 AWS Service Broker

  • 2019-10-11
  • 本文字数:5843 字

    阅读完需:约 19 分钟

在 EKS 上使用 Kubernetes Service Catalog 和 AWS Service Broker

在上一篇博文中,我们讨论了在 Kubernetes 上使用 AWS Service Broker。从那以后,发生了很多变化:EKS 现已推出,而 Service Broker 已显著演变,因此我们认为重新审视该主题并关注 EKS 会是不错的选择。


如果您是 Kubernetes 用户,可能已经发现,正如我们之前所做的,管理不同服务(如数据库)的生命周期和凭证会是一件富有挑战性的事情。除了必须解决如何为您的应用程序提供所需凭证的访问权限外,这项工作还经常涉及链接多个不同的工具链,从而增加了低水平重复的繁重工作。这可能导致最佳实践(例如难以执行的最低权限模型)通常被丢给各个开发团队来实施。在本篇博文中,我们将讨论一些有助于应对这些挑战的模式。我们将介绍 Kubernetes Service Catalog,这是一种扩展 API,可通过使用实施 Open Service Broker API 规范的服务代理,使 Kubernetes 集群中运行的应用程序能够轻松使用外部管理软件产品。AWS Service Broker 是一个开源项目(与 Kubernetes Service Catalog 结合使用),提供了一个 AWS 服务目录,可使用熟悉的 Kubernetes API 和工具管理该目录,并将其连接到您的 Kubernetes 应用程序。我们还将通过预置一个 S3 存储桶并将其连接到您的应用程序,了解在实践中使用 AWS Service Broker 的情况。

核心服务经纪人概念

首先,我们需要梳理一下本文中将使用的一些关键概念。有关更多详细信息,请查看 Open Service Broker API 规范和 Kubernetes Service Catalog 设计文档。


ClusterServiceClass – 服务目录生成的 Kubernetes 资源。Service Catalog 获取每个已安装代理的目录,并将新目录条目并入 Kubernetes 中的 ClusterServiceClasses。对于 AWS 代理,这些类代表 AWS 服务,如 S3、SQS 等。


ClusterServicePlan – 每个 ClusterServiceClass 包含一个或多个计划。计划代表服务的配置;在 AWS 代理中,许多服务都有针对生产和开发用例的固定计划,以及允许用户配置服务的所有可用选项的自定义计划。


ServiceInstance – ClusterServicePlan 的一个实例。使用 AWS 代理,这将代表调用预置 API 时创建的 AWS 服务的实例。


预置 – 预置 API 是使用 kubectl、api 或 svcat(Kubernetes Service Catalog CLI 工具)创建新的 ServiceInstance 时调用的 API。对于 AWS Service Broker,预置调用根据计划接受各种参数,然后使用这些参数创建请求的 AWS 服务。


Bind – Binding 是通过某个给定 ServiceInstance 的代理请求凭证和元数据的 API 调用。服务目录随后创建一个 Kubernetes 密钥,并将凭证存储在其中。应用程序随后可以映射密钥以获取对凭证的访问权限。例如,对于 Amazon RDS 数据库,bind 调用返回端点 url、用户名和密码。对于在运行时需要 IAM 的服务,将创建最低权限策略并将其挂载到 IAM 用户/角色。

先决条件

  • 至少配置了一个节点的 EKS 集群;建议将三个或更多节点用于 HA/生产用途。有关详细信息,请参阅 EKS 入门指南。本指南中的步骤适用于任何 Kubernetes 集群(v1.10 及更高版本),但您的具体情况可能会有所不同。

  • 安装/配置 kubectl 和 aws-iam-authenticator 以连接到上述集群。有关详细信息,请参阅参考。

  • 使用 AWS 凭证安装和配置 awscli。有关详细信息,请参阅 AWS CLI 文档。

  • jq 用于检查示例应用程序的输出;它可以从您的操作系统的包管理器获得


在本篇文章中,我们选择尽可能使用本机 Kubernetes 工具,以着重介绍服务目录类型的样子以及如何在本地使用它们。如果您经常通过 cli 与目录进行交互,则可能需要查看 svcat cli 工具,该工具简化了对服务目录类型的描述和管理。有关更多详细信息,请参阅 GitHub 上的服务目录文档

安装服务目录

我们将使用 Helm 来处理所需组件的安装。


curl https://raw.githubusercontent.com/helm/helm/master/scripts/get > get_helm.shchmod 700 get_helm.sh./get_helm.shkubectl create serviceaccount tiller --namespace kube-systemkubectl create clusterrolebinding tiller \--clusterrole=cluster-admin \--serviceaccount=kube-system:tiller# Install helm and tiller into the clusterhelm init --service-account tiller# Wait until tiller is ready before moving onuntil kubectl get pods -n kube-system -l name=tiller | grep 1/1; do sleep 1; done
复制代码


