使用 Amazon EKS 加速 Kubernetes 过程

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/CON206-Accelerate_your_Kubernetes_journey_with_Amazon_EKS-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 在本讲座中，您将了解 [Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail) 如何为亚马逊云科技客户提供生产级 Kubernetes。组织需要扩展集群以支持其业务规模。跨组织的团队可能还希望使用 Kubernetes 实现其应用程序的现代化，并需要指导和支持来建立正确的安全防护和最佳实践。了解 [Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail) 如何从成千上万在各种规模（从初创公司到企业）上运行 Kubernetes 的亚马逊云科技客户那里获得知识优势，从而使您可以专注于业务应用而不是基础架构，并且仍然可以运行生产级 Kubernetes。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者Liz Duke是亚马逊云科技的容器高级专家。她强调Kubernetes在容器编排方面的巨大影响开始了这次演讲。作为云原生计算基金会（CNCF）毕业的开源项目，Kubernetes已逐渐成为全行业管理规模容器的主要解决方案。在CNCF旗下的超过30个项目中，确定从哪里开始可能是一个挑战。这就是[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)发挥作用的地方——它通过提供专为解决客户在运行生产Kubernetes工作负载时遇到的常见痛点而设计的托管Kubernetes服务，简化了许多选项。 Liz表示，EKS旨在帮助客户解决管理与控制平面、将集群扩展到数千个节点以及应对Kubernetes快速发布周期所需的频繁升级等方面的问题。例如，一家希望使用Kubernetes和EKS在亚马逊云科技上现代化其遗留系统的公司。但他们需要在现有的IT治理过程中延长更改冻结窗口的情况下，平衡Kubernetes的灵活性和敏捷性。 EKS控制平面得到了全面管理并具有弹性，在多个可用区内运行，并自动为API服务器和etcd的三个副本提供冗余。升级过程简化为通过CLI、API或使用eksctl等工具进行一次操作，升级时间已从约40分钟减少到不到10分钟。这对于像银行这样的组织非常有帮助，他们在升级之前需要更多时间来测试应用程序的兼容性。 当客户集群扩展到数万个节点时，EKS在后台根据工人节点的数量和etcd数据库大小等指标自动调整控制平面规模。Liz解释了如何随着时间的推移，EKS根据实际客户使用模式调整控制平面规模度量标准，以使扩展更快、更响应。 EKS在控制平面中内置了安全性，包括自动安全补丁、加密的etcd数据库和安全访问控制。EKS在任何给定时间支持4个Kubernetes版本，在为退役版本之前为客户提供长达14个月的升级时间。Liz强调了EKS不允许使用alpha功能标志，因为那些功能还不够稳定，无法用于数百万客户的生产使用情况。 为了提高用户体验和验证过程，EKS与亚马逊云科技的IAM进行了集成，使其能够轻松扩展至数百万用户。即将推出的基于IAM的访问控制功能将通过一套API简化用户管理，相较于目前使用独立的EKS和Kubernetes API更加简便。这对于像大型企业这样的客户来说尤为有益，因为他们可以通过集中IT团队跨多个EKS集群和账户管理访问控制。 为了确保数据安全，Kubernetes需要将敏感信息（如密码）存储为密钥对。EKS通过提供针对密钥的KMS信封加密来增强这一点，实现了静态和运行时的加密。此外，其他集成，如[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail)持续威胁监控和检测，旨在通过简单的配置提高EKS工作负载的安全性。只需两步即可启用GuardDuty以保护EKS的运行时。 由于Kubernetes集群很少孤立运行，它们通常与其他服务（如数据库和消息队列）集成。因此，EKS专注于通过诸如IAM角色和网络策略等机制简化对其他亚马逊云科技服务的安全访问。这些纵深防御功能使得金融服务公司之类的客户能够专注于其业务应用程序，而无需管理复杂的安全基础设施。 除了安全性之外，EKS还致力于帮助客户在其他关键领域，如升级、扩展现有和优化Kubernetes集群的成本。例如，托管节点组可以自动执行任务，如升级过程中的隔离、排空和缩放节点组，从而简化工作节点升级的过程。客户甚至可以选择在升级过程中并行升级节点的百分比或特定数量，以避免容量减少。这使得拥有数千个节点的客户能够在升级过程中保持正常运行，而不仅仅是逐个节点地进行升级。 新的开源Carpenter自动缩放器通过直接与EC2 Fleet交互以优化满足特定Pod要求的节点类型，从而提供了智能缩放功能。Liz表示，Carpenter已经在客户的生产环境中得到了广泛应用，通过高效地将Pod打包到最优节点类型上，提高了性能并节省了成本。例如，一位客户报告称通过使用Carpenter缩减了未使用的资源，从而节省了数十万美元的基础设施成本。 