Distribuire e gestire l'applicazione di automazione dei processi aziendali su Amazon EK: Guida pratica

---

RIASSUNTO

Questo documento presenta una guida completa sull'installazione e la gestione delle applicazioni BPA (Business Process Automation) utilizzando il servizio EK (Amazon Elastic Kubernetes Service). Illustra i prerequisiti, evidenzia i vantaggi dell'utilizzo di EKS e fornisce istruzioni dettagliate per la configurazione di un cluster EKS, di un database RDS Amazon e di un atlante MongoDB. Inoltre, il documento analizza l'architettura di distribuzione e specifica i requisiti dell'ambiente, offrendo una risorsa completa per le organizzazioni che intendono utilizzare EK per le proprie applicazioni BPA containerizzate.

Parole chiave:Amazon EK, Kubernetes, AWS, RDS, MongoDB Atlas, DevOps, cloud computing, Business Process Automation.

INTRODUZIONE

BPA (BUSINESS PROCESS AUTOMATION)




I servizi Cisco BPA (Business Process Automation) offrono un portafoglio completo di servizi di consulenza e supporto progettati per l'automazione e l'orchestrazione dei processi e dei flussi di lavoro. La piattaforma BPA è scalabile e basata su microservizi, con un motore di flusso di lavoro integrato, un'interfaccia utente digitale e un middleware di integrazione comune. Questa piattaforma consente di automatizzare le modifiche complesse alla configurazione di rete e i processi associati, rendendola adatta sia ai clienti dei provider di servizi che alle grandi aziende globali.

I principali vantaggi dei servizi BPA Cisco includono:

• Automazione di metodi e procedure operative complicati.
• Miglioramento dell'esperienza del team per accelerare le iniziative di automazione.
• Accelerazione dell'implementazione di nuovi servizi con un'interfaccia utente/un portale migliorati.
• Integrazione delle reti preesistenti con nuove funzionalità di automazione.
  
  

La piattaforma BPA supporta diversi casi di utilizzo aziendali e IT/operativo, ad esempio aggiornamenti del sistema operativo, provisioning dei servizi e integrazione con i motori di orchestrazione. I clienti possono accedere a un ciclo di vita di servizi e funzionalità BPA, tra cui consulenza, implementazione, servizi business-critical e supporto alle soluzioni. I servizi BPA di Cisco mirano ad aumentare l'efficienza operativa, ridurre gli errori costosi, migliorare l'agilità aziendale e fornire un ritorno più rapido sugli investimenti nell'automazione.

AMAZON ELASTIC KUBERNETES SERVICE (EK)

    Amazon Elastic Kubernetes Service (EKS) è un servizio Kubernetes completamente gestito fornito da Amazon Web Services (AWS). Lanciato nel 2018, EKS semplifica il processo di distribuzione, gestione e scalabilità delle applicazioni containerizzate utilizzando Kubernetes, una piattaforma di orchestrazione di contenitori open-source. EKS riassume le complessità della gestione dei cluster Kubernetes, consentendo agli sviluppatori di concentrarsi sulla creazione e l'esecuzione di applicazioni senza la necessità di gestire l'infrastruttura sottostante.

Vantaggi dell'utilizzo di Amazon EK per la distribuzione delle applicazioni

Amazon EK offre diversi vantaggi per l'installazione delle applicazioni, rendendola una scelta diffusa per le organizzazioni che utilizzano applicazioni e microservizi containerizzati.

I vantaggi principali includono:

• Control Plane Kubernetes gestito: EK gestisce l'installazione, la scalabilità e la manutenzione del control plane Kubernetes, riducendo il carico operativo.

• Gestione semplificata dei cluster: Il sito EKS sintetizza le complessità della creazione e della gestione dei cluster Kubernetes.

• Scalabilità: La tecnologia EK consente di scalare facilmente i cluster per gestire carichi di lavoro in aumento.

• Alta disponibilità: EK supporta le installazioni di più zone a disponibilità, migliorando la disponibilità e la tolleranza di errore.

• Integrazione con i servizi AWS: EKS si integra perfettamente con vari servizi AWS.

• Automazione DevOps: EK supporta l'integrazione continua e l'installazione continua (CI/CD) per le applicazioni containerizzate.
  
