Comment puis-je faire en sorte que mes composants master rejoignent mon cluster Amazon EKS ?

Résolution

Pour résoudre les problèmes liés aux composants master qui ne parviennent pas à rejoindre votre cluster Amazon EKS, procédez comme suit :

Utiliser l'automatisation de Systems Manager pour identifier les problèmes

Utilisez le dossier d'exploitation AWSSupport-TroubleshootEKSWorkerNode pour identifier les problèmes courants qui empêchent les composants master de rejoindre votre cluster.

Prérequis :

• les composants master doivent utiliser la politique AmazonSSMManagedInstanceCore associée à leur rôle Gestion des identités et des accès AWS (AWS IAM)
• Les composants master doivent être en cours d'exécution et accessibles via Systems Manager

Pour plus d'informations sur l'exécution de cette automatisation, consultez AWSSupport-TroubleshootEKSWorkerNode.

Vérifier la configuration DNS du VPC

Procédez comme suit :

1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
2. Dans le volet de navigation, cliquez sur Vos VPC.
3. Sélectionnez votre VPC.
4. Choisissez Actions, puis choisissez Modifier les paramètres du VPC.
5. Vérifiez les paramètres suivants :
   Vérifiez que l’option Résolution DNS elle activée.
   Vérifiez que l’option Noms d'hôte DNS est activée.
6. Dans le volet de navigation, cliquez sur Jeux d'options DHCP.
7. Sélectionnez le jeu d'options DHCP.
8. Vérifiez les valeurs suivantes :
   Vérifiez que l’option domain-name est définie sur region.compute.internal. Par exemple, us-west-2.compute.internal.
   Vérifiez que l’option domain-name-servers est définie sur AmazonProvidedDNS.

Pour plus d'informations sur les jeux d'options DHCP, consultez la section Jeux d'options DHCP dans Amazon VPC.

Vérifier les autorisations IAM relatives aux composants master

Procédez comme suit :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, sélectionnez Rôles.
3. Recherchez le rôle IAM du composant master.
4. Sélectionnez le rôle en question.
5. Choisissez l’onglet Autorisations.
6. Vérifiez que les politiques gérées suivantes sont associées :
   AmazonEKSWorkerNodePolicy
   AmazonEC2ContainerRegistryPullOnly

Remarque : si vous n'utilisez pas IRSA ou EKS Pod Identity pour le CNI du VPC, vous devez également associer la politique gérée AmazonEKS_CNI_Policy. Toutefois, il est recommandé d'associer cette politique à un rôle distinct utilisé spécifiquement pour le module complémentaire CNI Amazon VPC.

Pour plus d'informations sur la création du rôle IAM du nœud, consultez la section Rôle IAM du nœud Amazon EKS.

Configurer l'authentification pour les composants master

Choisissez l'une des méthodes suivantes pour configurer l'authentification :

Utiliser les entrées d’accès

Les entrées d'accès sont la méthode recommandée pour autoriser les composants master à accéder au cluster.

1. Ouvrez la console Amazon EKS.
2. Dans le volet de navigation, sélectionnez Clusters.
3. Sélectionnez votre cluster.
4. Sélectionnez l’onglet Accès.
5. Dans la section Entrées d'accès, vérifiez qu'il existe une entrée pour l'ARN du rôle IAM du composant master.
6. S'il n'existe aucune entrée, choisissez Créer une entrée d'accès.
7. Pour ARN du principal IAM, entrez l'ARN du rôle IAM du composant master, et non l'ARN du profil d'instance.
8. Pour Type, choisissez EC2 Linux ou EC2 Windows en fonction du type de nœud.
9. Choisissez Suivant, puis Créer.

Pour plus d'informations sur les entrées d'accès, consultez Autoriser les utilisateurs IAM à accéder à Kubernetes avec des entrées d'accès EKS.

Utiliser la ConfigMap aws-auth

Si votre cluster ne prend pas en charge les entrées d'accès, utilisez la méthode ConfigMap aws-auth.

Pour plus d'informations sur la configuration de la ConfigMap aws-auth, consultez la section Autoriser les utilisateurs IAM à accéder à Kubernetes avec une ConfigMap.

Vérifier la configuration des données utilisateur

Pour les nœuds autogérés, vérifiez que les données utilisateur incluent le nom de cluster et la configuration appropriés.

Les données utilisateur doivent inclure le script bootstrap avec le nom du cluster :

#!/bin/bash
/etc/eks/bootstrap.sh my-cluster

Remarque : remplacez my-cluster par le nom du cluster.

Pour plus d'informations sur la configuration des scripts bootstrap, consultez la section Bootstrapping des nœuds.

Vérifier la connectivité réseau

Procédez comme suit :

1. Vérifiez que les composants master peuvent atteindre le point de terminaison du serveur d'API du cluster.
2. Pour les nœuds des sous-réseaux publics, vérifiez que des adresses IP publiques leur ont été attribuées.
3. Pour les nœuds des sous-réseaux privés, vérifiez que le sous-réseau dispose d’une route vers une passerelle NAT.
4. Vérifiez que les groupes de sécurité autorisent le trafic suivant :
   Port 443 pour la communication via l'API du cluster
   Port 10250 pour la communication avec kubelet
   Port 53, TCP et UDP, pour la résolution DNS

Pour plus d'informations sur les exigences relatives aux groupes de sécurité, consultez la section Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters.

Vérifier les points de terminaison de VPC pour les clusters privés

Si le cluster utilise des points de terminaison privés, vérifiez que les points de terminaison de VPC suivants existent :

• com.amazonaws.region.ec2
• com.amazonaws.region.ecr.api
• com.amazonaws.region.ecr.dkr
• com.amazonaws.region.s3
• com.amazonaws.region.sts

Pour plus d'informations sur les exigences relatives aux clusters privés, consultez la section Déployer des clusters privés avec un accès Internet limité.

Vérifier la configuration des rôles de cluster

Procédez comme suit :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, sélectionnez Rôles.
3. Recherchez le rôle IAM du cluster.
4. Sélectionnez le rôle en question.
5. Choisissez l’onglet Relations d’approbation.
6. Vérifiez que la politique d’approbation autorise eks.amazonaws.com à assumer ce rôle.
7. Choisissez l’onglet Autorisations.
8. Vérifiez que la politique gérée AmazonEKSclusterPolicy est associée.

Consulter les journaux de kubelet

Pour consulter les journaux de kubelet sur un composant master, procédez comme suit :

1. Connectez-vous au composant master à l'aide de SSH ou du gestionnaire de session Systems Manager.

2. Exécutez la commande suivante :

   sudo journalctl -u kubelet -f

3. Recherchez les messages d'erreur qui indiquent la raison pour laquelle le nœud ne peut pas rejoindre le cluster.

Vérifier que le point de terminaison AWS STS est activé

Vérifiez que le point de terminaison AWS STS de la région AWS est activé pour votre compte.

Pour plus d'informations sur l'activation des points de terminaison STS, consultez la section Activation et désactivation d'AWS STS dans une région AWS.

Vérifier l’identification du VPC et des sous-réseaux

Procédez comme suit :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, choisissez Sous-réseaux.
3. Sélectionnez le sous-réseau sur lequel les composants master sont déployés.
4. Choisissez l'onglet Identifications.
5. Vérifiez que l’identification suivante existe :
   Pour Clé, kubernetes.io/cluster/my-cluster
   Pour Valeur, partagée ou détenue

Remarque : remplacez my-cluster par le nom du cluster.

Informations connexes

Résoudre les problèmes liés aux clusters et nœuds Amazon EKS

Considérations relatives au VPC et aux sous-réseaux