In diesem Thema wird erläutert, wie Sie Amazon Web Services (AWS) für die Ausführung von Tanzu Kubernetes Grid vorbereiten.
Bevor Sie die Tanzu CLI oder die Installationsprogramm-Schnittstelle zur Bereitstellung eines Verwaltungsclusters verwenden können, müssen Sie die Bootstrap-Maschine vorbereiten, auf der Sie die Tanzu CLI ausführen, und Ihr AWS-Konto (Amazon Web Services Account) einrichten.
Wenn Sie Tanzu Kubernetes Grid auf VMware Cloud on AWS installieren, führen Sie die Installation in einer vSphere-Umgebung aus. Unter Vorbereitung von VMware Cloud on AWS in Vorbereitung der Bereitstellung von Verwaltungsclustern in einer VMware Cloud-Umgebung finden Sie Informationen zur Vorbereitung Ihrer Umgebung, und unter Vorbereitung der Bereitstellung von Verwaltungsclustern für vSphere zur Bereitstellung von Verwaltungsclustern.
CLUSTER_API_SERVER_PORT
fest.Der Datenverkehr ist zwischen Ihrer lokalen Bootstrap-Maschine und den Image-Repositorys, die in der BoM-Datei (Bill of Materials) des Verwaltungsclusters aufgeführt sind, über Port 443 für TCP zulässig.*
~/.config/tanzu/tkg/bom/
. Ihr Name enthält die Tanzu Kubernetes Grid-Version, wie z. B. tkg-bom-2.2.0+vmware.1.yaml
für v2.2.imageRepository
-Werte aus, z. B. projects.registry.vmware.com/tkg
, um die CNAMEs zu finden, auf die der Zugriff zulässig sein soll.Die lokal installierte AWS-CLI.
jq
lokal installiert.
Im AWS-CLI-Handbuch wird jq
zur Verarbeitung von JSON beim Erstellen von SSH-Schlüsselpaaren. Dies wird auch verwendet, um die Umgebungs- oder Konfigurationsvariablen vorzubereiten, wenn Sie Tanzu Kubernetes Grid mithilfe der CLI bereitstellen.
Um ein bekanntes Problem mit CAPA zu umgehen, setzen Sie EXP_EXTERNAL_RESOURCE_GC=false
in Ihrer lokalen Umgebung oder in der Konfigurationsdatei des Verwaltungsclusters.
Informationen zur Installation ohne Zugriff auf externe Netzwerke finden Sie unter Vorbereitung einer Umgebung mit Internetbeschränkung.
Für jeden Cluster, den Sie erstellen, nutzt Tanzu Kubernetes Grid einen Satz von Ressourcen in Ihrem AWS-Konto.
Ressource | Nutzung durch Tanzu Kubernetes Grid |
---|---|
VPC | 1 |
Elastische IP-Adressen | 1 pro Verfügbarkeitsbereich* |
Subnetze | 2 pro Verfügbarkeitsbereich für Internetverbindung, 1 pro Verfügbarkeitsbereich für intern* |
EC2-Sicherheitsgruppen (VPC) | 4 |
Internet-Gateways | 1 |
NAT-Gateway | 1 pro Verfügbarkeitsbereich für Standardbereitstellungen* |
Steuerungsebene EC2-Instanzen | 1 pro Verfügbarkeitsbereich* |
*Entwicklungscluster nutzen einen Verfügbarkeitsbereich und Produktionscluster nutzen 3.
AWS implementiert Standardgrenzwerte oder Kontingente für diese Ressourcen und ermöglicht es Ihnen, die Grenzwerte zu ändern. Die Standardgrenzwerte reichen in der Regel aus, damit Sie mit der Erstellung und Verwendung von Clustern beginnen können. Wenn Sie die Cluster- oder Arbeitslastanzahl erhöhen, können Sie diese AWS-Grenzwerte jedoch überschreiten, was Tanzu Kubernetes Grid daran hindert, neue Cluster zu erstellen oder neue Arbeitslasten bereitzustellen.
