¿Cómo puedo hacer que mis nodos de trabajo se unan a mi clúster de Amazon EKS?

Resolución

Para solucionar los problemas de los nodos de trabajo que no se unen a tu clúster de Amazon EKS, sigue estos pasos:

Uso de la automatización de Systems Manager para identificar problemas

Utiliza el runbook de automatización AWSSupport-TroubleshootEKSWorkerNode para identificar los problemas que impiden que los nodos de trabajo se unan a tu clúster.

Requisitos previos:

• Los nodos de trabajo deben tener la política AmazonSSMManagedInstanceCore asociada a su rol de AWS Identity and Access Management (IAM)
• Los nodos de trabajo deben estar en ejecución y ser accesibles a través de Systems Manager

Para obtener más información sobre la ejecución de esta automatización, consulta AWSSupport-TroubleshootEKSWorkerNode.

Comprobación de la configuración de DNS de tu VPC

Sigue estos pasos:

1. Abre la consola de Amazon Virtual Private Cloud (Amazon VPC).
2. En el panel de navegación, selecciona Tus VPC.
3. Selecciona tu VPC.
4. Selecciona Acciones y, a continuación, Editar configuración de VPC.
5. Comprueba la siguiente configuración:
   En la resolución de DNS, confirma que esté activada.
   En el caso de los nombres de host DNS, confirma que estén activados.
6. En el panel de navegación, selecciona Conjuntos de opciones de DHCP.
7. Selecciona el conjunto de opciones de DHCP.
8. Comprueba los valores siguientes:
   Para domain-name, confirma que esté establecido en region.compute.internal. Por ejemplo, us-west-2.compute.internal.
   En el caso de domain-name-servers, confirma que esté configurado en AmazonProvidedDNS.

Para obtener más información sobre los conjuntos de opciones de DHCP, consulta Conjuntos de opciones de DHCP en Amazon VPC.

Verificar los permisos de IAM para los nodos de trabajo

Sigue estos pasos:

1. Abre la consola de IAM.
2. En el panel de navegación, selecciona Roles.
3. Busca tu rol de IAM en el nodo de trabajo.
4. Selecciona el rol.
5. Selecciona la pestaña Permisos.
6. Verifica que estén adjuntas las siguientes políticas administradas:
   AmazonEKSWorkerNodePolicy
   AmazonEC2ContainerRegistryPullOnly

Nota: Si no usas IRSA o EKS Pod Identity para el CNI de VPC, también debes adjuntar la política administrada AmazonEKS_CNI_Policy. Sin embargo, se recomienda adjuntar esta política a un rol independiente que se utilice específicamente para el complemento CNI de Amazon VPC.

Para obtener más información sobre la creación del rol de IAM de nodo, consulta Rol de IAM de nodo de Amazon EKS.

Configuración de la autenticación para los nodos de trabajo

Elige uno de los siguientes métodos para configurar la autenticación:

Uso de entradas de acceso

Las entradas de acceso son el método recomendado para conceder acceso a los nodos de trabajo a tu clúster.

1. Abre la consola de Amazon EKS.
2. En el panel de navegación, selecciona Clústeres.
3. Selecciona tu clúster.
4. Selecciona la pestaña Acceso.
5. En la sección Entradas de acceso, verifica que exista una entrada para el ARN del rol de IAM de tu nodo de trabajo.
6. Si no existe ninguna entrada, elige Crear entrada de acceso.
7. En ARN de la entidad principal de IAM, introduce el ARN del rol de IAM del nodo de trabajo, no el ARN del perfil de instancia.
8. En Tipo, elige Linux de EC2 o Windows de EC2 según tu tipo de nodo.
9. Elige Siguiente y, a continuación, elige Crear.

Para obtener más información sobre las entradas de acceso, consulta Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS.

Uso de ConfigMap de aws-auth

Si tu clúster no admite entradas de acceso, utiliza el método ConfigMap de aws-auth.

Para obtener más información sobre la configuración del ConfigMap de aws-auth, consulta Concesión de acceso a Kubernetes a los usuarios de IAM con un ConfigMap.

Verificación de la configuración de datos de usuario

En el caso de los nodos autoadministrados, comprueba que los datos de usuario incluyen el nombre y la configuración correctos del clúster.

Los datos de usuario deben incluir el script de arranque con el nombre del clúster:

#!/bin/bash
/etc/eks/bootstrap.sh my-cluster

Nota: Sustituye my-cluster por el nombre del clúster real.

Para obtener más información sobre la configuración del script de arranque, consulta Arranque de nodos.

Comprobación de la conectividad de la red

Sigue estos pasos:

1. Verifica que los nodos de trabajo puedan llegar al punto de enlace del servidor de API del clúster.
2. En el caso de los nodos de subredes públicas, confirma que tengan asignadas direcciones IP públicas.
3. Para los nodos de subredes privadas, verifica que la subred tenga una ruta a una puerta de enlace de NAT.
4. Verifica que los grupos de seguridad permitan el tráfico siguiente:
   Puerto 443 para la comunicación de API de clúster
   Puerto 10250 para comunicación de kubelet
   Puerto 53, TCP y UDP, para resolución de DNS

Para obtener más información sobre los requisitos de los grupos de seguridad, consulta Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres.

Verificación de los puntos de enlace de VPC para clústeres privados

Si tu clúster usa puntos de enlace privados, verifica que existan los siguientes puntos de enlace de VPC:

• com.amazonaws.region.ec2
• com.amazonaws.region.ecr.api
• com.amazonaws.region.ecr.dkr
• com.amazonaws.region.s3
• com.amazonaws.region.sts

Para obtener más información sobre los requisitos de los clústeres privados, consulta Despliegue de clústeres privados con acceso limitado a Internet.

Comprobación de la configuración de los roles del clúster

Sigue estos pasos:

1. Abre la consola de IAM.
2. En el panel de navegación, selecciona Roles.
3. Busca tu rol de IAM en el clúster.
4. Selecciona el rol.
5. Elige la pestaña Relaciones de confianza.
6. Verifica que la política de confianza permita a eks.amazonaws.com asumir el rol.
7. Selecciona la pestaña Permisos.
8. Comprueba que la política administrada AmazonEKSClusterPolicy esté adjunta.

Revisión de los registros de kubelet

Para revisar los registros de kubelet en un nodo de trabajo:

1. Conéctate a tu nodo de trabajo mediante SSH o el Administrador de sesiones de Systems Manager.

2. Ejecuta el siguiente comando:

   sudo journalctl -u kubelet -f

3. Busca mensajes de error que indiquen por qué el nodo no puede unirse al clúster.

Verificación de que el punto de enlace de AWS STS esté activado

Confirma que el punto de enlace de AWS STS de tu región de AWS esté activado para tu cuenta.

Para obtener más información sobre la activación de los puntos de enlace de STS, consulta Activación y desactivación de AWS STS en una región de AWS.

Comprobación del etiquetado de subredes y VPC

Sigue estos pasos:

1. Abre la consola de Amazon VPC.
2. En el panel de navegación, elige Subredes.
3. Selecciona la subred en la que se despliegan los nodos de trabajo.
4. Selecciona la pestaña Etiquetas.
5. Comprueba que existe la siguiente etiqueta:
   Para Clave, kubernetes.io/cluster/my-cluster
   Para Valor, compartido o propio.

Nota: Sustituye my-cluster por el nombre del clúster real.

Información relacionada

Solución de problemas con los clústeres y nodos de Amazon EKS

Consideraciones sobre la VPC y la subred