Bereitstellung und Management der Anwendung zur Automatisierung von Geschäftsprozessen auf Amazon EKS: Ein praktischer Leitfaden

---

ABSTRAKT

Dieses Dokument enthält einen umfassenden Leitfaden zur Bereitstellung und Verwaltung von Business Process Automation (BPA)-Anwendungen mit Amazon Elastic Kubernetes Service (EKS). Es beschreibt die Voraussetzungen, hebt die Vorteile der Verwendung von EKS hervor und liefert Schritt-für-Schritt-Anleitungen für die Einrichtung eines EKS-Clusters, einer Amazon RDS-Datenbank und von MongoDB Atlas. Darüber hinaus wird in diesem Dokument die Bereitstellungsarchitektur näher beschrieben und auf die Anforderungen der Umgebung eingegangen. Unternehmen, die EKS für ihre containerisierten BPA-Anwendungen nutzen möchten, erhalten dadurch eine umfassende Ressource.

Schlüsselwörter:Amazon EKS, Kubernetes, AWS, RDS, MongoDB Atlas, DevOps, Cloud Computing, Automatisierung von Geschäftsprozessen

EINFÜHRUNG

BUSINESS PROCESS AUTOMATION (BPA)




Die Cisco Business Process Automation (BPA) Services bieten ein umfassendes Portfolio an Beratungs- und Support-Services für die Prozess- und Workflow-Automatisierung und -Orchestrierung. Die BPA-Plattform ist skalierbar und basiert auf Mikroservices. Sie umfasst eine integrierte Workflow-Engine, eine digitale Benutzeroberfläche und eine gemeinsame Integrations-Middleware. Diese Plattform ermöglicht die Automatisierung komplexer Änderungen der Netzwerkkonfiguration und der zugehörigen Prozesse und eignet sich somit sowohl für Service-Provider-Kunden als auch für große globale Unternehmen.

Wichtigste Vorteile von Cisco BPA Services:

• Automatisierung komplizierter Verfahren und Betriebsabläufe.
• Erweiterung der Teamexpertise zur Beschleunigung von Automatisierungsinitiativen
• Schnellere Einführung neuer Services durch verbesserte Benutzeroberfläche/optimiertes Portal
• Integration älterer Netzwerke mit neuen Automatisierungsfunktionen
  
  

Die BPA-Plattform unterstützt verschiedene geschäftliche und IT-/betriebliche Anwendungsfälle wie Betriebssystem-Upgrades, Servicebereitstellung und Integration mit Orchestrierungs-Engines. Kunden können auf einen Lebenszyklus von Services und BPA-Funktionen zugreifen, einschließlich Beratung, Implementierung, geschäftskritische Services und Lösungssupport. Cisco BPA Services zielen darauf ab, die betriebliche Effizienz zu steigern, kostspielige Fehler zu reduzieren, die geschäftliche Flexibilität zu verbessern und schnellere Renditen für Automatisierungsinvestitionen zu erzielen.

AMAZON ELASTIC KUBERNETES SERVICE (EKS)

    Amazon Elastic Kubernetes Service (EKS) ist ein vollständig verwalteter Kubernetes-Service, der von Amazon Web Services (AWS) bereitgestellt wird. EKS wurde 2018 ins Leben gerufen und vereinfacht die Bereitstellung, Verwaltung und Skalierung von containerisierten Anwendungen mithilfe von Kubernetes, einer Open-Source-Plattform für die Containerorchestrierung. EKS abstrahiert die Komplexität des Cluster-Managements von Kubernetes und ermöglicht es Entwicklern, sich auf die Entwicklung und Ausführung von Anwendungen zu konzentrieren, ohne die zugrunde liegende Infrastruktur handhaben zu müssen.

Vorteile von Amazon EKS für die Anwendungsbereitstellung

Amazon EKS bietet verschiedene Vorteile für die Anwendungsbereitstellung und ist damit eine beliebte Wahl für Unternehmen, die containerisierte Anwendungen und Mikroservices nutzen.

Zu den wichtigsten Vorteilen zählen:

• Kontrollebene von Managed Kubernetes: EKS übernimmt die Bereitstellung, Skalierung und Wartung der Kubernetes-Kontrollebene, wodurch der betriebliche Aufwand verringert wird.

• Vereinfachte Cluster-Verwaltung: EKS abstrahiert die Komplexität bei der Einrichtung und Verwaltung von Kubernetes-Clustern.

