在 Amazon EKS 中部署 EMQX

EMQX Operator 支持在 Amazon 容器服务 EKS（Elastic Kubernetes Service）上运行。Amazon EKS 是一种托管的 Kubernetes 服务，可简化容器化应用程序的部署、管理和扩展。EKS 提供了 Kubernetes 控制平面和节点组，自动处理节点替换、升级和修补。它支持 AWS 服务，如 Load Balancers、RDS 和 IAM，并与其他 Kubernetes 生态系统工具无缝集成。

有关详细介绍，请参阅 什么是 Amazon EKS。

前提条件

在 EKS 上部署 EMQX 之前，请确保您已完成以下先决条件：

• 创建 EKS 集群。
  有关更多详细信息，请参阅 创建 Amazon EKS 集群。

• 配置 kubectl 以连接到您的 EKS 集群。
  有关更多详细信息，请参阅 使用 kubectl 连接集群。

• 在集群上部署 AWS Load Balancer Controller。
  有关更多详细信息，请参阅 创建网络负载均衡器。

• 在集群上安装 Amazon EBS CSI 驱动程序。
  有关更多详细信息，请参阅 Amazon EBS CSI 驱动程序。

• 安装 EMQX Operator。
  有关更多详细信息，请参阅 安装 EMQX Operator。

快速部署 EMQX 集群

以下示例演示了在 EKS 上部署的相关 EMQX 自定义资源（CR）配置。

1. 将下面的内容保存成 YAML 文件，并通过 kubectl apply 命令部署它。

apiVersion: apps.emqx.io/v2beta1
kind: EMQX
metadata:
  name: emqx
spec:
  image: emqx/emqx:latest
  coreTemplate:
    spec:
      ## 若开启了持久化，您需要配置 podSecurityContext，
      ## 详情请参考 discussion: https://github.com/emqx/emqx-operator/discussions/716
      podSecurityContext:
        runAsUser: 1000
        runAsGroup: 1000
        fsGroup: 1000
        fsGroupChangePolicy: Always
        supplementalGroups:
          - 1000
      ## EMQX 自定义资源不支持在运行时更新这个字段
      volumeClaimTemplates:
        ## 更多内容：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/storage-classes.html
        ## 请将 Amazon EBS CSI 驱动程序作为 Amazon EKS 附加组件管理，
        ## 更多文档请参考：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/managing-ebs-csi.html
        storageClassName: gp2
        resources:
          requests:
            storage: 10Gi
        accessModes:
          - ReadWriteOnce
  dashboardServiceTemplate:
    metadata:
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/annotations/
      annotations:
        ## 指定 NLB 是面向 Internet 的还是内部的。如果未指定，则默认为内部。
        service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing
        ## 指定 NLB 将流量路由到的可用区。指定至少一个子网，subnetID 或 subnetName（子网名称标签）都可以使用。
        service.beta.kubernetes.io/aws-load-balancer-subnets: subnet-xxx1,subnet-xxx2
    spec:
      type: LoadBalancer
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/nlb/
      loadBalancerClass: service.k8s.aws/nlb
  listenersServiceTemplate:
    metadata:
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/annotations/
      annotations:
        ## 指定 NLB 是面向 Internet 的还是内部的。如果未指定，则默认为内部。
        service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing
        ## 指定 NLB 将流量路由到的可用区。指定至少一个子网，subnetID 或 subnetName（子网名称标签）都可以使用。
        service.beta.kubernetes.io/aws-load-balancer-subnets: subnet-xxx1,subnet-xxx2
    spec:
      type: LoadBalancer
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/nlb/
      loadBalancerClass: service.k8s.aws/nlb

2. 等待 EMQX 集群就绪，可以通过 kubectl get 命令查看 EMQX 集群的状态，请确保 STATUS 为 Running，这个可能需要一些时间。

$ kubectl get emqx
NAME   STATUS    AGE
emqx   Ready     55s

3. 获取 EMQX 集群的 Dashboard External IP, 访问 EMQX 控制台。

EMQX Operator 会创建两个 EMQX Service 资源，一个是 emqx-dashboard，一个是 emqx-listeners，分别对应 EMQX 控制台和 EMQX 监听端口。

$ kubectl get svc emqx-dashboard -o json | jq '.status.loadBalancer.ingress[0].ip'