VMware empfiehlt, die von Ihnen im AWS-Konto angegebenen Grenzwerte regelmäßig zu beurteilen und Service-Kontingenterhöhungen anzufordern, soweit dies für Ihre geschäftlichen Anforderungen erforderlich ist.
Die wichtigsten Service-Kontingente sind:
Servicecode | Kontingentname | Kontingentcode |
---|---|---|
vpc | Internet-Gateways pro Region | L-A4707A72 |
vpc | NAT-Gateways pro Verfügbarkeitsbereich | L-FE5A380F |
vpc | VPCs pro Region | L-F678F1CE |
ec2 | Ausführen von On-Demand-Standardinstanzen (A, C, D, H, I, M, R, T, Z) | L-1216C47A |
ec2 | Elastische EC2-VPC-IPs | L-0263D0A3 |
elasticloadbalancing | Klassische Lastausgleichsdienste pro Region | L-E9E9831D |
Sie können optional VPCs freigeben, anstatt neue zu erstellen, z. B. einen Arbeitslastcluster, der eine VPC gemeinsam mit seinem Verwaltungscluster nutzt.
Informationen zu den Größen von Clusterknoteninstanzen finden Sie unter Amazon EC2 Instanztypen in der AWS-Dokumentation.
Tanzu Kubernetes Grid können in VPCs ohne angehängte NAT-Gateways bereitgestellt werden, wenn die folgenden Bedingungen erfüllt sind:
Tanzu Kubernetes Grid überprüft nicht, ob bestimmte Routen in Routing-Tabellen vorhanden sind. Daher wird die Internetverbindung entweder über VPC-NAT-Gateways, EC2-Instanzen oder -Appliances, Internet-Gateways, Transit-Gateways oder DirectConnect unterstützt.
In der folgenden Tabelle werden Beispiele für die Dimensionierung von Verwaltungsclustern in AWS beschrieben. Verwenden Sie diese Daten als Richtlinie, um sicherzustellen, dass Ihr Verwaltungscluster für die Anzahl der Arbeitslastcluster skaliert ist, die Sie bereitstellen möchten. In der Spalte Größe der Arbeitslastcluster-VMwerden die VM-Größen aufgelistet, die für die Beispiele in der Spalte Kann verwalten… verwendet wurden.
Verwaltungscluster Plan | Größe der Verwaltungscluster-VM | Kann verwalten… | Größe der Arbeitslastcluster-VM |
---|---|---|---|
3 Knoten der Steuerungsebene und 3 Worker-Knoten |
|
Beispiele:
|
|
3 Knoten der Steuerungsebene und 3 Worker-Knoten |
|
Beispiel: Ein Arbeitslastcluster, der mit 3 Steuerungsebenen- und 500 Worker-Knoten bereitgestellt wird |
|
3 Knoten der Steuerungsebene und 3 Worker-Knoten |
|
Beispiel: 200 Arbeitslastcluster, wobei jeder Cluster mit 3 Steuerungsebenen- und 5 Worker-Knoten bereitgestellt wird |
|
In den folgenden Abschnitten werden die Berechtigungen aufgelistet, die Tanzu Kubernetes Grid benötigt, um Cluster auf AWS bereitzustellen und zu verwalten:
tanzu mc permissions aws set
ausführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) in der Installationsprogramm-Schnittstelle aktivieren.
mc
ist die Abkürzung für management-cluster
.Um Tanzu Kubernetes Grid für die Bereitstellung von Clustern in AWS zu aktivieren, müssen Sie in Ihrem AWS-Konto den CloudFormation-Stack tkg-cloud-vmware-com
erstellen. Dieser CloudFormation-Stack definiert die IAM-Ressourcen und -Berechtigungen (Identity and Access Management), die Tanzu Kubernetes Grid benötigt, um Cluster auf AWS bereitzustellen und zu verwalten.
