Implante e gerencie o aplicativo de automação de processos empresariais no Amazon EKS: Um guia prático

---

RESUMO

Este documento apresenta um guia abrangente sobre a implantação e o gerenciamento de aplicativos BPA (Business Process Automation, automação de processos de negócios) usando o Amazon EKS (Elastic Kubernetes Service). Ele descreve os pré-requisitos, destaca os benefícios da utilização do EKS e fornece instruções passo a passo para a configuração de um cluster EKS, da base de dados do Amazon RDS e do MongoDB Atlas. Além disso, o documento analisa a arquitetura de implantação e especifica os requisitos do ambiente, oferecendo um recurso completo para as empresas que desejam aproveitar o EKS para seus aplicativos BPA em contêineres.

Palavras-chave:Amazon EKS, Kubernetes, AWS, RDS, MongoDB Atlas, DevOps, computação em nuvem, automação de processos empresariais.

INTRODUÇÃO

BPA (BUSINESS PROCESS AUTOMATION, AUTOMAÇÃO DE PROCESSOS DE NEGÓCIOS)




Os serviços de automação de processos de negócios (BPA) da Cisco oferecem um portfólio completo de serviços de consultoria e suporte projetados para automação e orquestração de processos e fluxos de trabalho. A plataforma BPA é escalável e baseada em microsserviços, apresentando um mecanismo de fluxo de trabalho incorporado, interface de usuário digital e middleware de integração comum. Essa plataforma ajuda a automatizar alterações complexas na configuração da rede e processos associados, tornando-a adequada para clientes de provedores de serviços e grandes empresas globais.

Os principais benefícios dos serviços Cisco BPA incluem:

• Automatização de métodos e procedimentos operacionais complicados.
• Aprimorar a experiência da equipe para acelerar as iniciativas de automação.
• Acelerar a implantação de novos serviços com uma interface de usuário/portal aprimorada.
• Integração de redes antigas com novos recursos de automação.
  
  

A plataforma BPA oferece suporte a vários casos de uso de negócios e de TI/operacionais, como atualizações de SO, provisionamento de serviços e integração com mecanismos de orquestração. Os clientes podem acessar um ciclo de vida de serviços e recursos de BPA, incluindo consultoria, implementação, serviços essenciais aos negócios e suporte à solução. Os serviços Cisco BPA têm como objetivo aumentar a eficiência operacional, reduzir erros dispendiosos, melhorar a agilidade dos negócios e fornecer retornos mais rápidos sobre os investimentos em automação.

SERVIÇO KUBERNETES ELÁSTICO DA AMAZON (EKS)

    O Amazon Elastic Kubernetes Service (EKS) é um serviço Kubernetes totalmente gerenciado fornecido pela Amazon Web Services (AWS). Lançado em 2018, o EKS simplifica o processo de implantação, gerenciamento e dimensionamento de aplicativos em contêineres usando Kubernetes, uma plataforma de orquestração de contêineres de código aberto. O EKS abstrai as complexidades do gerenciamento de cluster Kubernetes, permitindo que os desenvolvedores se concentrem na construção e execução de aplicativos sem a necessidade de manipular a infraestrutura subjacente.

Benefícios do uso do Amazon EKS para implantação de aplicativos

O Amazon EKS oferece vários benefícios para a implantação de aplicativos, tornando-o uma escolha popular para empresas que utilizam aplicativos e microsserviços em contêineres.

As principais vantagens incluem:

• Plano de controle gerenciado do Kubernetes: O EKS lida com a implantação, escalonamento e manutenção do plano de controle do Kubernetes, reduzindo a carga operacional.

• Gerenciamento simplificado de cluster: O EKS abstrai as complexidades de configurar e gerenciar clusters Kubernetes.

• Escalabilidade: O EKS permite o fácil dimensionamento de clusters para acomodar cargas de trabalho cada vez maiores.