192.168.1.200

通过浏览器访问 http://192.168.1.200:18083 ，使用默认的用户名和密码 admin/public 登录 EMQX 控制台。

1. 将下面的内容保存成 YAML 文件，并通过 kubectl apply 命令部署它。

apiVersion: apps.emqx.io/v1beta4
kind: EmqxEnterprise
metadata:
  name: emqx-ee
spec:
   ## EMQX 自定义资源不支持在运行时更新这个字段
  persistent:
    metadata:
      name: emqx-ee
    spec:
      ## 更多内容：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/storage-classes.html
      ## 请将 Amazon EBS CSI 驱动程序作为 Amazon EKS 附加组件管理，更多文档请参考：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/managing-ebs-csi.html
      storageClassName: gp2
      resources:
        requests:
          storage: 10Gi
      accessModes:
        - ReadWriteOnce
  template:
    spec:
      ## 若开启了持久化，您需要配置 podSecurityContext，
      ## 详情请参考 discussion: https://github.com/emqx/emqx-operator/discussions/716
      podSecurityContext:
        runAsUser: 1000
        runAsGroup: 1000
        fsGroup: 1000
        fsGroupChangePolicy: Always
        supplementalGroups:
          - 1000
      emqxContainer:
        image:
          repository: emqx/emqx-ee
          version: 4.4.14
  serviceTemplate:
    metadata:
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/annotations/
      annotations:
        ## 指定 NLB 是面向 Internet 的还是内部的。如果未指定，则默认为内部。
        service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing
        ## 指定 NLB 将流量路由到的可用区。指定至少一个子网，subnetID 或 subnetName（子网名称标签）都可以使用。
        service.beta.kubernetes.io/aws-load-balancer-subnets: subnet-xxx1,subnet-xxx2
    spec:
      type: LoadBalancer
      ## 更多内容：https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/service/nlb/
      loadBalancerClass: service.k8s.aws/nlb

2. 等待 EMQX 集群就绪，可以通过 kubectl get 命令查看 EMQX 集群的状态，请确保 STATUS 为 Running，这个可能需要一些时间。

$ kubectl get emqxenterprises
NAME      STATUS   AGE
emqx-ee   Running  26m

3. 获取 EMQX 集群的 External IP, 访问 EMQX 控制台。

$ kubectl get svc emqx-ee -o json | jq '.status.loadBalancer.ingress[0].ip'

192.168.1.200

通过浏览器访问 http://192.168.1.200:18083 ，使用默认的用户名和密码 admin/public 登录 EMQX 控制台。

使用 MQTT X CLI 发布/订阅消息

MQTT X CLI 是一款开源的 MQTT 5.0 命令行客户端工具，旨在帮助开发者在不需要使用图形化界面的基础上，也能更快的开发和调试 MQTT 服务与应用。

1. 获取 EMQX 集群的 External IP。

external_ip=$(kubectl get svc emqx-listeners -o json | jq '.status.loadBalancer.ingress[0].ip')

external_ip=$(kubectl get svc emqx-ee -o json | jq '.status.loadBalancer.ingress[0].ip')

2. 订阅消息。

$ mqttx sub -t 'hello' -h ${external_ip} -p 1883

[10:00:25] › …  Connecting...
[10:00:25] › ✔  Connected
[10:00:25] › …  Subscribing to hello...
[10:00:25] › ✔  Subscribed to hello

3. 创建一个新的终端窗口并发布消息。

$ mqttx pub -t 'hello' -h ${external_ip} -p 1883 -m 'hello world'

[10:00:58] › …  Connecting...
[10:00:58] › ✔  Connected
[10:00:58] › …  Message Publishing...
[10:00:58] › ✔  Message published

4. 查看订阅终端窗口收到的消息。

[10:00:58] › payload: hello world

使用 LoadBalancer 终结 TLS 加密

在 Amazon EKS 中，您可以使用 NLB 进行 TLS 终结，可以按照以下步骤进行操作：

1. 在 AWS Certificate Manager 控制台中导入相关证书，然后通过单击证书 ID 进入详细信息页面，然后记录 ARN 信息

   TIP

   证书和密钥的导入格式，请参考 import certificate

2. 在 EMQX 自定义资源的 Annotations 中添加如下注释：

   ## 指定由 AWS Certificate Manager 管理的一个或多个证书的 ARN。
   service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:us-west-2:xxxxx:certificate/xxxxxxx
   ## 指定是否对负载均衡器和 kubernetes pod 之间的后端流量使用 TLS。
   service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp
   ## 指定带有 TLS 侦听器的前端端口。这意味着通过 AWS NLB 服务访问 1883 端口需要通过 TLS 认证，
   ## 但是直接访问 K8S service port 不需要 TLS 认证
   service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "1883"

   service.beta.kubernetes.io/aws-load-balancer-ssl-cert 的值是我们在第一步记录的 ARN 信息。