• Skalierbarkeit: EKS ermöglicht eine einfache Skalierung von Clustern, um wachsenden Workloads gerecht zu werden.

• Hohe Verfügbarkeit: EKS unterstützt Zonen-Bereitstellungen mit Mehrfachverfügbarkeit, wodurch die Verfügbarkeit und die Fehlertoleranz verbessert werden.

• Integration in AWS Services: EKS lässt sich nahtlos in verschiedene AWS-Dienste integrieren.

• DevOps-Automatisierung: EKS unterstützt die kontinuierliche Integration und Bereitstellung (CI/CD) für containerisierte Anwendungen.
  
  

BPA-BEREITSTELLUNGSARCHITEKTUR

Dieses Image stellt eine High-Level-Architektur einer Cloud-basierten Infrastruktur dar, die auf AWS unter Verwendung verschiedener Schlüsselkomponenten bereitgestellt wird. Hier ist eine Aufschlüsselung des Diagramms:

1. Amazon EKS (Elastic Kubernetes Service): Im Kern des Diagramms wird Amazon EKS in drei Verfügbarkeitszonen (AZ1, AZ2, AZ3) bereitgestellt, wobei sich in jeder Zone Kubernetes-Workerknoten befinden. Dies deutet auf eine hochverfügbare und fehlertolerante Konfiguration hin, da die Workloads über mehrere Verfügbarkeitszonen verteilt sind.
2. ALB (Application Load Balancer): Diese Workload wird vorne positioniert, empfängt Datenverkehr von Benutzern und verteilt diesen an das EKS-Cluster, um Anwendungs-Workloads zu verarbeiten. Der Load Balancer stellt sicher, dass die Anforderungen gleichmäßig verteilt sind und eine Skalierung entsprechend der Datenverkehrsnachfrage verarbeiten können.
3. Amazon RDS (Relational Database Service) - PostgreSQL: Auf der rechten Seite des Diagramms ist eine Amazon RDS-Instanz vorhanden, die PostgreSQL ausführt. Auf diese Datenbank kann von Anwendungen zugegriffen werden, die im EKS-Cluster ausgeführt werden.
4. ECR (Elastic Container Registry) Hier werden Docker-Container-Images gespeichert und verwaltet, die dann zur Ausführung der Workloads auf Amazon EKS bereitgestellt werden.
5. MongoDB Atlas: Auf der linken Seite ist MongoDB Atlas über ein privates Endgerät in die Architektur integriert. MongoDB Atlas ist ein in der Cloud gehosteter NoSQL-Datenbankdienst, der hier verwendet wird, um dokumentbasierte Datenbankanforderungen zu erfüllen. Der private Endpunkt sorgt für eine sichere, private Kommunikation zwischen der MongoDB Atlas Instanz und anderen AWS Komponenten.
6. Bastionshost: Ein Bastion Host, der innerhalb der virtuellen privaten Cloud (VPC) positioniert ist, bietet Administratoren einen sicheren Einstiegspunkt für den Zugriff auf Ressourcen innerhalb der VPC, ohne diese direkt dem Internet auszusetzen.
7. Insgesamt bietet diese Architektur eine hochverfügbare, skalierbare und sichere Lösung für die Bereitstellung und Verwaltung containerisierter Anwendungen mit Amazon EKS, die sowohl relationale (PostgreSQL) als auch NoSQL (MongoDB) Datenbanken unterstützt.

EKS-CLUSTER-EINRICHTUNG

• Zum Erstellen eines Amazon EKS-Clusters mithilfe der AWS-CLI kann das Befehlszeilendienstprogramm eksctl verwendet werden. Dies ist ein Beispielbefehl:
  
  eksctl Cluster erstellen \
  —name <my-eks-cluster> \
  —region us-west-2 \
  —nodegroup-name standard-worker \
  —node-type t3.medium \
  —Knoten 4 \
  —knoten-min 4 \
  —node-max 6
  
  

RDS-DATENBANKEINRICHTUNG

Die Bereitstellung einer relationalen Datenbank auf Amazon RDS umfasst folgende Schritte:

1. Rufen Sie die AWS Management Console auf, und navigieren Sie zum Amazon RDS-Service.
2. Erstellen Sie eine neue Datenbankinstanz mit den gewünschten Spezifikationen.
3. Konfigurieren Sie die Sicherheitsgruppe so, dass eingehende Verbindungen von Ihrem Amazon EKS-Cluster zugelassen werden.
   1. Wählen Sie aus dem Dropdown-Menü die aktuelle Version von PostgreSQL aus. In unserem Fall ist es "PostgreSQL 16.3-R1".
      