• Alta Disponibilidade: O EKS oferece suporte a implantações de zonas com várias disponibilidades, aumentando a disponibilidade e a tolerância a falhas.

• Integração com serviços AWS: O EKS integra-se perfeitamente a vários serviços AWS.

• Automação de DevOps: O EKS suporta integração contínua e implantação contínua (CI/CD) para aplicativos em contêineres.
  
  

ARQUITETURA DE IMPLANTAÇÃO DE BPA

Esta imagem representa uma arquitetura de alto nível de uma infraestrutura baseada em nuvem implantada no AWS , usando vários componentes importantes. Aqui está uma divisão do diagrama:

1. Amazon EKS (Serviço Kubernetes elástico): No núcleo do diagrama, o Amazon EKS é implantado em três zonas de disponibilidade (AZ1, AZ2, AZ3), com nós de trabalho Kubernetes dentro de cada zona. Isso indica uma configuração altamente disponível e tolerante a falhas, pois as cargas de trabalho são distribuídas em várias zonas de disponibilidade.
2. ALB (Balanceador de Carga de Aplicativo): Ele é posicionado na frente, recebendo o tráfego dos usuários e o distribuindo pelo cluster EKS para lidar com cargas de trabalho de aplicativos. O balanceador de carga garante que as solicitações sejam distribuídas uniformemente e possam lidar com o escalonamento com base na demanda de tráfego.
3. Amazon RDS (Serviço de Banco de Dados Relacional) - PostgreSQL: No lado direito do diagrama, uma instância do Amazon RDS executando PostgreSQL está presente. Este banco de dados pode ser acessado por aplicativos executados no cluster EKS.
4. ECR (Elastic Container Registry): É aqui que as imagens de contêiner do Docker são armazenadas e gerenciadas, que são então implantadas no Amazon EKS para executar as cargas de trabalho.
5. Atlas MongoDB: No lado esquerdo, o MongoDB Atlas é integrado na arquitetura através de um endpoint privado. O MongoDB Atlas é um serviço de banco de dados NoSQL hospedado na nuvem, usado aqui para lidar com requisitos de banco de dados baseados em documentos. O endpoint privado garante comunicação segura e privada entre a instância do Atlas MongoDB e outros componentes do AWS.
6. Host Bastion: Posicionado dentro do VPC (Virtual Private Cloud, Nuvem privada virtual), um Bastion Host fornece um ponto de entrada seguro para que os administradores acessem recursos dentro do VPC sem expor diretamente à Internet.
7. No geral, essa arquitetura oferece uma solução altamente disponível, escalável e segura para implantar e gerenciar aplicativos em contêineres usando o Amazon EKS, com suporte para bancos de dados relacionais (PostgreSQL) e NoSQL (MongoDB).

CONFIGURAÇÃO DE CLUSTER EKS

• Para criar um cluster do Amazon EKS usando a CLI do AWS, o utilitário de linha de comando eksctl pode ser usado. Este é um exemplo de comando:
  
  eksctl create cluster \
  —name <my-eks-cluster> \
  —região us-west-2 \
  —nodegroup-name trabalhadores padrão \
  —node-type t3.medium \
  —nós 4 \
  —nodes-min 4 \
  —nós-max 6
  
  

CONFIGURAÇÃO DO BANCO DE DADOS RDS

A implantação de um banco de dados relacional no Amazon RDS envolve estas etapas:

1. Acesse o AWS Management Console e navegue até o serviço Amazon RDS.
2. Crie uma nova instância de banco de dados com as especificações desejadas.
3. Configure o grupo de segurança para permitir conexões de entrada do cluster do Amazon EKS.
   1. Usando o menu suspenso, selecione a versão mais recente do PostgreSQL. No nosso caso, é "PostgreSQL 16.3-R1".
      
