|
Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi. |
Créer un cluster Amazon EC2
Tout d’abord, vous configurez vos identifiants cloud EC2 dans Rancher.
Ensuite, vous créez un cluster EC2 dans Rancher, et lors de la configuration du nouveau cluster, vous définissez des pools de machines pour celui-ci. Chaque pool de machines a un rôle Kubernetes d’etcd, de controlplane ou de worker. Rancher installe Kubernetes sur les nouveaux nœuds, et il configure chaque nœud avec le rôle Kubernetes défini par le pool de machines.
Conditions préalables
-
Clé d’accès AWS EC2 et clé secrète qui sera utilisée pour créer les instances. Voir Documentation Amazon : Création de clés d’accès comment créer une clé d’accès et une clé secrète.
-
Stratégie IAM créée à ajouter à l’utilisateur de la clé d’accès et de la clé secrète. Voir Documentation Amazon : Création de stratégies IAM (Console) comment créer une stratégie IAM. Voir nos trois exemples de stratégies JSON ci-dessous :
-
Exemple de stratégie IAM avec PassRole (nécessaire si vous souhaitez utiliser Fournisseur de Cloud Kubernetes ou passer un profil IAM à une instance)
-
Exemple de stratégie IAM pour autoriser les volumes EBS chiffrés
-
Stratégie IAM ajoutée en tant que permission à l’utilisateur. Voir Documentation Amazon : Ajout de permissions à un utilisateur (Console) pour savoir comment l’attacher à un utilisateur.
-
Sous-réseau et/ou VPC uniquement IPv4 ou uniquement IPv6 ou double pile où des nœuds peuvent être provisionnés et se voir attribuer des adresses IPv4 et/ou IPv6. Voir Documentation Amazon : Support IPv6 pour votre VPC.
Création d’un cluster EC2
Les étapes pour créer un cluster diffèrent en fonction de votre version de Rancher.
Créez vos identifiants cloud
Si vous avez déjà un ensemble d’identifiants cloud à utiliser, passez cette section.
-
Cliquez sur ☰ > Gestion des clusters.
-
Cliquez sur Identifiants Cloud.
-
Cliquez sur Create.
-
Click Amazon.
-
Entrez un nom pour l’identifiant cloud.
-
Dans le champ Région par défaut, sélectionnez la région AWS où se trouveront les nœuds de votre cluster.
-
Entrez votre Clé d’accès et votre Clé secrète AWS EC2.
-
Cliquez sur Create.
Résultat : Vous avez créé les identifiants cloud qui sont utilisés pour provisionner des nœuds dans votre cluster.
Créez votre cluster
-
Cliquez sur ☰ > Gestion des clusters.
-
Sur la page Clusters, cliquez sur Créer.
-
Basculez l’interrupteur sur RKE2/K3s.
-
Click Amazon EC2.
-
Sélectionnez un Identifiant cloud, s’il en existe plusieurs. Sinon, il est pré-sélectionné.
-
Entrez un Nom de cluster.
-
Créez un pool de machines pour chaque rôle Kubernetes. Référez-vous aux meilleures pratiques pour des recommandations sur les attributions de rôles et les quantités.
-
Pour chaque pool de machines, définissez la configuration de la machine. Référez-vous à la référence de configuration des machines EC2 pour des informations sur les options de configuration.
-
-
Utilisez la Configuration du Cluster pour choisir la version de Kubernetes à installer, quel fournisseur de réseau utiliser et si vous souhaitez activer l’isolement réseau des projets. Pour obtenir de l’aide sur la configuration du cluster, référez-vous aux références de configuration du RKE2 et K3s.
-
Utilisez les Rôles de membre pour configurer l’autorisation des utilisateurs pour le cluster. Cliquez sur Ajouter un membre pour ajouter des utilisateurs pouvant accéder au cluster. Utilisez le menu déroulant Rôle pour définir les permissions pour chaque utilisateur.
-
Cliquez sur Create.
Résultat :
Votre cluster est créé et a un état de Provisionnement. Rancher est en train de mettre en place votre cluster.
Vous pouvez accéder à votre cluster après que son état soit mis à jour à Actif.
Les clusters Actifs sont assignés à deux Projets :
-
Default, contenant l’espace de nomsdefault -
System, contenant les espaces de nomscattle-system,traefik,kube-publicetkube-system
Étapes suivantes optionnelles
Après avoir créé votre cluster, vous pouvez y accéder via l’interface utilisateur de Rancher. En tant que meilleure pratique, nous recommandons de mettre en place ces méthodes alternatives pour accéder à votre cluster :
-
Accédez à votre cluster avec la CLI kubectl : Suivez ces étapes pour accéder aux clusters avec kubectl sur votre station de travail. Dans ce cas, vous serez authentifié via le proxy d’authentification du serveur Rancher, puis Rancher vous connectera au cluster en aval. Cette méthode vous permet de gérer le cluster sans l’interface utilisateur de Rancher.
-
Accédez à votre cluster avec la CLI kubectl, en utilisant le point de terminaison de cluster autorisé : Suivez ces étapes pour accéder directement à votre cluster avec kubectl, sans vous authentifier via Rancher. Nous recommandons de mettre en place cette méthode alternative pour accéder à votre cluster afin que, dans le cas où vous ne pouvez pas vous connecter à Rancher, vous puissiez toujours accéder au cluster.
Stratégies IAM
Exemple de stratégie IAM
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:Describe*",
"ec2:ImportKeyPair",
"ec2:CreateKeyPair",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DeleteKeyPair",
"ec2:ModifyInstanceMetadataOptions"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:REGION::image/ami-*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:instance/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:placement-group/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:volume/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:subnet/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:key-pair/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:network-interface/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:security-group/*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:TerminateInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:REGION:AWS_ACCOUNT_ID:instance/*"
}
]
}Exemple de stratégie IAM avec PassRole
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:Describe*",
"ec2:ImportKeyPair",
"ec2:CreateKeyPair",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DeleteKeyPair",
"ec2:ModifyInstanceMetadataOptions"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"iam:PassRole",
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:REGION::image/ami-*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:instance/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:placement-group/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:volume/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:subnet/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:key-pair/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:network-interface/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:security-group/*",
"arn:aws:iam::AWS_ACCOUNT_ID:role/YOUR_ROLE_NAME"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:TerminateInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:REGION:AWS_ACCOUNT_ID:instance/*"
}
]
}Exemple de stratégie IAM pour autoriser les volumes EBS chiffrés
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Encrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"ec2:DetachVolume",
"ec2:AttachVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteVolume",
"ec2:CreateSnapshot"
],
"Resource": [
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:volume/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:instance/*",
"arn:aws:ec2:REGION:AWS_ACCOUNT_ID:snapshot/*",
"arn:aws:kms:REGION:AWS_ACCOUNT_ID:key/KMS_KEY_ID"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
}
]
}