完成后,您应在 kube-system 名称空间中看到正在运行的 tiller pod:



注意:对于面向公众的集群或生产集群,不建议使用此类型的 Tiller 安装。如需了解有关在生产集群中安装 Tiller 的更多信息,请参阅保护 Helm 安装安全。


现在我们已经设置了 Helm 和 Tiller,我们可以继续使用 Helm 来安装 Kubernetes Service Catalog。


helm repo add svc-cat https://svc-catalog-charts.storage.googleapis.comhelm install svc-cat/catalog \    --name catalog --namespace catalog --waitsvc-cat animated gif.
复制代码



安装完成后,我们应该看到目录命名空间中运行的 api-server 和 controller-manager pod:


安装 AWS Service Broker

第一步是设置先决条件。此操作可使用创建所需 IAM 用户和 DynamoDB 表的 CloudFormation 模板轻松完成。以下代码块使用 AWS CLI 启动模板并收集所需的输出。确保将 REGION 变量设置为您希望拥有代理预置资源的 AWS 区域。


REGION=us-west-2# Download the templatewget https://raw.githubusercontent.com/awslabs/aws-servicebroker/master/setup/prerequisites.yaml# Create stackSTACK_ID=$(aws cloudformation create-stack \             --capabilities CAPABILITY_IAM \             --template-body file://prerequisites.yaml \             --stack-name  aws-service-broker-prerequisites \             --output text --query "StackId" \             --region ${REGION})# Wait for stack to completeuntil \    ST=$(aws cloudformation describe-stacks \        --region ${REGION} \        --stack-name ${STACK_ID} \        --query "Stacks[0].StackStatus" \        --output text); \        echo $ST; echo $ST | grep "CREATE_COMPLETE"    do sleep 5done# Get the username from the stack outputsUSERNAME=$(aws cloudformation describe-stacks \             --region ${REGION} \             --stack-name ${STACK_ID} \             --query "Stacks[0].Outputs[0].OutputValue" \             --output text)# Create IAM access key.记下该输出,我们在设置代理时将会用到aws iam create-access-key \    --user-name ${USERNAME} \    --output json \    --query 'AccessKey.{KEY_ID:AccessKeyId,SECRET_ACCESS_KEY:SecretAccessKey}'
复制代码


现在我们已准备好安装代理,首先将存储库添加到 Helm:


helm repo add aws-sb https://awsservicebroker.s3.amazonaws.com/charts
复制代码



代理有多个可配置属性,如需将其列出,请运行:


helm inspect aws-sb/aws-servicebroker --version 1.0.0-beta.3
复制代码



在本篇博文中,我们将介绍最小安装。有关高级安装选项的详细信息,请参阅 AWS Service Broker 文档。使用 aws create-access-key 命令输出中保存的输出替换下面的<ACCESS_KEY_ID> 和 <SECRET_ACCESS_KEY>:


helm install aws-sb/aws-servicebroker \    --wait \    --name aws-servicebroker \    --namespace aws-sb \    --version 1.0.0-beta.3 \    --set aws.region=${REGION} \    --set aws.accesskeyid=<ACCESS_KEY_ID> \    --set aws.secretkey=<SECRET_ACCESS_KEY>output of helm install aws-sb/aws-servicebroker.
复制代码



注意:如果在 helm cli 上设置 aws.targetaccountid,请勿使用 —set,使用 —set-string,更多信息请参阅相关 Helm 问题


现在验证代理 pod 正在运行:


helm ls --namespace aws-sbkubectl get ClusterServiceBrokers
复制代码




现在您可以列出可用的服务:


kubectl get ClusterServiceClasses \ -o=custom-columns=NAME:.spec.externalName,DESCRIPTION:.spec.descriptionoutput of kubectl get ClusterServiceClasses.
复制代码



如果您遇到任何问题,可以通过查看 Service Broker 的日志进行故障排除:


kubectl logs $(kubectl get pods -n aws-sb -o name) -n aws-sb
复制代码

预置和绑定到示例应用程序

让我们通过创建示例应用程序,预置 S3 存储桶,并将存储桶绑定到我们的应用程序来体验一下代理。


首先创建示例应用程序;我们提供了一个简单的应用程序来验证与 S3 的连接是否正常:


cat <<EOF > sample.yaml---apiVersion: v1kind: Namespacemetadata:  name: s3-demo---apiVersion: apps/v1kind: Deploymentmetadata:  name: s3-demo  namespace: s3-demospec:  selector:    matchLabels:      app: s3-demo  replicas: 1  template:    metadata:      labels:        app: s3-demo    spec:      containers:      - name: s3-demo        image: awsservicebroker/s3-demo:latest        ports:        - containerPort: 8080EOFkubectl apply -f sample.yaml# Wait for deployment to completeuntil kubectl get pods -n s3-demo | grep 1/1; do sleep 1; done
复制代码