      
      
      
      
4. Para isso, dê um nome à instância do banco de dados e crie um nome de usuário e uma senha.
   
   
   
   1. Verifique se as configurações padrão para "Tamanho da instância do banco de dados" e "Armazenamento" estão selecionadas. Dependendo do tamanho do cluster e dos requisitos de dados, selecione o tamanho apropriado da instância do banco de dados e o tipo de armazenamento.
   2. Com base em nosso caso de uso, escolhemos a seguinte configuração:
      • Tamanho da Instância do BD: db.m5d.2xlarge
      • 8 vCPUs
      • 32 GiB de RAM
      • Rede: 4,750 Mbps
      • Repositório de Instâncias de 300 GB
   3. Selecione os valores apropriados de acordo com seu caso de uso. Selecionamos os valores padrão.
      
      
      
      
   4. Verifique se em "Autenticação de banco de dados" selecionamos Autenticação de senha. Autentica usando senhas de banco de dados.
      
      
      
   5. Uma vez verificado, estamos prontos para criar o banco de dados. Retorne ao painel do Amazon RDS. Confirme se a instância está disponível para uso.
      
      
      
      
      
      
      
      

Regras do Grupo de Segurança

1. Atualize o grupo de segurança de entrada com os blocos pod CIDR e node CIDR.
2. Em RDS -> Bancos de dados -> DB-NAME, clique em configuração, consulte a seção Grupo de parâmetros e clique no grupo de parâmetros a ser exibido.  
   
   
3. Procure "password_encryption" e altere o valor para md5 de branco / outro valor. Isso é necessário para que as configurações de camunda funcionem. 
   
   
   
   1. Crie esses Bancos de Dados junto com os usuários conectando-se ao RDS.
      
      PG_ROOT_DATABASE=admin
      PG_INITDB_ROOT_USERNAME=admin
      PG_INITDB_ROOT_PASSWORD=xxxxxxx
      AUTH_DB_NAME=kong
      AUTH_DB_USER=kong
      AUTH_DB_PASSWORD=xxxxxxxx
      WFE_DB_USER=camunda
      WFE_DB_PASSWORD=xxxxxxx
      WFE_DB_NAME=process-engine​
      
      
   2. Para atualizar as senhas do banco de dados, modifique os valores no arquivo bpa-helm-chart/bpa/env/environment.txt. Este arquivo é usado para autenticar conexões de banco de dados.
      
      
      

CONFIGURAÇÃO ATLAS MONGODB

A criação da Atlas MongoDB envolve:

1. Fazendo login no Atlas MongoDB.
2. Selecionando a organização e o projeto.
3. Criando um cluster dedicado com as especificações e a versão apropriadas. No nosso caso, é "MongoDB Atlas v5.0.29".
   
   
   
4. Selecione a camada Dedicada, Provedor de nuvem e Região.
   
   
   
5. Selecione a camada apropriada (usamos M30 como camada) do cluster dedicado e forneça o nome do cluster apropriado e clique em Criar cluster. Inicializará o cluster monogodb Atlas.
   
   

6. Configuração de endpoint privado de VPC para o cluster Atlas e K8S.
   1. Clique em Network Access Select Private Endpoint à Clique em Add Private Endpoint.
      
      
      
7. Selecione Cloud Provider como AWS, selecione a respectiva região e clique em Next.
   
   
   
   
8. Forneça o respectivo ID de PVC e ID de sub-rede. Depois de inserir os detalhes, copie o comando vpc end point creation e execute-o no console aws. Você obterá o id do ponto de extremidade do vpc como saída.
   
   

9. Clique em Avançar para colar a ID do endpoint do VPC e clique em Criar.
   
   

10. Depois de criado com êxito, o status do ponto de extremidade estará Disponível como mostrado na imagem a seguir. O ponto final do VPC deve ser criado para o pod cidr. No nosso caso, usamos "100.64.0.0/16" .
    
    

11. Adicione regras de entrada ao ponto de extremidade do vpc recém-criado. O ponto de extremidade do vpc estará na conta principal e um grupo de segurança deverá ser atribuído ao ponto de extremidade do vpc recém-criado.
    
