EKS (Elastic Kubernetes Service)

Amazon EKS (Elastic Kubernetes Service) est le service Kubernetes managé d'AWS, lancé en 2018. AWS gère le control plane (API server, etcd, controller manager, scheduler) sur 3 AZ avec haute disponibilité (99.95% SLA), tandis que le client gère les worker nodes (EC2 self-managed, EC2 managed node groups, ou Fargate serverless).

Fonctionnement : (1) un cluster EKS coûte 0.10\$/h fixe pour le control plane (~73\$/mois) + le coût des workers ; (2) le control plane est upgradé en place via la console/CLI, les data plane nodes nécessitent une stratégie (rolling, blue-green) ; (3) EKS supporte les dernières versions Kubernetes (n, n-1, n-2 supportées + n-3 et n-4 en extended support payant).

Intégrations AWS clés : (1) IAM Roles for Service Accounts (IRSA) — mappage natif des ServiceAccounts Kubernetes vers IAM roles via OIDC, permet aux pods d'accéder à AWS sans credentials hardcodés ; (2) AWS Load Balancer Controller — provisionne ALB (Ingress) et NLB (Service LoadBalancer) ; (3) Amazon VPC CNI — pods reçoivent des IP du VPC natif (pas d'overlay), permettant security groups par pod ; (4) EBS CSI / EFS CSI / FSx — storage persistent ; (5) AWS Secrets Manager + ASCP — injection secrets ; (6) GuardDuty EKS Protection ; (7) CloudWatch Container Insights.

Fargate sur EKS : profile Fargate associe namespace/labels à serverless ; chaque pod est isolé dans sa propre microVM (Firecracker), pas de noeuds à gérer. Limitations : pas de DaemonSet, pas de Privileged, RWX storage limité.

Fonctionnalités récentes (2024) : EKS Auto Mode (mode managé Karpenter + addons par défaut, simplification ops), EKS Pod Identity (alternative IRSA sans IAM OIDC trust), Extended Support, Access Entries (remplace aws-auth ConfigMap).

Alternatives : AKS (Azure), GKE (GCP), self-managed kops/kubeadm, Rancher RKE2, OpenShift. Certifications utiles : CKA, CKAD, CKS, SAA-C03, AWS Certified DevOps Engineer (DOP-C02).