      
      
      
      
4. Geben Sie der Datenbankinstanz einen Namen und erstellen Sie einen Benutzernamen und ein Kennwort.
   
   
   
   1. Stellen Sie sicher, dass die Standardeinstellungen für "DB Instance Size" (Datenbankinstanzgröße) und "Storage" (Speicher) ausgewählt sind. Wählen Sie abhängig von der Clustergröße und den Datenanforderungen die entsprechende Datenbankinstanzgröße und den entsprechenden Speichertyp aus.
   2. Je nach Anwendungsfall haben wir folgende Konfiguration ausgewählt:
      • Größe der DB-Instanz: db.m5d.2xlarge
      • 8 vCPUs
      • 32 GiB RAM
      • Netzwerk: 4,750 MBit/s
      • 300-GB-Instanzspeicher
   3. Wählen Sie die entsprechenden Werte entsprechend Ihrem Anwendungsfall aus. Wir haben die Standardwerte ausgewählt.
      
      
      
      
   4. Vergewissern Sie sich, dass Sie unter "Datenbankauthentifizierung" die Kennwortauthentifizierung ausgewählt haben. Authentifizierung mithilfe von Datenbankkennwörtern
      
      
      
   5. Sobald dies überprüft ist, können Sie die Datenbank erstellen. Zurück zum Amazon RDS Dashboard. Bestätigen Sie, dass die Instanz für die Verwendung verfügbar ist.
      
      
      
      
      
      
      
      

Sicherheitsgruppenregeln

1. Aktualisieren Sie die eingehende Sicherheitsgruppe mit dem POD-CIDR- und dem Knoten-CIDR-Block.
2. Klicken Sie in RDS -> Databases -> DB-NAME auf configuration, lesen Sie den Abschnitt Parameter Group (Parametergruppe), und klicken Sie auf die anzuzeigende Parametergruppe.  
   
   
3. Suchen Sie nach "password_encryption", und ändern Sie den Wert in md5 von leer / anderen Wert. Dies ist erforderlich, damit die Camunda-Konfigurationen funktionieren. 
   
   
   
   1. Erstellen Sie diese Datenbanken zusammen mit den Benutzern, indem Sie eine Verbindung mit dem RDS herstellen.
      
      PG_ROOT_DATABASE=admin
      PG_INITDB_ROOT_USERNAME=admin
      PG_INITDB_ROOT_PASSWORD=xxxxxxx
      AUTH_DB_NAME=kong
      AUTH_DB_USER=kong
      AUTH_DB_PASSWORD=xxxxxxxxx
      WFE_DB_USER=camunda
      WFE_DB_PASSWORD=xxxxxxxx
      WFE_DB_NAME=Prozess-Engine​
      
      
   2. Ändern Sie zum Aktualisieren von Datenbankkennwörtern die Werte in der Datei bpa-helm-chart/bpa/env/environment.txt. Diese Datei wird zum Authentifizieren von Datenbankverbindungen verwendet.
      
      
      

ATLAS MONGODB EINRICHTUNG

Die Einrichtung von Atlas MongoDB umfasst:

1. Anmeldung bei Atlas MongoDB.
2. Auswählen der Organisation und des Projekts.
3. Erstellen eines dedizierten Clusters mit den entsprechenden Spezifikationen und Versionen. In unserem Fall ist es "MongoDB Atlas v5.0.29".
   
   
   
4. Wählen Sie die dedizierte Ebene, den Cloud-Anbieter und die Region aus.
   
   
   
5. Wählen Sie den entsprechenden dedizierten Cluster-Tier (wir haben M30 als Tier verwendet) aus, geben Sie den entsprechenden Clusternamen an, und klicken Sie auf "Cluster erstellen". Es wird den Atlas-Monogodb-Cluster initialisieren.
   
   

6. Einrichten des privaten VPC-Endpunkts für das Atlas- und das K8S-Cluster.
   1. Klicken Sie auf Network Access Select Private Endpoint, und klicken Sie dann auf Add Private Endpoint.
      
      
      
7. Wählen Sie Cloud Provider als AWS aus, wählen Sie die entsprechende Region aus, und klicken Sie auf Weiter.
   
   
   
   
8. Geben Sie die entsprechenden PVC-IDs und Subnetz-IDs an. Wenn Sie die Details eingegeben haben, kopieren Sie den Befehl vpc end point create, und führen Sie ihn in der aws-Konsole aus. Sie erhalten die vPC-Endpunkt-ID als Ausgabe.
   