  

ARCHITETTURA DI DISTRIBUZIONE BPA

Questa immagine rappresenta un'architettura di alto livello di un'infrastruttura basata su cloud implementata su AWS, che utilizza diversi componenti chiave. Ecco una scomposizione del diagramma:

1. Amazon EK (Elastic Kubernetes Service): Alla base del diagramma, Amazon EK è distribuito in tre zone di disponibilità (AZ1, AZ2, AZ3), con nodi di lavoro Kubernetes all'interno di ciascuna zona. Ciò indica un'impostazione a elevata disponibilità e tolleranza di errore, in quanto i carichi di lavoro sono distribuiti su più zone di disponibilità.
2. ALB (Application Load Balancer): Si trova nella parte anteriore, riceve il traffico dagli utenti e lo distribuisce attraverso il cluster EKS per la gestione dei carichi di lavoro delle applicazioni. Il bilanciamento del carico garantisce che le richieste siano distribuite in modo uniforme e in grado di gestire la scalabilità in base alla domanda di traffico.
3. Amazon RDS (Relational Database Service) - PostgreSQL: Sul lato destro del diagramma è presente un'istanza Amazon RDS che esegue PostgreSQL. È possibile accedere a questo database da applicazioni in esecuzione all'interno del cluster EKS.
4. ECR (Elastic Container Registry): Qui vengono archiviate e gestite le immagini dei contenitori Docker, che vengono quindi distribuite in Amazon EK per l'esecuzione dei carichi di lavoro.
5. Atlante MongoDB: Sul lato sinistro, MongoDB Atlas è integrato nell'architettura tramite un endpoint privato. MongoDB Atlas è un servizio di database NoSQL ospitato nel cloud, utilizzato qui per gestire i requisiti di database basati su documenti. L'endpoint privato garantisce una comunicazione protetta e privata tra l'istanza di MongoDB Atlas e altri componenti AWS.
6. Ospitante del bastione: Posizionato all'interno del VPC (Virtual Private Cloud), Bastion Host fornisce un punto di ingresso sicuro per gli amministratori per accedere alle risorse all'interno del VPC senza esporle direttamente a Internet.
7. Nel complesso, questa architettura fornisce una soluzione altamente disponibile, scalabile e sicura per l'installazione e la gestione di applicazioni containerizzate mediante Amazon EK, con supporto per database relazionali (PostgreSQL) e NoSQL (MongoDB).

INSTALLAZIONE CLUSTER EK

• Per creare un cluster di Amazon EKS utilizzando AWS CLI, è possibile utilizzare l'utilità da riga di comando eksctl. Questo è un comando di esempio:
  
  eksctl crea cluster \
  —name <my-eks-cluster> \
  —region us-west-2 \
  —nodegroup-name lavoratori-standard \
  - tipo nodo t3.medium \
  - nodi 4 \
  —nodes-min 4 \
  —nodi-max 6
  
  

IMPOSTAZIONE DATABASE RDS

La distribuzione di un database relazionale su Amazon RDS prevede i seguenti passaggi:

1. Accedere a AWS Management Console e selezionare il servizio Amazon RDS.
2. Creare una nuova istanza di database con le specifiche desiderate.
3. Configurare il gruppo di sicurezza in modo da consentire le connessioni in ingresso dal cluster EK Amazon.
   1. Dal menu a discesa, selezionare la versione più recente di PostgreSQL. Nel nostro caso, è "PostgreSQL 16.3-R1".
      
      
      
      
      
4. Assegnare un nome all'istanza di database e creare un nome utente e una password.
   
   
   
   1. Accertarsi che siano selezionate le impostazioni predefinite per "Dimensione istanza database" e "Archiviazione". In base alle dimensioni del cluster e ai requisiti dei dati, selezionare le dimensioni e il tipo di archiviazione appropriati per l'istanza di database.
   2. In base al nostro caso di utilizzo, abbiamo scelto la seguente configurazione:
      • Dimensione istanza database: db.m5d.2xlarge
      • 8 vCPU
      • 32 GB di RAM
      • Rete: 4,750 Mbps
      • Archivio istanza da 300 GB
   3. Selezionare i valori appropriati in base allo Use Case. Sono stati selezionati i valori predefiniti.
      
      
      
      
   4. Assicurarsi che in "Autenticazione database" sia stata selezionata l'opzione Autenticazione password. Esegue l'autenticazione utilizzando le password del database.
      
      
      
   5. Una volta verificato, è possibile creare il database. Tornate al dashboard Amazon RDS. Confermate che l'istanza sia disponibile per l'uso.
      
      
      
      
      
      
      
      

Regole gruppo di sicurezza

1. Aggiornare il gruppo di sicurezza in ingresso con il blocco CIDR del pod e il blocco CIDR del nodo.
2. In RDS -> Database -> DB-NAME, fare clic su configuration e fare riferimento alla sezione Gruppo di parametri, quindi fare clic sul gruppo di parametri da visualizzare.  
   
   
3. Cercare "password_encryption" e modificare il valore in md5 da blank / other value. Questa operazione è necessaria per il funzionamento delle configurazioni della camunda. 
   