Um den Stack zu erstellen, führen Sie nach Durchführung der Schritte in diesem Thema den Befehl tanzu mc permissions aws set
aus, bevor Sie den Cluster bereitstellen, oder aktivieren Sie das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) in der Installationsprogramm-Schnittstelle, wie im Abschnitt Erstellen von IAM-Ressourcen von Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei oder Bereitstellen von Verwaltungsclustern mit der Installationsprogramm-Schnittstelle beschrieben ist. Sie müssen diesen Vorgang nur einmal pro AWS-Konto durchführen, unabhängig davon, ob Sie eine einzelne oder mehrere AWS-Regionen für Ihre Tanzu Kubernetes Grid-Umgebung verwenden möchten.
Wenn Sie den Befehl tanzu mc permissions aws set
ausführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) aktivieren, werden die folgenden IAM-Profile, Rollen und Richtlinien erstellt. Der Benutzer, dessen Anmeldedaten Sie beim Erstellen des Stacks für Tanzu Kubernetes Grid angeben, muss über Administratorberechtigungen zum Erstellen dieser IAM-Ressourcen in Ihrem AWS-Konto verfügen.
Profile/AWS::IAM::InstanceProfile
:
control-plane.tkg.cloud.vmware.com
: Wird von EC2-Instanzen verwendet, die Kubernetes-Steuerungsebenenkomponenten ausführen.nodes.tkg.cloud.vmware.com
: Wird von allen Nicht-Steuerungsebenen-EC2-Instanzen in Tanzu Kubernetes Grid-Clustern verwendet.controllers.tkg.cloud.vmware.com
: Kann für Bootstrapping-Tanzu Kubernetes Grid von einer Jumpbox in EC2 mit angehängtem Instanzprofil verwendet werden.Rollen/AWS::IAM::Role
: Diese werden den obigen AWS-IAM-Instanzprofilen 1:1 zugeordnet:
control-plane.tkg.cloud.vmware.com
nodes.tkg.cloud.vmware.com
controllers.tkg.cloud.vmware.com
Richtlinien/AWS::IAM::ManagedPolicy
:
arn:aws:iam::YOUR-ACCOUNT-ID:policy/control-plane.tkg.cloud.vmware.com
: Angehängt an die obige IAM-Rolle vom Typ Steuerungsebene.arn:aws:iam::YOUR-ACCOUNT-ID:policy/nodes.tkg.cloud.vmware.com
: Angehängt an die obigen IAM-Rollen vom Typ Steuerungsebene und Knoten.arn:aws:iam::YOUR-ACCOUNT-ID:policy/controllers.tkg.cloud.vmware.com
: Angehängt an die obigen IAM-Rollen vom Typ Steuerungsebene und Controller.Nachdem Tanzu Kubernetes Grid den CloudFormation-Stack in Ihrem AWS-Konto erstellt hat, können Sie seine Vorlage abrufen, indem Sie in der AWS-Konsole zu CloudFormation > Stacks navigieren. Weitere Informationen zu CloudFormation-Stacks finden Sie unter Arbeit mit Stacks in der AWS-Dokumentation.
Statt den Befehl tanzu mc permissions aws set
auszuführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) zu aktivieren, können Sie die Vorlage abrufen, die Tanzu Kubernetes Grid zum Erstellen der oben genannten IAM-Ressourcen verwendet, und den Stack tkg-cloud-vmware-com
direkt im AWS-Konto erstellen. Um die Vorlage abzurufen, führen Sie den Befehl tanzu mc permissions aws generate-cloudformation-template
aus.
Die folgenden IAM-Berechtigungen sind nur erforderlich, wenn Sie beabsichtigen, Ihren Verwaltungscluster bei Tanzu Mission Control zu registrieren. Diese Berechtigungen werden der IAM-Rolle nodes.tkg.cloud.vmware.com
automatisch hinzugefügt, wenn Sie den Befehl tanzu mc permissions aws set
ausführen.
{
"Action": [
"servicequotas:ListServiceQuotas",
"ec2:DescribeKeyPairs",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeAvailabiilityZones",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeNatGateways",
"ec2:DescribeAddresses",
"elasticloadbalancing:DescribeLoadBalancers"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
Sie können diese Berechtigungen deaktivieren, indem Sie DISABLE_TMC_CLOUD_PERMISSIONS
auf true
festlegen, bevor Sie tanzu mc permissions aws set
ausführen. Weitere Informationen finden Sie unter Registrieren Ihres Verwaltungsclusters bei Tanzu Mission Control.
