Verarbeitungscluster in AWS konfigurieren

In diesem Thema wird erläutert, wie Sie Anthos-Cluster in AWS als Verarbeitungscluster für die Migration von Linux-VMs einrichten. Mit einem Verarbeitungscluster können Sie migrierte Containerartefakte generieren sowie die Migration ausführen und überwachen.

Hinweis

Zum Erstellen von Anthos-Clustern in AWS ist Folgendes erforderlich:

Anthos-Cluster in AWS erstellen

Da Sie für die Installation von Anthos-Clustern in AWS viele Möglichkeit haben, sehen Sie die Installationsinformation in der Anthos-Clustern in AWS-Dokumentation, um Ihren Cluster zu installieren.

Der Cluster muss:

Verbindung zu Anthos-Clustern in AWS herstellen

Für viele Verfahren zur Migration einer VM muss in Ihrem Cluster die migctl-Befehlszeile ausgeführt werden. Je nach Verbindung Ihrer Workstation zum Cluster müssen Sie möglicherweise einen Tunnel zum Bastion-Host öffnen, um migctl verwenden zu können. Weitere Informationen finden Sie unter Verbindung zum Verwaltungsdienst herstellen.

AWS-IAM-Gruppen und -Instanzrollen konfigurieren

Im Rahmen einer Migration schreibt Migrate for Anthos and GKE Informationen in verschiedene Daten-Repositories:

  1. Docker-Image-Dateien einer migrierten Linux-VM werden in eine Docker-Registry geschrieben.

    Diese Docker-Image-Dateien stellen die Dateien und Verzeichnisse der migrierten Linux-VM dar.

  2. Migrationsartefakte der migrierten Arbeitslast werden in ein zweites Repository geschrieben.

    Artefakte enthalten die YAML-Konfigurationsdateien, mit denen Sie die migrierten Arbeitslasten bereitstellen können, sowie weitere Dateien.

Weitere Informationen finden Sie unter Daten-Repositories definieren.

Für die Migration Ihrer AWS-VMs müssen die im Folgenden aufgeführten Elemente vorhanden sein, damit Ihre Anthos-Cluster in AWS auf diese Repositories zugreifen können:

  • Ein AWS-Konto und zu migrierende EC2-Instanzen.

  • IAM-Rollen, IAM-Nutzer und Zugriffsrichtlinien von Migrate for Anthos and GKE, die im AWS-Konto bereitgestellt werden.

Informationen zu AWS-Konten – IAM-Rollen und Zugriffsrichtlinien

Der Amazon IAM-Dienst ermöglicht das Erstellen und Erzwingen von Zugriffsrichtlinien. Migrate for Anthos and GKE verwenden AWS IAM-Gruppen und -Instanzrollen, um diese Berechtigungen zu definieren und zu aktivieren.

Wir empfehlen die folgende Mindestkonfiguration:

  • Eine IAM-Gruppe mit dem Namen MigrateForAnthos für die Verwendung durch das Migrate for Anthos and GKE-Nutzerkonto in AWS.

    Diese Gruppe erzwingt eine Zugriffsrichtlinie mit den geringsten Berechtigungen, die Migrate for Anthos and GKE benötigt, um auf die erforderlichen Daten-Repositories und EC2-Instanzen zuzugreifen. Weitere Informationen finden Sie unter Daten-Repositories definieren.

  • Ein IAM-Nutzerkonto in der IAM-Gruppe MigrateForAnthos.

    Die empfohlenen Berechtigungen sind in der CloudFormation-Stackvorlagendatei beschrieben.

IAM-Gruppe für Migrate for Anthos and GKE erstellen

  1. Laden Sie die CloudFormation-Stack-Vorlagendatei IAMGroupForAnthosOnAws_CloudFormation.json herunter und entpacken Sie sie.

  2. Melden Sie sich bei der AWS-Konsole an und wählen Sie Cloud Formation aus.

  3. Klicken Sie auf Create Stack (Stack erstellen).

  4. Klicken Sie auf Datei auswählen, laden Sie die CloudFormation-Datei hoch und klicken Sie dann auf Weiter.

  5. Geben Sie einen Namen für den CloudFormation-Stack ein.

  6. Klicken Sie auf der Seite Optionen auf Weiter und dann auf Erstellen. Es wird eine Gruppe mit dem Namen MigrateForAnthos erstellt.

AWS IAM-Nutzer für Migrate for Anthos and GKE erstellen

  1. Klicken Sie oben rechts in der AWS-Konsole auf Ihren Kontonamen und wählen Sie dann Sicherheitsanmeldedaten aus.

    Screenshot des AWS-Menübefehls "Security Credentials" (Sicherheitsanmeldedaten) (zum Vergrößern klicken)
  2. Wählen Sie im linken Bereich die Option Nutzer aus und klicken Sie dann auf Neue Nutzer erstellen.

  3. Wählen Sie für "Access type" (Zugriffstyp) die Option Programmatic access (Programmatischer Zugriff) aus.

  4. Laden Sie die CSV-Datei mit den Nutzeranmeldedaten (Schlüsseln) herunter.

    Sie benötigen diese CSV-Datei, wenn Sie die von Anthos-Clustern in AWS verwendeten Repositories konfigurieren und eine Migrationsquelle erstellen. Weitere Informationen finden Sie unter Daten-Repositories definieren und Migrationsquelle hinzufügen.

    Screenshot des Dialogfelds "Add User" (Nutzer hinzufügen) (zum Vergrößern klicken)
  5. Nehmen Sie den IAM-Nutzer in die Gruppe auf, die vom CloudFormation-Skript erstellt wurde.

    Screenshot des Dialogfelds "Add User" (Nutzer hinzufügen) (zum Vergrößern klicken)

Informationen zu AWS Workload Identity

Mit Workload Identity für Anthos-Cluster in AWS können Sie Kubernetes-Dienstkonten mit bestimmten Berechtigungen an AWS-IAM-Konten binden. Workload Identity verwendet AWS-IAM-Berechtigungen, um unerwünschten Zugriff auf Cloud-Ressourcen zu blockieren.

Mit Workload Identity können Sie jeder Arbeitslast unterschiedliche IAM-Rollen zuweisen. Eine solche detaillierte Steuerung der Berechtigungen bietet die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden.

Workload Identity mit Migrate for Anthos and GKE verwenden

Mit Migrate for Anthos and GKE können Sie Ihre migrierten Arbeitslasten in Anthos-Clustern in AWS bereitstellen. In einigen Fällen können Sie denselben Cluster als Verarbeitungscluster und Bereitstellungscluster verwenden. Wenn Sie die Workload Identity für Ihren Bereitstellungscluster aktiviert haben, müssen Sie Ihre Bereitstellungsumgebung richtig konfigurieren, damit Migrate for Anthos and GKE unterstützt wird.

Achten Sie außerdem darauf, dass alle im Rahmen des Initialisierungsprozesses gestarteten Dienste ordnungsgemäß für Workload Identity konfiguriert sind. Die auszuführenden Schritte hängen vom Dienstmanager für Ihren Cluster ab. Konfigurationsschritte finden Sie unter Linux-Arbeitslast in einem Zielcluster bereitstellen.

Nächste Schritte