Adding EKS clusters

Adding EKS clusters
Adding EKS clusters

Adding EKS clusters

原文：https://docs.gitlab.com/ee/user/project/clusters/add_eks_clusters.html

EKS requirements
- Additional requirements for self-managed instances
New EKS cluster
- Troubleshooting creating a new cluster
Existing EKS cluster
- Create a default Storage Class
- Deploy the app to EKS

Adding EKS clusters

GitLab 支持添加新的和现有的 EKS 集群.

EKS requirements

在通过 GitLab 集成在 Amazon EKS 上创建第一个集群之前，请确保满足以下要求：

设置了Amazon Web Services帐户，您就可以登录.
您有权管理 IAM 资源.
如果要使用现有的 EKS 集群：
- 已正确配置工作节点的 Amazon EKS 集群.
- 安装并配置了kubectl以访问 EKS 集群.

Additional requirements for self-managed instances

如果您使用自我管理的 GitLab 实例，则必须首先使用一组 Amazon 凭证配置 GitLab. 这些凭证将用于承担创建集群的用户提供的 Amazon IAM 角色. 创建一个 IAM 用户，并确保其有权承担您的用户将用来创建 EKS 群集的角色.

例如，以下策略文档允许在帐户123456789012假设一个角色的名称以gitlab-eks- ：

{  "Version":  "2012-10-17",  "Statement":  {  "Effect":  "Allow",  "Action":  "sts:AssumeRole",  "Resource":  "arn:aws:iam::123456789012:role/gitlab-eks-*"  }  }

为 IAM 用户生成访问密钥，并使用凭据配置 GitLab：

导航至管理区域>设置>集成，然后展开Amazon EKS部分.
Check 启用 Amazon EKS 集成.
在相应的Account ID ， Access key ID和Secret access key字段中输入帐户 ID 和访问密钥凭据.
Click 保存更改.

New EKS cluster

在 GitLab 12.5 中引入 .

要创建新的 Kubernetes 集群并将其添加到您的项目，组或实例：

导航到您的：
- 项目的 操作> Kubernetes页面，用于项目级集群.
- 组的 Kubernetes页面，用于组级别集群.
- 管理区> Kubernetes ，用于实例级集群.
Click 添加 Kubernetes 集群.
在” 创建新集群”选项卡下，单击Amazon EKS . 将为您提供一个Account ID和External ID ，供下一步使用.

在IAM 管理控制台中，创建一个 IAM 角色：

在左侧面板中，选择角色 .
单击创建角色 .
在Select type of trusted entity ，选择另一个 AWS 账户 .
在 GitLab 中的Account ID字段中输入Account ID .
选中需要外部 ID .
在 GitLab 中将External ID输入到External ID字段中.
单击下一步：权限 .
点击创建策略 ，这将打开一个新窗口.

选择JSON标签，然后粘贴以下代码段代替现有内容：

 { 
     "Version" :   "2012-10-17" , 
     "Statement" :   [ 
         { 
             "Effect" :   "Allow" , 
             "Action" :   [ 
                 "autoscaling:CreateAutoScalingGroup" , 
                 "autoscaling:DescribeAutoScalingGroups" , 
                 "autoscaling:DescribeScalingActivities" , 
                 "autoscaling:UpdateAutoScalingGroup" , 
                 "autoscaling:CreateLaunchConfiguration" , 
                 "autoscaling:DescribeLaunchConfigurations" , 
                 "cloudformation:CreateStack" , 
                 "cloudformation:DescribeStacks" , 
                 "ec2:AuthorizeSecurityGroupEgress" , 
                 "ec2:AuthorizeSecurityGroupIngress" , 
                 "ec2:RevokeSecurityGroupEgress" , 
                 "ec2:RevokeSecurityGroupIngress" , 
                 "ec2:CreateSecurityGroup" , 
                 "ec2:createTags" , 
                 "ec2:DescribeImages" , 
                 "ec2:DescribeKeyPairs" , 
                 "ec2:DescribeRegions" , 
                 "ec2:DescribeSecurityGroups" , 
                 "ec2:DescribeSubnets" , 
                 "ec2:DescribeVpcs" , 
                 "eks:CreateCluster" , 
                 "eks:DescribeCluster" , 
                 "iam:AddRoleToInstanceProfile" , 
                 "iam:AttachRolePolicy" , 
                 "iam:CreateRole" , 
                 "iam:CreateInstanceProfile" , 
                 "iam:CreateServiceLinkedRole" , 
                 "iam:GetRole" , 
                 "iam:ListRoles" , 
                 "iam:PassRole" , 
                 "ssm:GetParameters" 
             ], 
             "Resource" :   "*" 
         } 
     ] 
 }