Sie müssen die folgenden Berechtigungen einmal pro AWS-Konto manuell festlegen.
Wenn Sie beabsichtigen, den Verwaltungscluster über die Installationsprogramm-Schnittstelle bereitzustellen, muss der Benutzer, dessen Anmeldedaten Sie Tanzu Kubernetes Grid bei der Bereitstellung des Clusters angeben, über die Berechtigungen "ec2:DescribeInstanceTypeOfferings"
und "ec2:DescribeInstanceTypes"
verfügen. Wenn Ihr Benutzer derzeit nicht über diese Berechtigungen verfügt, können Sie eine benutzerdefinierte Richtlinie erstellen, die die Berechtigungen enthält, und sie Ihrem Benutzer zuordnen.
Damit Tanzu Kubernetes Grid VMs für Amazon EC2 erstellen und verwalten kann, muss es über ein AWS-Konto sowie folgende Informationen verfügen:
Sie müssen Ihre Kontoanmeldedaten festlegen, um ein SSH-Schlüsselpaar für die Region zu erstellen, in der Sie Tanzu Kubernetes Grid-Cluster bereitstellen möchten.
Sie haben mehrere Optionen zum Konfigurieren der AWS-Kontoanmeldedaten, die für den Zugriff auf EC2 verwendet werden. In den folgenden Unterabschnitten werden die verschiedenen Optionen erläutert.
VMware empfiehlt die Option „Anmeldedatenprofile (Credential Profiles)“, die mit dem Befehl aws configure
verwaltet wird. Diese Profile werden in einer lokalen gemeinsam genutzten Konfigurationsdatei gespeichert, üblicherweise in ~/.aws/config
.
In absteigender Reihenfolge, wenn mehr als eine verwendet wird, sind folgende Optionen für die Konfiguration der Anmeldedaten möglich:
Variablen für die Konfigurationsdatei des Arbeitslastclusters (nur für die Erstellung von Arbeitslastclustern). Weitere Informationen finden Sie nachstehend unter Cluster-Konfigurationsdatei.
Lokale, statische Umgebungsvariablen. Weitere Informationen finden Sie nachstehend unter Lokale Umgebungsvariablen.
(Empfohlen) Anmeldedatenprofile, die aktualisiert werden, wenn Sie aws configure
ausführen. Diese werden in einer Datei gespeichert, die sich unter Linux oder macOS unter ~/.aws/config
oder unter Windows unter C:\Users\USERNAME\.aws\config
befindet oder die als credentials
benannt werden kann. Weitere Informationen finden Sie nachstehend unter Anmeldedatenprofile.
Anmeldedaten für das Instanzprofil. Sie können jeder Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen eine IAM-Rolle zuordnen. Temporäre Anmeldedaten für diese Rolle sind dann für Code verfügbar, der in der Instanz ausgeführt wird. Die Anmeldedaten werden über den Amazon EC2-Metadatendienst übermittelt. Weitere Informationen finden Sie unter „IAM-Rollen für AWS“ im Amazon EC2-Benutzerhandbuch für Linux-Instanzen und unter „Verwenden von Instanzprofilen“ im IAM-Benutzerhandbuch.
Eine Option zum Konfigurieren von AWS-Anmeldedaten besteht darin, lokale Umgebungsvariablen für Ihre Bootstrap-Maschine festzulegen. Um lokale Umgebungsvariablen zu verwenden, legen Sie die folgenden Umgebungsvariablen für Ihr AWS-Konto fest:
export AWS_ACCESS_KEY_ID=aws_access_key
, wobei aws_access_key
Ihr AWS-Zugriffsschlüssel ist.
export AWS_SECRET_ACCESS_KEY=aws_access_key_secret
, wobei aws_access_key_secret
Ihr geheimer AWS-Zugriffsschlüssel ist.
