AWS EKS Deployment

Deploy Laminar on Amazon EKS for production workloads.

Prerequisites

AWS CLI - configured with credentials
Terraform >= 1.13.4
Terragrunt
kubectl
Helm
Task

Quick Start

cd laminar-infra
 
# 1. Create AWS infrastructure
cd infrastructure/environments/dev
terragrunt run --all apply
 
# 2. Configure kubectl
aws eks update-kubeconfig --name laminar-dev-eks-cluster --region us-east-1

Architecture

Network Topology

┌─────────────────────────────────────────────────────────────────────────────┐
│                          VPC: 10.0.0.0/16                                   │
│                          Region: us-east-1                                  │
│                                                                             │
│  ┌───────────────────────────────────────────────────────────────────────┐  │
│  │                        Internet Gateway                               │  │
│  └───────────────────────────────────────────────────────────────────────┘  │
│              │                    │                    │                    │
│  ┌───────────┴───────┐ ┌─────────┴─────────┐ ┌────────┴──────────┐         │
│  │   Public Subnet   │ │   Public Subnet   │ │   Public Subnet   │         │
│  │  10.0.192.0/20    │ │  10.0.208.0/20    │ │  10.0.224.0/20    │         │
│  │    us-east-1a     │ │    us-east-1b     │ │    us-east-1c     │         │
│  │                   │ │                   │ │                   │         │
│  │  ┌─────────────┐  │ │                   │ │                   │         │
│  │  │     NLB     │  │ │                   │ │                   │         │
│  │  │  (ingress)  │  │ │                   │ │                   │         │
│  │  └─────────────┘  │ │                   │ │                   │         │
│  │  ┌─────────────┐  │ │                   │ │                   │         │
│  │  │ NAT Gateway │  │ │                   │ │                   │         │
│  │  │ (Elastic IP)│  │ │                   │ │                   │         │
│  │  └─────────────┘  │ │                   │ │                   │         │
│  └───────────────────┘ └───────────────────┘ └───────────────────┘         │
│              │                    │                    │                    │
│              └────────────────────┼────────────────────┘                    │
│                                   │                                         │
│  ┌───────────────────────────────────────────────────────────────────────┐  │
│  │                    Private Subnets (EKS Worker Nodes)                 │  │
│  │                                                                       │  │
│  │  ┌─────────────────────────────────────────────────────────────────┐  │  │
│  │  │ tenant-{name} namespace                                         │  │  │
│  │  │  ┌──────────┐ ┌────────────┐ ┌────────────┐ ┌──────────────┐   │  │  │
│  │  │  │ Console  │ │ Controller │ │  Workers   │ │  PostgreSQL  │   │  │  │
│  │  │  │  :3000   │ │   :8000    │ │  (dynamic) │ │    :5432     │   │  │  │
│  │  │  └──────────┘ └────────────┘ └────────────┘ └──────────────┘   │  │  │
│  │  └─────────────────────────────────────────────────────────────────┘  │  │
│  │                                                                       │  │
│  │  ┌─────────────────────────────────────────────────────────────────┐  │  │
│  │  │ laminar-monitoring namespace                                    │  │  │
│  │  │  ┌──────────┐ ┌────────────┐ ┌────────────┐                    │  │  │
│  │  │  │ Grafana  │ │ GrepTimeDB │ │   Vector   │                    │  │  │
│  │  │  │  :3001   │ │   :4000    │ │            │                    │  │  │
│  │  │  └──────────┘ └────────────┘ └────────────┘                    │  │  │
│  │  └─────────────────────────────────────────────────────────────────┘  │  │
│  │                                                                       │  │
│  │  ┌─────────────────────────────────────────────────────────────────┐  │  │
│  │  │ laminar-connectors namespace                                    │  │  │
│  │  │  ┌──────────┐ ┌────────────┐                                   │  │  │
│  │  │  │  MinIO   │ │  Redpanda  │                                   │  │  │
│  │  │  │  :9000   │ │   :9092    │                                   │  │  │
│  │  │  └──────────┘ └────────────┘                                   │  │  │
│  │  └─────────────────────────────────────────────────────────────────┘  │  │
│  └───────────────────────────────────────────────────────────────────────┘  │
│                                                                             │
│  Route Tables:                                                              │
│  • Public:  0.0.0.0/0 → Internet Gateway                                   │
│  • Private: 0.0.0.0/0 → NAT Gateway                                        │
└─────────────────────────────────────────────────────────────────────────────┘

Traffic Flow

Inbound (Internet → Application):

┌──────────┐    ┌──────────┐    ┌─────────────┐    ┌─────────────┐    ┌──────────┐
│ Internet │───▶│ Route53  │───▶│    NLB      │───▶│ingress-nginx│───▶│   Pod    │
│          │    │lmnr.cloud│    │ :80/:443    │    │ ClusterIP   │    │  :3000   │
│          │    │          │    │ Public SN   │    │ Private SN  │    │ Private  │
└──────────┘    └──────────┘    └─────────────┘    └─────────────┘    └──────────┘