    
    
    

ECR COMO REGISTRO DE IMAGENS

1. Criar repositórios Amazon ECR e enviar imagens Docker para eles envolve várias etapas. Estas são as etapas para criar um repositório ECR, marcar uma imagem do Docker e enviá-la para o repositório usando a CLI do AWS.
   
   aws ecr create-repository —repository-name nome-da-imagem —região sua-região
   
   

2. Substituir:

   • nome-da-imagem-com o nome desejado para o repositório ECR.

   • sua região com sua região AWS

3. Etapas para marcar e empurrar a imagem.
   • Exemplo:
     
     docker tag containers.cisco.com/bpa/sase-service:4.0.3-522 <número da conta>.dkr.ecr.us-west-2.amazonaws.com/<caminho_do_repositório>/sase-service:4.0.3-522
     
     docker push <número da conta>.dkr.ecr.us-west-2.amazonaws.com/<caminho_do_repositório>/sase-service:4.0.3-522
     
     

4. Configurar Função IAM para Nós EKS

5. Certifique-se de que os nós de trabalho EKS (instâncias EC2) tenham a função IAM necessária anexada com permissões para receber imagens do ECR. A política IAM necessária é:
   

   {

       "Versão": "2012-10-17 ",

       "Declaração": [

          {

             "Efeito": "Permissão",

             "Ação": [

                "ecr:GetDownloadUrlForLayer",

                "ecr:BatchGetImage",

                "ecr:BatchCheckLayerAvailability"

             ],

             "Recurso": "*"

          }

       ]

   }

6. Anexe essa política à função IAM associada aos nós de trabalho EKS.

IMPLANTAÇÃO DE BPA

A implantação do BPA envolve várias etapas, incluindo rotular os nós de trabalho EKS, preparar diretórios nos nós, copiar pacotes BPA e implantar o BPA usando Helm.

1. Para a implantação de nossos clientes, utilizamos as seguintes versões de software e serviços em nuvem:

   1. BPA: 4.0.3-6
   2. RDS (Relational Database Service): PostgreSQL 16.3-R1
   3. Atlas MongoDB: v5.0.29 
   4. EKS (Elastic Kubernetes Service, Serviço Kubernetes elástico): v1.27
2. Esses componentes garantem que nossa implantação seja robusta, escalável e capaz de lidar com as cargas de trabalho necessárias de forma eficiente.
3. Rotulando nós de trabalho EKS
   
   kubectl label node <worker_node_1> name=node-1
   kubectl label node <worker_node_2> name=node-2
   kubectl label node <worker_node_3> name=node-3
   kubectl label node <worker_node_4> name=node-4
   
   

Preparando Diretórios em Nós

• NÓ 1:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• NÓ 2:
  
  rm -rf /opt/bpa/data/
  mkdir -p /opt/bpa/data/zookeeper1
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/zookeeper1
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  mkdir -p /opt/bpa/data/kafka1
  chmod 777 /opt/bpa/data/kafka1
  sysctl -w vm.max_map_count=262144
  
  
• NÓ 3:
  
  rm -rf /opt/bpa/data
  sysctl -w vm.max_map_count=262144
  mkdir -p /opt/bpa/data/kafka3
  mkdir -p /opt/bpa/data/zookeeper3
  mkdir -p /opt/bpa/data/zookeeper4
  mkdir -p /opt/bpa/data/zookeeper5
  chmod 777 /opt/bpa/data/kafka3
  chmod 777 /opt/bpa/data/zookeeper3
  chmod 777 /opt/bpa/data/zookeeper4
  chmod 777 /opt/bpa/data/zookeeper5
  