export AWS_SESSION_TOKEN=aws_session_token
, wobei aws_session_token
das AWS-Sitzungstoken ist, das Ihrem Konto gewährt wurde. Sie müssen diese Variable nur angeben, wenn Sie einen temporären Zugriffsschlüssel verwenden müssen. Weitere Informationen zur Verwendung temporärer Zugriffsschlüssel finden Sie unter Verstehend und Abrufen Ihrer AWS-Anmeldedaten (Understanding and getting your AWS credentials).
export AWS_REGION=aws_region
, wobei aws_region
die AWS-Region ist, in der Sie den Cluster bereitstellen möchten. Beispiel: us-west-2
.
Eine vollständige Liste der AWS-Regionen finden Sie unter AWS-Dienst-Endpoints. Zusätzlich zu den regulären AWS-Regionen können Sie auch die Regionen us-gov-east
und us-gov-west
in AWS GovCloud angeben.
Tanzu Kubernetes Grid unterstützt die folgenden AWS-CLI-Umgebungsvariablen:
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN
AWS_SHARED_CREDENTIALS_FILE
AWS_CONFIG_FILE
AWS_REGION
AWS_PROFILE
Weitere Informationen hierzu finden Sie im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle.
Für die Arbeit mit Tanzu Kubernetes Grid wird empfohlen, den Befehl aws configure
zum Speichern von AWS-Anmeldedaten in einer lokalen Anmeldedaten- oder Konfigurationsdatei zu verwenden. Eine AWS-Konfigurationsdatei kann eine Reihe von Authentifizierungsmechanismen unterstützen, die von statischen Anmeldedaten bis hin zu SSO über externe Anmeldedaten-Hilfsdienste reichen.
Eine AWS-Anmeldedatendatei kann mehrere Konten unterstützen, einschließlich eines Standardprofils und zusätzlicher benannter Profile. Die Anmeldedatendateien und -profile werden nach lokalen Umgebungsvariablen im Namen der oben genannten Rangfolge der Anmeldedaten angewendet.
Um Anmeldedatendateien und Profile für Ihr AWS-Konto auf der Bootstrap-Maschine einzurichten, können Sie den CLI-Befehl aws configure verwenden.
Um anzupassen, welche AWS-Anmeldedatendateien und -Profile verwendet werden sollen, können Sie die folgenden Umgebungsvariablen festlegen:
export AWS_PROFILE=profile_name
, wobei profile_name
der Profilname ist, der den AWS-Zugriffsschlüssel enthält, den Sie verwenden möchten. Wenn Sie keinen Wert für diese Variable angeben, wird der Profilname default
verwendet. Weitere Informationen zur Verwendung von benannten Profilen finden Sie unter Benannte Profile in der AWS-Dokumentation.
export AWS_SHARED_CREDENTIAL_FILE=path_to_credentials_file
, wobei path_to_credentials_file
der Speicherort und Name der Anmeldedatendatei ist, die Informationen zum AWS-Zugriffsschlüssel enthält. Wenn Sie diese Umgebungsvariable nicht definieren, ist $HOME/.aws/credentials
der Standardspeicherort und Dateiname.
export AWS_CONFIG=path_to_config_file
, wobei path_to_config_file
der Speicherort und der Name der Konfigurationsdatei ist, die die Profilkonfiguration enthält. Wenn Sie diese Umgebungsvariable nicht definieren, ist $HOME/.aws/config
der Standardspeicherort und Dateiname. Wenn Sie explizite Anmeldedatenquellen angeben oder externe Anmeldedatenprozesse verwenden, sollten Sie diese Datei verwenden.
HinweisAlle benannten Profile, die Sie in Ihren AWS-Anmeldedaten oder Konfigurationsdateien erstellen, werden als auswählbare Optionen im Dropdown-Menü AWS-Anmeldedatenprofil (AWS Credential Profile) in der Installationsprogramm-Schnittstelle von Tanzu Kubernetes Grid für AWS angezeigt.