现在我们可以在 curl 应用程序时检查返回的内容。请注意,为简洁起见,我们未设置 Kubernetes Service 或 Ingress,因此我们将使用 kubectl exec 运行 curl:


kubectl exec \    $(kubectl get pods -o name --namespace s3-demo | awk -F '/' '{print $2}') \    --namespace s3-demo -- \    curl -s http://127.0.0.1:8080 | jq .output of curl using kubectl exec.
复制代码



以上输出内容显示我们有一些缺少的环境变量。让我们通过创建我们的 S3 服务并将其绑定到应用程序来解决此问题


cat <<EOF > s3-instance.yaml---apiVersion: servicecatalog.k8s.io/v1beta1kind: ServiceInstancemetadata:  name: s3-bucket  namespace: s3-demospec:  clusterServiceClassExternalName: s3  clusterServicePlanExternalName: productionEOFkubectl apply -f s3-instance.yaml
复制代码


这将开始预置过程。您应该在帐户中看到一个正在创建的 CloudFormation 堆栈:


aws cloudformation list-stacks \--region ${REGION} \--query 'StackSummaries[?starts_with(StackName,`aws-service-broker-s3-`)]'output of aws cloudformation list-stacks.
复制代码



堆栈完成后不久,即可绑定 ServiceClass。您可以通过描述 ServiceInstance 并检查 .status.conditions[0].message 来检查状态


kubectl get ServiceInstance/s3-bucket -n s3-demo -o yaml


现在我们已经创建了 ServiceInstance,可以将其绑定,这样我们的示例应用程序就可以从 kubernetes 环境本身访问这些凭证。创建绑定资源需要进行以下操作:


cat <<EOF > s3-binding.yaml---apiVersion: servicecatalog.k8s.io/v1beta1kind: ServiceBindingmetadata:  name: s3-binding  namespace: s3-demospec:  instanceRef:    name: s3-bucketEOFkubectl apply -f s3-binding.yaml
复制代码


现在我们已创建一个 ServiceBinding 对象,可以验证状态是否为“就绪”:


kubectl describe ServiceBinding s3-binding -n s3-demooutput of kubectl describe ServiceBinding s3-binding -n s3-demo.
复制代码


绑定操作会创建一个 Kubernetes 密钥,其中包含访问 “s3-demo” 命名空间中的 S3 存储桶所需的凭证。如需验证是否已创建密钥,请运行以下命令:


kubectl describe secrets/s3-binding -n s3-demooutput of kubectl describe secrets/s3-binding -n s3-demo.
复制代码


现在剩下要做的就是将密钥挂载到我们的 pod:


cat <<EOF >> sample.yaml        env:        - name: S3_AWS_ACCESS_KEY_ID          valueFrom: { secretKeyRef: { name: s3-binding, key: S3_AWS_ACCESS_KEY_ID  } }        - name: S3_AWS_SECRET_ACCESS_KEY          valueFrom: { secretKeyRef: { name: s3-binding, key: S3_AWS_SECRET_ACCESS_KEY } }        - name: S3_REGION          valueFrom: { secretKeyRef: { name: s3-binding, key: S3_REGION } }        - name: BUCKET_ARN          valueFrom: { secretKeyRef: { name: s3-binding, key: BUCKET_ARN } }        - name: BUCKET_NAME          valueFrom: { secretKeyRef: { name: s3-binding, key: BUCKET_NAME } }        - name: LOGGING_BUCKET_NAME          valueFrom: { secretKeyRef: { name: s3-binding, key: LOGGING_BUCKET_NAME } }EOFkubectl apply -f sample.yaml# wait for deployment to completeuntil kubectl get pods -n s3-demo | grep -c s3-demo | grep 1; do sleep 1; done
复制代码


部署完成后,我们应该看到应用程序现在能够访问存储桶:


kubectl exec \    $(kubectl get pods -o name --namespace s3-demo | awk -F '/' '{print $2}') \    --namespace s3-demo -- \    curl -s http://127.0.0.1:8080 | jq .
复制代码