   

9. Klicken Sie auf Weiter, um die VPC-Endpunkt-ID einzufügen, und klicken Sie auf Erstellen.
   
   

10. Nach der erfolgreichen Erstellung ist der Status des Kondpunkts "Verfügbar" (Available), wie im nächsten Bild gezeigt. Für den POD-CIDR muss ein VPC-Endpunkt erstellt werden. In unserem Fall haben wir "100.64.0.0/16" benutzt.
    
    

11. Fügen Sie dem neu erstellten vpc-endpoint eingehende Regeln hinzu. Der vpc-endpoint befindet sich im übergeordneten Konto, und dem neu erstellten vpc-endpoint muss eine Sicherheitsgruppe zugewiesen werden.
    
    
    
    

ECR ALS BILDREGISTRIERUNG

1. Das Erstellen von Amazon ECR-Repositories und das Einschleusen von Docker-Bildern in diese erfordert mehrere Schritte. Dies sind die Schritte, um ein ECR-Repository zu erstellen, ein Docker-Image zu kennzeichnen und es mithilfe der AWS-CLI in das Repository zu verschieben.
   
   aws ecr create-repository —repository-name your-image-name —region your-region
   
   

2. Ersetzen:

   • Ihren Image-Namen mit dem gewünschten Namen für Ihr ECR-Repository.

   • Ihre Region mit Ihrer AWS-Region

3. Schritte zum Markieren und Verschieben des Bilds.
   • Beispiel:
     
     docker-Tag containers.cisco.com/bpa/sase-service:4.0.3-522 <Kontonummer>.dkr.ecr.us-west-2.amazonaws.com/<Repository_Path>/sase-service:4.0.3-522
     
     docker push <Kontonummer>.dkr.ecr.us-west-2.amazonaws.com/<Repository_Path>/sase-service:4.0.3-522
     
     

4. Konfigurieren der IAM-Rolle für EKS-Knoten

5. Stellen Sie sicher, dass den EKS-Workerknoten (EC2-Instanzen) die erforderliche IAM-Rolle mit Berechtigungen zum Abrufen von Bildern aus ECR zugeordnet ist. Die erforderliche IAM-Richtlinie lautet:
   

   {

       "Version": "2012-10-17",

       "Anweisung": [

          {

             "Effekt": "Zulassen",

             "Aktion": [

                "ecr:GetDownloadUrlForLayer",

                "ecr:BatchGetImage",

                "ecr:BatchCheckLayerAvailability"

             ],

             "Ressource": "*"

          }

       ]

   }

6. Hängen Sie diese Richtlinie an die IAM-Rolle an, die Ihren EKS-Workerknoten zugeordnet ist.

BPA-EINRICHTUNG

Die Bereitstellung von BPA umfasst mehrere Schritte, darunter die Kennzeichnung von EKS-Workerknoten, die Vorbereitung von Verzeichnissen auf Knoten, das Kopieren von BPA-Paketen und die Bereitstellung von BPA mithilfe von Helm.

1. Für die Bereitstellung beim Kunden haben wir die folgenden Versionen von Software und Cloud-Services verwendet:

   1. BPA: 4.0.3-6
   2. RDS (Relational Database Service): PostgreSQL 16.3-R1
   3. MongoDB Atlas: v5.0.29 
   4. EKS (Elastic Kubernetes Service): V1.27
2. Diese Komponenten stellen sicher, dass unsere Bereitstellung robust, skalierbar und in der Lage ist, die erforderlichen Workloads effizient zu verarbeiten.
3. Beschriften von EKS-Workerknoten
   
   kubectl label node <worker_node_1> name=node-1
   kubectl label node <worker_node_2> name=node-2
   kubectl label node <worker_node_3> name=node-3
   kubectl label node <worker_node_4> name=node-4
   
   

Vorbereiten von Verzeichnissen auf Knoten

• KNOTEN 1:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• KNOTEN 2:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• KNOTEN 3:
  
  rm -rf /opt/bpa/data
  sysctl -w vm.max_map_count=262144
  mkdir -p /opt/bpa/data/kafka3
  mkdir -p /opt/bpa/data/zookeeper3
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/kafka3
  chmod 777 /opt/bpa/data/zookeeper3
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  
  