对于希望完全消除计算管理需求的用户，EKS还提供了完全托管的Fargate体验。Fargate消除了管理底层基础设施的需求，仅对客户使用的容器所消耗的vCPU和内存资源进行收费。这种精细的计费模式帮助软件供应商等客户运行多租户EKS集群并准确地向其客户收费。 在网络方面，EKS增强了托管Kubernetes体验。对Kubernetes网络策略的支持现已内置到[Amazon VPC](https://aws.amazon.com/cn/vpc/?trk=cndc-detail) CNI中，无需安装和管理第三方解决方案。Liz解释说，这是通过使用eBPF技术来提高网络策略性能并实现粒度化的pod间限制。游戏公司等客户使用此功能来隔离特定游戏或服务的容器。 在运营方面，Liz介绍了EKS控制台如何在运行在亚马逊云科技上以及在内网或其他云上的所有Kubernetes集群提供集中式可视性和管理。这是通过使用EKS连接器来收集指标和元数据实现的。成本可见性和优化是另一个Kubernetes用户经常面临的挑战。为了帮助解决这个问题，EKS提供了一个集成的Kubecost捆绑包，包括额外功能但无需许可证费。客户可以通过Helm、附加组件或通过亚马逊云科技市场来部署这个捆绑包，以获得跨所有集群的统一成本视图。 普拉提克概述了他推荐用于排查问题的工具和诊断方法。这些方法包括监控控制平面指标和审计日志，以便检测API服务器的健康状况和请求。例如，当一位客户遇到容器未就绪的问题时，通过分析审计日志，他们可以确定哪些API服务器的错误影响了容器调度。 此外，普拉提克建议在云监控容器洞察中同时检查控制平面和数据平面的节点健康、存储、网络和其他组件。对于网络，CNI指标助手会聚合诸如IP分配之类的指标，这可能揭示潜在原因，如IP耗尽。在前一个例子中，事实证明是节点IP耗尽导致了容器就绪问题，这是通过CNI IP分配指标验证的。 普拉提克还讨论了围绕准入webhooks的最佳实践，如保持低于30秒的开放失败策略，并密切监控错误或延迟。那些依赖准入webhooks进行治理和合规的客户需要确保它们不会降低控制平面可用性和性能。 随着集群的扩展，普拉提克解释了如何处理大量请求以避免API服务器过载的方法，如使用API优先级和公平性（APF）。通过配置APF队列并监控相关指标，可以确保关键健康状况检查和其他高优先级呼叫与较低优先级呼叫隔离，从而防止在客户将EKS集群扩展到数万个节点和容器时发生级联故障。 总的来说，普拉提克强调了一些核心最佳实践，如监控控制平面和数据平面，跟踪CNI指标，为API设置优先级，并利用像云监控容器洞察这样的工具来提高EKS集群的可观察性。针对实际客户规模的定制需求，综合性的EKS最佳实践指南提供了更多的操作建议。 最终，Liz Duke宣布推出了一系列全新的EKS数字学习徽章和相关培训课程。这种创新性的认证方式使得学习者能够通过评估展示他们在[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)方面的专业知识，并获得可以分享的数字徽章。Liz强调，EKS的核心目标是通过提供完全托管的服务来加速Kubernetes的普及，从而帮助从初创公司到大型企业的各类客户减轻繁琐的工作负担。持续的创新旨在简化云中的Kubernetes部署，并支持客户在各种场景下运行Kubernetes的需求。 **下面是一些演讲现场的精彩瞬间：** 亚马逊EKS凭借从客户那里汲取的最佳实践，为客户提供生产级别的Kubernetes解决方案。  通过对数据平面指标和日志的分析，可以发现某个节点正面临免费IP地址不足的问题，从而导致部分组件无法正常工作。  在演讲中，我们将探讨集群网络的设置方法，以便实现简单的、使用亚马逊云科技的IM进行IP地址分配和VPC流量监控的本地安全网络。  监控ENI和IP的使用情况对于调整运行关键应用程序的集群规模以及优化性能至关重要。  APF技术有助于将请求分类至独立的优先级队列，从而确保关键呼叫不会受到其他慢速请求的影响。  此外，亚马逊云科技团队已推出首个EKS数字认证和学习徽章，旨在帮助用户更好地掌握EKS相关概念。  ## 总结 在本次re:Invent上，演讲内容概述了[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)及其如何助力客户在生产环境中运行Kubernetes工作负载。主要涉及EKS的几个关键组件，包括托管的控制平面、节点组、网络、安全、监控以及与亚马逊云科技其他服务的集成。 演讲着重强调了管理Kubernetes的一些重要客户关注点，例如升级、扩展和安全问题。EKS旨在通过其托管控制平面、简化扩展和升级过程的托管节点组、安全的原生虚拟专用网络（VPC）以及与其他亚马逊云科技服务的集成（如IAM），以及用于可观测性和威胁检测的工具（如CloudWatch和GuardDuty）来解决这些问题。 此外，还提供了一些建议和最佳实践，如监控控制平面的指标、合理使用准入Web钩子、配置优先级和公平以确保API服务器的稳定性，以及运用Container Insights和CNI指标助手等工具来了解集群的健康状况。 演讲的最后，宣布了一系列新的EKS学习资源和学习路径，以及数字徽章，以便用户能够掌握EKS的核心知识并展示他们在该领域的专长。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")