清理


让我们删除示例应用程序、绑定和实例。(请注意,删除调用会导致 CloudFormation 堆栈被删除。)


kubectl delete -f s3-binding.yaml


kubectl delete -f s3-instance.yaml


kubectl delete -f sample.yaml


您可以进行更多的操作,但如果您还希望从集群中删除代理和目录,则可以运行 Helm 来执行此操作:


helm delete --purge aws-servicebroker


helm delete --purge catalog

Remove cloudformation stack containing prerequisites

aws cloudformation delete-stack


–stack-name STACK_ID | awk -F ‘/’ ‘{print 2’}) --region=REGION

小结

在本篇博文中,我们着重介绍了如何使用 Kubernetes Service Catalog 和 AWS Service Broker 的强大功能来管理您的 AWS 服务,提供代码和配置的分离,以及提供最低权限 IAM 等固定最佳实践。这只是代理所提供功能的一小部分! 如需了解更多高级方案(如多帐户预置)、使用 CloudFormation 模板构建自定义目录以及使用 bind 挂载到 pod 级 IAM 角色的信息,请参阅 AWS Service Broker 文档。如果您有兴趣了解将 AWS 服务与 Kubernetes 集成的其他方法,我们建议您另外查看 Chris Hein 在 AWS Service Operator 上发布的帖子。


作者介绍:


Jay McConnell


Jay McConnell 是 Amazon 合作伙伴网络的一名解决方案架构师,他专门为 AWS 上的合作伙伴产品构建最佳实践部署,并利用业余时间维护尽可能多的开源项目。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/kubernetes-service-catalog-aws-service-broker-on-eks/


2019-10-11 08:00748
用户头像

发布了 1841 篇内容, 共 106.6 次阅读, 收获喜欢 76 次。

关注

评论

发布
暂无评论
发现更多内容

产品好不好,谁说了算?Sonar提出分析的性能指标,帮助您轻松判断产品性能及表现

龙智—DevSecOps解决方案

多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅| 龙蜥技术

OpenAnolis小助手

开源 容器 云原生 龙蜥技术 Kata Containers

PingCode 性能测试之负载测试实践

PingCode研发中心

软件测试 PingCode

【一库】vueuse:我不许身为vuer,你的工具集只有lodash!

摸鱼的春哥

Vue 前端 Vue3 7月月更

太方便了,钉钉上就可完成代码发布审批啦!

阿里云云效

云计算 阿里云 钉钉 jenkins 代码

【Unity UGUI】ScrollRect 动态缩放格子大小,自动定位到中间的格子

萧然🐳

游戏开发 Unity ScrollView 7月月更 UGUI

五千字讲清楚团队自组织建设 | Liga 妙谈

LigaAI

团队管理 个人提升 敏捷开发管理 LigaAI 自组织协作

Numpy 的仿制 2

祖维

c slice Numpy

Python|字符串操作

AXYZdong

7月月更

科普达人丨一文看懂阿里云的秘密武器“神龙架构”

阿里云弹性计算

云计算 虚拟化 资源管理 神龙架构

深入JS中几种数据类型的解构赋值细节

猪痞恶霸

前端 js ES6 7月月更

uni-app与uviewUI实现仿小米商城app(附源码)

优秀的李

小程序 uniapp 7月月更 uviewui

31年前的Beyond演唱会,是如何超清修复的?

字节跳动视频云技术团队

DataKit——真正的统一可观测性 Agent

观测云

智捷云——元宇宙综合解决方案服务商

智捷云

区块链 元宇宙 智捷云 区块链技术开发

Python 入门指南之使用 Python 解释器

海拥(haiyong.site)

7月月更

华为云数据库DDS产品深度赋能

程思扬

数据库 华为云 DDS

Lombok使用引发的血案

技术小生

7月月更

容器环境minor gc异常频繁分析

wgy

Java minor gc

第十八届IET交直流输电国际会议(ACDC2022)于线上成功举办

E科讯

同事悄悄告诉我,飞书通知还能这样玩

Jianmu

自动化 建木CI 飞书通知 定时

什么是低代码开发?

AIRIOT

低代码 物联网 低代码,项目开发

华为云ModelArts的使用教程(附详细图解)

逝缘~

华为 华为云 7月月更

TCP两次挥手,你见过吗?那四次握手呢?

C++后台开发

网络编程 网络协议 TCP/IP 后端开发 C++开发

如何实现一个延时队列 ?

领创集团Advance Intelligence Group

延时队列 Redis 数据结构 redis 底层原理

一加10 Pro和iPhone 13怎么选?

Geek_8a195c

OPPO 小布预训练大模型揭秘:可大规模工业化应用的十亿级模型

OPPO小布助手

AI 智能助手 预训练模型 预训练

被忽视的问题:测试环境配置管理

老张

软件测试 测试环境治理

2022年国内云管平台厂商哪家好?为什么?

行云管家

云计算 云管平台 云管平台厂商

图像检索(image retrieval)

Geek_e369a5

图像搜索 图像检索

LeetCode-168. Excel表列名称(java)

bug菌

LeetCode 7月月更

在 EKS 上使用 Kubernetes Service Catalog 和 AWS Service Broker_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章