   
   
   1. Creare questi database insieme agli utenti connettendosi a RDS.
      
      PG_ROOT_DATABASE=admin
      PG_INITDB_ROOT_USERNAME=admin
      PG_INITDB_ROOT_PASSWORD=xxxxxxx
      AUTH_DB_NAME=kong
      AUTH_DB_USER=kong
      AUTH_DB_PASSWORD=xxxxxxxxx
      WFE_DB_USER=camunda
      WFE_DB_PASSWORD=xxxxxxxx
      WFE_DB_NAME=motore-processo​
      
      
   2. Per aggiornare le password del database, modificare i valori nel file bpa-helm-chart/bpa/env/environment.txt. File utilizzato per l'autenticazione delle connessioni al database.
      
      
      

INSTALLAZIONE DI ATLAS MONGODB

La creazione di Atlas MongoDB implica:

1. Accesso ad Atlas MongoDB.
2. Selezione dell'organizzazione e del progetto.
3. Creazione di un cluster dedicato con le specifiche e la versione appropriate. Nel nostro caso, si tratta di "MongoDB Atlas v5.0.29".
   
   
   
4. Selezionare il livello dedicato, Cloud Provider & Region.
   
   
   
5. Selezionare il cluster dedicato di livello appropriato (M30 è stato utilizzato come livello), fornire il nome del cluster appropriato e fare clic su Crea cluster. Verrà inizializzato il cluster monogodb Atlas.
   
   

6. Configurazione dell'endpoint privato VPC per il cluster Atlas e K8S.
   1. Fare clic su Accesso alla rete, selezionare Endpoint privato, quindi fare clic su Aggiungi endpoint privato.
      
      
      
7. Selezionare Cloud Provider come AWS, selezionare la rispettiva area e fare clic su Avanti.
   
   
   
   
8. Fornire gli ID PVC e subnet corrispondenti. Una volta immessi i dettagli, copiare il comando vpc end point creation ed eseguirlo nella console di aws. L'ID dell'endpoint vpc verrà restituito come output.
   
   

9. Fare clic su Next per incollare l'ID dell'endpoint VPC e fare clic su Create.
   
   

10. Una volta creato, lo stato del punto terminale sarà Disponibile, come mostrato nella figura seguente. È necessario creare l'endpoint VPC per il cidr pod. Nel nostro caso abbiamo usato "100.64.0.0/16" .
    
    

11. Aggiungere le regole in entrata all'endpoint vpc appena creato. L'endpoint vpc verrà incluso nell'account padre e un gruppo di sicurezza deve essere assegnato all'endpoint vpc appena creato.
    
    
    
    

ECR COME REGISTRO IMMAGINI

1. La creazione di repository di Amazon ECR e la distribuzione di immagini Docker in tali repository richiede diversi passaggi. Di seguito vengono illustrati i passaggi per creare un repository ECR, assegnare tag a un'immagine Docker e spostarla nel repository utilizzando la CLI di AWS.
   
   aws ecr create-repository —repository-name nome-immagine-regione
   
   

2. Sostituisci:

   • nome-immagine-utente con il nome desiderato per il repository ECR.

   • la tua regione con la regione AWS

3. Passi per contrassegnare e spingere l'immagine.
   • Esempio:
     
     tag docker containers.cisco.com/bpa/sase-service:4.0.3-522 <numero account>.dkr.ecr.us-west-2.amazonaws.com/<percorso_repository>/sase-service:4.0.3-522
     
     docker push <numero account>.dkr.ecr.us-west-2.amazonaws.com/<percorso_repository>/sase-service:4.0.3-522
     
     

4. Configura ruolo IAM per nodi EK

5. Verificare che ai nodi di lavoro EK (istanze EC2) sia associato il ruolo IAM necessario con le autorizzazioni per eseguire il pull di immagini da ECR. I criteri IAM richiesti sono:
   

   {

       "Version": "2012-10-17 ",

       "Estratto conto": [

          {

             "Effetto": "Consenti",

             "Azione": [

                "ecr:ScaricaUrlPerLivello",

                "ecr:BatchGetImage",

                "ecr:BatchCheckLayerAvailability"

             ],

             "Risorsa": "*"

          }

       ]

   }

6. Allegare questo criterio al ruolo IAM associato ai nodi di lavoro EKS.

DISTRIBUZIONE BPA

L'implementazione di BPA comporta diversi passaggi, tra cui l'etichettatura dei nodi di lavoro EK, la preparazione delle directory sui nodi, la copia dei pacchetti BPA e la distribuzione di BPA utilizzando Helm.