注意：这些权限使 GitLab 能够创建资源，但不能删除它们. 这意味着，如果在创建过程中遇到错误，更改将不会回滚，您必须手动删除资源. 您可以通过删除相关的CloudFormation 堆栈来做到这一点

点击审核政策 .
为此策略输入合适的名称，然后点击创建策略 . 您现在可以关闭此窗口.
切换回”创建角色”窗口，然后选择刚创建的策略.
单击下一步：标签 ，并选择输入您希望与此角色关联的任何标签.
单击下一步：查看 .
在提供的字段中输入角色名称和可选描述.
点击创建角色 ，新角色名称将显示在顶部. 单击其名称，然后从新创建的角色复制Role ARN .

在 GitLab 中，将复制的角色 ARN 输入到Role ARN字段中.
Click 使用 AWS 进行身份验证.
选择集群的设置：
- Kubernetes 集群名称 -您希望赋予集群的名称.
- 环境范围 -该集群的关联环境 .
- Kubernetes 版本 -要使用的 Kubernetes 版本. 当前唯一支持的版本是 1.14.
- 角色名称 -选择IAM 角色以允许 Amazon EKS 和 Kubernetes 控制平面代表您管理 AWS 资源. 此 IAM 角色与上面创建的 IAM 角色是分开的，如果尚不存在，则需要创建它.
- 区域 -将在其中创建群集的区域 .
- 密钥对名称 -如果需要，选择可用于连接到工作节点的密钥对 .
- VPC-选择要用于 EKS 群集资源的VPC .
- 子网 -在您的 VPC 中选择运行工作节点的子网 . 您必须至少选择两个.
- 安全组 -选择安全组以应用到在工作节点子网中创建的 EKS 管理的弹性网络接口.
- 实例类型 -工作节点的实例类型 .
- 节点数 -工作节点数.
- 由 GitLab 管理的群集 -如果要让 GitLab 管理该群集的名称空间和服务帐户，请选中此复选框. 有关更多信息，请参见托管集群部分 .
最后，单击创建 Kubernetes 集群按钮.

大约 10 分钟后，您的集群便可以使用了. 现在，您可以继续安装一些预定义的应用程序 .

注意：您需要将 AWS 外部 ID 添加到AWS CLI 中的IAM 角色，才能使用kubectl管理集群.

Troubleshooting creating a new cluster

创建新集群时，通常会遇到以下错误.

Error: Request failed with status code 422

提交初始身份验证表单时，如果无法确定您提供的角色，则 GitLab 会返回状态码 422 错误. 确保已使用 GitLab 提供的帐户 ID和外部 ID正确配置了角色. 在 GitLab 中，确保输入正确的Role ARN .

Could not load Security Groups for this VPC

当在配置表单中填充选项时，GitLab 将返回此错误，因为 GitLab 已成功承担了您提供的角色，但是该角色没有足够的权限来检索表单所需的资源. 确保已为角色分配了正确的权限.

`ROLLBACK_FAILED` during cluster creation

由于 GitLab 在创建一个或多个资源时遇到错误，因此创建过程停止. 您可以检查关联的CloudFormation 堆栈以查找创建失败的特定资源.

如果Cluster资源因错误The provided role doesn't have the Amazon EKS Managed Policies associated with it.失败，则The provided role doesn't have the Amazon EKS Managed Policies associated with it. ， 角色名称中指定的角色配置不正确.

注意：此角色不应与上面创建的角色相同. 如果您没有现有的EKS 群集 IAM 角色，则必须创建一个.