• KNOTEN 4:
  
  mkdir -p /opt/bpa/data/elk
  mkdir -p /opt/bpa/data/metrices/prometheus
  mkdir -p /opt/bpa/data/metrices/grafana
  chmod 777 /opt/bpa/data/metrices
  chmod 777 /opt/bpa/data/metrices/prometheus
  chmod 777 /opt/bpa/data/metrices/grafana
  sysctl -w vm.max_map_count=262144
  
  

Kopieren von BPA-Paketen

scp -r Pakete zu node1:/opt/bpa/​
scp -r Pakete zu node2:/opt/bpa/​
scp -r Pakete zu node3:/opt/bpa/​
scp -r Pakete zu node4:/opt/bpa/
​

Bereitstellen von BPA mithilfe von Helm

helm install bpa-rel —create-namespace —namespace bpa-ns /opt/EKS/bpa-helm-chart

Eingangs-Setup

Aktivieren des Eingangs

• Aktualisieren Sie values.yamlto, um den Eingang zu aktivieren:
  
  Eingangscontroller: {erstellen: Wahr}
  
  

Erstellen eines Schlüssels mit einem BPA-Zertifikat

• Navigieren Sie zum Zertifikatverzeichnis, und erstellen Sie einen Schlüssel:
  
  cd /opt/bpa/<Position des BPA-Helmdiagramms>/bpa/conf/common/certs/
  kubectl create secret tls bpa-certificate-ingress —cert=bap-cert.pem —key=bap-key.pem -n bpa-ns
  
  

Eingangscontroller wird aktualisiert

• Fügen Sie den neu erstellten geheimen Schlüssel in ingress-controller.yaml hinzu. Datei:
  
  cd /opt/bpa/<Position des BPA-Helmdiagramms>/templates/
  vi ingress-controller.yaml
  "- —default-ssl-certificate=$(POD_NAMESPACE)/bpa-certificate-ingress"
  
  

Eingangszertifikat wird aktualisiert

• Helm löschen und installieren, um das Eingangszertifikat zu aktualisieren.
  
  

Umgebungsbedingungen

Die Umgebungsspezifikationen umfassen Anforderungen für EC2-Instanzen, Load Balancer, VPC-Endpunkte und RDS-Instanzen. Die wichtigsten technischen Daten sind:

• EC2-Anforderungen:

  1. Speicheranforderungen:2 TB Speicherplatz pro Knoten. Mounten Sie das EBS-Volume nach /opt, und fügen Sie einen Eintrag in /etc/fstab für alle Knoten hinzu.

  2. Eingehende Sicherheitsgruppe: 30101, 443, 0 - 65535 TCP, 22 für SSH

  3. Ausgehende Sicherheitsgruppe: Sämtlicher Datenverkehr muss aktiviert sein.

  4. DNS-Resolver: EC2 muss über interne Resolver in /etc/resolve.conf verfügen.
     
     

Anforderungen an den Load Balancer:

• Listeners-Ports müssen 443, 30101 sein.
• VPC-Endgeräteanforderungen (Atlas MongoDB).
• VPC-Endpunkte, die für die Atlas-Konnektivität erstellt wurden, sind im übergeordneten Konto verfügbar. Der VPC-Endpunkt muss über eine Sicherheitsgruppe verfügen, die den gesamten eingehenden Zugriff zulässt (0 - 65535).
  
  

WICHTIGE KONZEPTE UND KOMPONENTEN

Ein Verständnis der Grundlagen von Kubernetes ist für die effektive Bereitstellung und Verwaltung von Anwendungen mithilfe von Amazon EKS unerlässlich.

FAZIT

Dieses Whitepaper bietet einen detaillierten Leitfaden für die Bereitstellung und Verwaltung von Business Process Automation (BPA)-Anwendungen mit Amazon EKS. Wenn Sie die beschriebenen Schritte durchführen und die wichtigsten Konzepte verstehen, können Organisationen die Vorteile von EKS für ihre containerisierten BPA-Anwendungen nutzen.

REFERENZEN

Amazon Web Services, "Amazon EKS Documentation", [Online] Verfügbar:https://docs.aws.amazon.com/eks/

Kubernetes, "Kubernetes Documentation", [Online]. Verfügbar:https://kubernetes.io/docs/home/

Cisco BPA auf einen Blick https://www.cisco.com/c/en/us/solutions/collateral/service-provider/at-a-glance-c45-742579.html

BPA-Betriebshandbuch https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-operations-guide-v403.pdf

BPA-Entwicklerhandbuch https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-developer-guide-v403.pdf