1. Per l'installazione presso i clienti, sono state utilizzate le seguenti versioni di software e servizi cloud:

   1. BPA: 4.0.3-6
   2. RDS (Relational Database Service): PostgreSQL 16.3-R1
   3. Atlante MongoDB: v5.0.29 
   4. EK (Elastic Kubernetes Service): v1.27
2. Questi componenti garantiscono che l'implementazione sia solida, scalabile e in grado di gestire in modo efficiente i carichi di lavoro richiesti.
3. Assegnazione di etichette ai nodi di lavoro EK
   
   kubectl label node <nodo_lavoro_1> nome=nodo-1
   kubectl label node <nodo_lavoro_2> nome=nodo-2
   kubectl label node <nodo_lavoro_3> name=nodo-3
   kubectl label node <nodo_lavoro_4> name=node-4
   
   

Preparazione delle directory sui nodi

• NODO 1:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• NODO 2:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• NODO 3:
  
  rm -rf /opt/bpa/data
  sysctl -w vm.max_map_count=262144
  mkdir -p /opt/bpa/data/kafka3
  mkdir -p /opt/bpa/data/zookeeper3
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/kafka3
  chmod 777 /opt/bpa/data/zookeeper3
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  
  
• NODO 4:
  
  mkdir -p /opt/bpa/data/elk
  mkdir -p /opt/bpa/data/metrices/prometheus
  mkdir -p /opt/bpa/data/metrices/grafana
  chmod 777 /opt/bpa/data/metrices
  chmod 777 /opt/bpa/data/metrices/prometheus
  chmod 777 /opt/bpa/data/metrices/grafana
  sysctl -w vm.max_map_count=262144
  
  

Copia di pacchetti BPA

scp -r pacchetti per node1:/opt/bpa/​
scp -r pacchetti su node2:/opt/bpa/​
scp -r pacchetti su node3:/opt/bpa/​
scp -r pacchetti su node4:/opt/bpa/
​

Distribuzione di BPA mediante Helm

helm install bpa-rel —create-namespace —namespace bpa-ns /opt/EKS/bpa-helm-chart

Configurazione in ingresso

Abilitazione in ingresso

• Aggiorna valori.yamlper abilitare l'ingresso:
  
  controller in ingresso: {crea: vero}
  
  

Creazione di un segreto mediante un certificato BPA

• Passare alla directory dei certificati e creare un segreto:
  
  cd /opt/bpa/<percorso grafico elmico BPA>/bpa/conf/common/certs/
  kubectl create secret tls bpa-certificate-ingress —cert=bap-cert.pem —key=bap-key.pem -n bpa-ns
  
  

Aggiornamento del controller in ingresso

• Aggiungere il nuovo segreto creato in ingress-controller.yaml file:
  
  cd /opt/bpa/<percorso grafico a elmetto BPA>/templates/
  vi controller in ingresso.yaml
  "- —default-ssl-certificate=$(POD_NAMESPACE)/bpa-certificate-incoming"
  
  

Aggiornamento del certificato in ingresso

• Eseguire l'eliminazione e l'installazione del timone per aggiornare il certificato in entrata.
  
  

Specifiche dell'ambiente

Le specifiche dell'ambiente includono i requisiti per le istanze EC2, i load balancer, gli endpoint VPC e le istanze RDS. Le specifiche principali sono:

• Requisiti EC2:

  1. Requisiti di storage:2 TB di spazio per nodi. Montare il volume EBS su /opt e aggiungere una voce in /etc/fstab per tutti i nodi.

  2. Gruppo di sicurezza in ingresso: 30101, 443, 0 - 65535 TCP, 22 per ssh.

  3. Gruppo di sicurezza in uscita: Tutto il traffico deve essere abilitato.

  4. Sistema di risoluzione DNS: EC2 deve avere resolver locali in /etc/resolve.conf.
     
     

Requisiti del servizio di bilanciamento del carico:

• Le porte dei listener devono essere 443, 30101.
• Requisiti degli endpoint VPC (Atlas MongoDB).
• Gli endpoint VPC creati per la connettività Atlas sono disponibili nell'account padre. L'endpoint VPC deve avere un gruppo di sicurezza che consenta tutti gli accessi in entrata (0 - 65535).
  
  

CONCETTI E COMPONENTI CHIAVE

Comprendere i fondamenti di Kubernetes è essenziale per implementare e gestire in modo efficace le applicazioni che utilizzano Amazon EK.

CONCLUSIONI

Questo documento fornisce una guida dettagliata per l'installazione e la gestione delle applicazioni BPA (Business Process Automation) utilizzando Amazon EK. Seguendo le fasi descritte e comprendendo i concetti chiave, le organizzazioni possono sfruttare i vantaggi di EKS per le loro applicazioni BPA containerizzate.

RIFERIMENTI

Servizi Web Amazon, "Documentazione di Amazon EKS" [Online]. Disponibile:https://docs.aws.amazon.com/eks/

Kubernetes, "Documentazione di Kubernetes" [Online]. Disponibile:https://kubernetes.io/docs/home/

Cisco BPA in breve https://www.cisco.com/c/en/us/solutions/collateral/service-provider/at-a-glance-c45-742579.html

Guida operativa BPA https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-operations-guide-v403.pdf

Guida per gli sviluppatori BPA https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-developer-guide-v403.pdf