Weitere Informationen zu funktionierenden AWS-Anmeldedaten und der standardmäßigen AWS-Anmeldedaten-Anbieterkette finden Sie unter Best Practices für die Verwaltung von AWS-Zugriffsschlüsseln (Best practices for managing AWS access keys) in der AWS-Dokumentation.
Sie können AWS-Anmeldedaten in der Konfigurationsdatei angeben, die zum Erstellen eines Clusters verwendet wird, indem Sie die folgenden Variablen festlegen:
AWS_ACCESS_KEY_ID
(Base-64-codiert)AWS_SECRET_ACCESS_KEY
(Base-64-codiert)AWS_SESSION_TOKEN
(optional)AWS_ACCESS_KEY_ID
und AWS_SECRET_ACCESS_KEY
müssen im Format <encoded:(base64 encoded value)>
übergeben werden, z. B. wenn Ihre AWS-Zugriffsschlüssel-ID AKIAIOSFODNN7EXAMPLE
, der geheime Zugriffsschlüssel wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
und das Sitzungstoken AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OP
ist, muss dies in der Konfigurationsdatei wie folgt festgelegt werden:
AWS_ACCESS_KEY_ID: <encoded:QUtJQUlPU0ZPRE5ON0VYQU1QTEU=>
AWS_SECRET_ACCESS_KEY: <encoded:d0phbHJYVXRuRkVNSS9LN01ERU5HL2JQeFJmaUNZRVhBTVBMRUtFWQ==>
AWS_SESSION_TOKEN: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
In früheren Versionen von Tanzu Kubernetes Grid wurden die Anmeldedaten in einer Clusterkonfigurationsdatei gespeichert. Tanzu Kubernetes Grid 1.4 und höher speichern standardmäßig keine Anmeldeinformationen für AWS in Konfigurationsdateien.
Nachdem Sie die Anmeldedaten für Ihr AWS-Konto entweder mithilfe von lokalen Umgebungsvariablen oder in einer Anmeldedatendatei und einem Profil festgelegt haben, müssen Sie ein EC2-Schlüsselpaar für Ihr AWS-Konto generieren. Tanzu Kubernetes Grid übergibt den öffentlichen Schlüssel dieses Schlüsselpaars an AWS, um sich innerhalb jeder Region zu authentifizieren.
HinweisAWS unterstützt nur RSA-Schlüssel. Die von AWS benötigten Schlüssel weisen ein anderes Format als die von vSphere benötigten Schlüssel auf. Sie können dasselbe Schlüsselpaar nicht sowohl für vSphere- als auch für AWS-Bereitstellungen verwenden.
Wenn Sie nicht bereits über ein EC2-Schlüsselpaar für das Konto und die Region verfügen, das Sie zum Bereitstellen des Verwaltungsclusters verwenden, erstellen Sie mithilfe der folgenden Schritte:
Erstellen Sie für jede Region, die Sie mit Tanzu Kubernetes Grid verwenden möchten, ein benanntes Schlüsselpaar und geben Sie eine .pem
-Datei aus, die den Namen enthält. Im folgenden Befehl wird beispielsweise default
verwendet und die Datei als default.pem
gespeichert.
aws ec2 create-key-pair --key-name default --output json | jq .KeyMaterial -r > default.pem
Um ein Schlüsselpaar für eine Region zu erstellen, die nicht die Standardeinstellung in Ihrem Profil ist, oder die lokal als AWS_DEFAULT_REGION
festgelegt ist, schließen Sie die Option --region
ein.
Melden Sie sich bei Ihrem Amazon EC2-Dashboard an und navigieren Sie zu Netzwerk und Sicherheit (Network & Security) > Schlüsselpaare (Key Pairs), um sicherzustellen, dass das erstellte Schlüsselpaar bei Ihrem Konto registriert ist.
Für Produktionsbereitstellungen wird dringend empfohlen, die Identitätsverwaltung für Ihre Cluster zu aktivieren:
Wenn Sie Tanzu Kubernetes Grid in einer Umgebung mit einer externen Internetverbindung verwenden, können Sie nach der Einrichtung der Identitätsverwaltung Verwaltungscluster in AWS bereitstellen.