  
• NÓ 4:
  
  mkdir -p /opt/bpa/data/elk
  mkdir -p /opt/bpa/data/metrices/prometheus
  mkdir -p /opt/bpa/data/metrices/grafana
  chmod 777 /opt/bpa/data/metrices
  chmod 777 /opt/bpa/data/metrices/prometheus
  chmod 777 /opt/bpa/data/metrices/grafana
  sysctl -w vm.max_map_count=262144
  
  

Copiando pacotes BPA

pacotes scp -r para node1:/opt/bpa/​
pacotes scp -r para node2:/opt/bpa/​
pacotes scp -r para node3:/opt/bpa/​
pacotes scp -r para node4:/opt/bpa/
​

Implantação do BPA usando Helm

helm install bpa-rel —create-namespace —namespace bpa-ns /opt/EKS/bpa-helm-chart

Configuração de ingresso

Ativando o ingresso

• Atualize values.yamlpara habilitar o ingresso:
  
  controlador_ingresso: {criar: verdadeiro}
  
  

Criando um segredo usando o certificado BPA

• Navegue até o diretório do certificado e crie um segredo:
  
  cd /opt/bpa/<local do gráfico de leme do BPA>/bpa/conf/common/certs/
  kubectl create secret tls bpa- certificate- ingress — cert=bap- cert. pem — key=bap- key. pem - n bpa- ns
  
  

Atualizando controlador de ingresso

• Adicione o segredo recém-criado em ingress-controller.yaml arquivo:
  
  cd /opt/bpa/<local do gráfico do leme do BPA>/templates/
  vi ingress-controller.yaml
  "- —default-ssl-certificate=$(POD_NAMESPACE)/bpa-certificate-ingress"
  
  

Atualizando certificado de entrada

• Execute a exclusão e instalação de Helm para atualizar o certificado de entrada.
  
  

Especificações ambientais

As especificações de ambiente incluem requisitos para instâncias EC2, balanceadores de carga, terminais de VPC e instâncias de RDS. As principais especificações são:

• Requisitos CE2:

  1. Requisitos de armazenamento:2 TB de espaço por nós. Monte o volume EBS em /opt e adicione uma entrada em /etc/fstab para todos os nós.

  2. Entrada do grupo de segurança: 30101, 443, 0 - 65535 TCP, 22 para ssh.

  3. Saída do grupo de segurança: Todo o tráfego deve ser habilitado.

  4. Resolvedor DNS: EC2 deve ter resolvedores no local em /etc/resolve.conf.
     
     

Requisitos do balanceador de carga:

• As portas de ouvintes devem ser 443, 30101.
• Requisitos para terminais VPC (Atlas MongoDB).
• Os pontos de extremidade VPC criados para a conectividade Atlas estão disponíveis na conta principal. O Ponto de Extremidade VPC deve ter um grupo de segurança que permita todo o acesso de entrada (0 a 65535).
  
  

PRINCIPAIS CONCEITOS E COMPONENTES

Entender os fundamentos do Kubernetes é essencial para implantar e gerenciar aplicativos com eficiência usando o Amazon EKS.

CONCLUSÃO

Este documento fornece um guia detalhado para a implantação e o gerenciamento de aplicativos BPA (Business Process Automation, automação de processos de negócios) usando o Amazon EKS. Seguindo as etapas descritas e compreendendo os conceitos principais, as empresas podem aproveitar os benefícios do EKS para seus aplicativos BPA em contêineres.

REFERÊNCIAS

Amazon Web Services, "Documentação do Amazon EKS" [Online]. Disponível:https://docs.aws.amazon.com/eks/

Kubernetes, "Documentação do Kubernetes," [Online]. Disponível:https://kubernetes.io/docs/home/

Introdução ao Cisco BPA https://www.cisco.com/c/en/us/solutions/collateral/service-provider/at-a-glance-c45-742579.html

Guia de operações do BPA https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-operations-guide-v403.pdf

Guia do desenvolvedor de BPA https://www.cisco.com/c/dam/en/us/support/docs/bpa/v403/cisco-bpa-developer-guide-v403.pdf