Outbound (Pod → Internet):

┌──────────┐    ┌─────────────┐    ┌─────────────┐    ┌──────────┐
│   Pod    │───▶│ Private RT  │───▶│ NAT Gateway │───▶│ Internet │
│ Private  │    │ 0.0.0.0/0   │    │ Elastic IP  │    │          │
└──────────┘    └─────────────┘    └─────────────┘    └──────────┘

VPC Configuration

Setting	Value
CIDR	10.0.0.0/16 (65,536 IPs)
DNS Hostnames	Enabled
DNS Support	Enabled
Region	us-east-1

Subnets

Type	CIDR	AZ	IPs	Purpose	K8s Tag
Public	10.0.192.0/20	us-east-1a	4,096	NLB, NAT	`kubernetes.io/role/elb=1`
Public	10.0.208.0/20	us-east-1b	4,096	NLB	`kubernetes.io/role/elb=1`
Public	10.0.224.0/20	us-east-1c	4,096	NLB	`kubernetes.io/role/elb=1`
Private	10.0.0.0/18	us-east-1a	16,384	EKS nodes	`kubernetes.io/role/internal-elb=1`
Private	10.0.64.0/18	us-east-1b	16,384	EKS nodes	`kubernetes.io/role/internal-elb=1`
Private	10.0.128.0/18	us-east-1c	16,384	EKS nodes	`kubernetes.io/role/internal-elb=1`

EKS Cluster

Setting	Value
Name	laminar-dev-eks-cluster
Kubernetes Version	1.30
Endpoint Access	Public + Private
Addons	EBS CSI Driver (IRSA)
OIDC Provider	Enabled (for IRSA)

Node Groups

Group	Instance Type	Count	vCPU	Memory	AMI	Disk
large-nodes	c8g.xlarge	3	4	8 GiB	AL2023_ARM_64	30GB gp3
medium-nodes	c8g.medium	5	1	2 GiB	AL2023_ARM_64	30GB gp3

Total Capacity: 8 nodes, 17 vCPU, 34 GiB memory

Ingress (Network Load Balancer)

Setting	Value
Type	Network Load Balancer (NLB)
Scheme	internet-facing
Target Type	IP (direct to pods)
Cross-Zone LB	Enabled
Ports	80 (HTTP), 443 (HTTPS)
Controller	ingress-nginx

Storage

Class	Provisioner	Type	IOPS	Encrypted	Binding
gp3 (default)	ebs.csi.aws.com	gp3	3,000	Yes	WaitForFirstConsumer

IRSA (IAM Roles for Service Accounts)

Role	Service Account	Namespace	Permissions
argo-workflows-ecr-push	argo-workflow	argo	ECR push to `laminar/*`
ebs-csi-controller	ebs-csi-controller-sa	kube-system	EBS volume management

Security

Layer	Configuration
Node Placement	Private subnets only
Instance Metadata	IMDSv2 enforced (token-based)
EBS Volumes	Encrypted by default
IAM	IRSA for fine-grained permissions
Load Balancer	NLB in public subnets
API Server	Public + Private access

DNS & TLS

Component	Configuration
DNS Provider	Route53
Domain	*.lmnr.cloud
Certificate Manager	cert-manager
ACME Server	Let's Encrypt (letsencrypt-prod)
Validation	HTTP-01 via ingress-nginx
ClusterIssuers	letsencrypt-staging, letsencrypt-prod

Infrastructure Components

Terragrunt creates:

Resource	Description
VPC	10.0.0.0/16 with public/private subnets
EKS	Kubernetes 1.30 cluster
Node Group	3x c8g.xlarge + 5x c8g.medium (ARM64)
NAT Gateway	For private subnet internet access
IRSA	IAM roles for service accounts

Infrastructure Structure

infrastructure/
├── root.hcl              # Terragrunt root config
├── modules/              # Reusable Terraform modules
│   └── aws/
│       ├── vpc/
│       ├── subnets/
│       ├── eks/
│       └── ...
└── environments/
    └── dev/
        ├── env.hcl       # Environment variables
        ├── vpc/
        ├── public_subnets/
        ├── private_subnets/
        ├── nat_gateway/
        ├── eks/
        └── ...

Commands

Infrastructure:

cd infrastructure/environments/dev
 
terragrunt run --all plan     # Preview changes
terragrunt run --all apply    # Apply all
terragrunt run --all destroy  # Destroy all

Configuration

Environment config - infrastructure/environments/dev/env.hcl:

locals {
  environment             = "dev"
  vpc_cidr                = "10.0.0.0/16"
  aws_region              = "us-east-1"
  kubernetes_cluster_name = "laminar-dev-eks-cluster"
}

Create new environment:

Copy environments/dev to environments/prod
Update env.hcl with new values
Run terragrunt run --all apply