Überprüfung der Voraussetzungen für Container Insights in CloudWatch - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung der Voraussetzungen für Container Insights in CloudWatch

Bevor Sie Container Insights auf Amazon EKS oder Kubernetes installieren, überprüfen Sie Folgendes. Diese Voraussetzungen gelten unabhängig davon, ob Sie den CloudWatch Agenten oder die AWS Distribution for verwenden OpenTelemetry , um Container Insights auf EKS Amazon-Clustern einzurichten.

  • Sie haben einen funktionierenden Amazon EKS - oder Kubernetes-Cluster mit Knoten in einer der Regionen, der Container Insights für Amazon EKS und Kubernetes unterstützt. Eine Liste der unterstützten Regionen finden Sie unter Container Insights.

  • Sie haben kubectl installiert und es wird ausgeführt. Weitere Informationen finden Sie unter Installation kubectl im EKSAmazon-Benutzerhandbuch.

  • Wenn Sie Kubernetes, das auf läuft, AWS anstelle von Amazon verwendenEKS, sind auch die folgenden Voraussetzungen erforderlich:

    • Stellen Sie sicher, dass Ihr Kubernetes-Cluster die rollenbasierte Zugriffskontrolle aktiviert hat (). RBAC Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Referenz.

    • Für Ihr Kubelet ist der Webhook-Autorisierungsmodus aktiviert. Weitere Informationen finden Sie unter Kubelet authentication/authorization in der Kubernetes-Dokumentation.

Sie müssen auch IAM Berechtigungen erteilen, damit Ihre EKS Amazon-Worker-Knoten Metriken und Protokolle an sie senden können CloudWatch. Es gibt zwei Möglichkeiten dafür:

  • Fügen Sie der IAM Rolle Ihrer Worker-Nodes eine Richtlinie hinzu. Dies funktioniert sowohl für EKS Amazon-Cluster als auch für andere Kubernetes-Cluster.

  • Verwenden Sie eine IAM Rolle für Dienstkonten für den Cluster und fügen Sie die Richtlinie dieser Rolle hinzu. Dies funktioniert nur für EKS Amazon-Cluster.

Die erste Option gewährt Berechtigungen CloudWatch für den gesamten Knoten, während die Verwendung einer IAM Rolle für das Dienstkonto nur CloudWatch Zugriff auf die entsprechenden Daemonset-Pods gewährt.

Fügen Sie der IAM Rolle Ihrer Worker-Knoten eine Richtlinie hinzu

Gehen Sie wie folgt vor, um die Richtlinie der IAM Rolle Ihrer Worker-Knoten zuzuordnen. Dies funktioniert sowohl für EKS Amazon-Cluster als auch für Kubernetes-Cluster außerhalb von Amazon. EKS

Um der IAM Rolle für Ihre Worker-Knoten die erforderliche Richtlinie zuzuweisen
  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie eine der Worker-Node-Instances aus und wählen Sie die IAM Rolle in der Beschreibung aus.

  3. Wählen Sie auf der IAM Rollenseite die Option Richtlinien anhängen aus.

  4. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um diese Richtlinie zu finden.

  5. Wählen Sie Richtlinien anfügen.

Wenn Sie einen Kubernetes-Cluster außerhalb von Amazon ausführenEKS, ist Ihren Worker-Knoten möglicherweise noch keine IAM Rolle zugewiesen. Wenn nicht, müssen Sie der Instance zunächst eine IAM Rolle zuordnen und dann die Richtlinie hinzufügen, wie in den vorherigen Schritten beschrieben. Weitere Informationen zum Anhängen einer Rolle an eine Instance finden Sie unter Anhängen einer IAM Rolle an eine Instance im EC2Amazon-Benutzerhandbuch.

Wenn Sie einen Kubernetes-Cluster außerhalb von Amazon ausführen EKS und EBS Volumen IDs in den Metriken erfassen möchten, müssen Sie der IAM Rolle, die der Instance zugewiesen ist, eine weitere Richtlinie hinzufügen. Fügen Sie Folgendes als eingebundenen Richtlinie hinzu. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen im IAMBenutzerhandbuch.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] }

Verwenden einer IAM-Service-Kontorolle

Diese Methode funktioniert nur auf EKS Amazon-Clustern.

Um die Erlaubnis zur CloudWatch Nutzung einer IAM Dienstkontorolle zu erteilen
  1. Falls Sie dies noch nicht getan haben, aktivieren Sie IAM Rollen für Dienstkonten in Ihrem Cluster. Weitere Informationen finden Sie unter IAMRollen für Dienstkonten in Ihrem Cluster aktivieren.

  2. Falls Sie das noch nicht getan haben, konfigurieren Sie das Dienstkonto so, dass es eine IAM Rolle verwendet. Weitere Informationen finden Sie unter Konfiguration eines Kubernetes-Dienstkontos für die Übernahme einer IAM Rolle.

    Wenn Sie die Rolle erstellen, fügen Sie der Rolle zusätzlich zu der CloudWatchAgentServerPolicyIAMRichtlinie, die Sie für die Rolle erstellen, die Richtlinie hinzu. Außerdem sollte das zugehörige Kubernetes-Dienstkonto, das mit dieser Rolle verknüpft ist, im amazon-cloudwatch Namespace erstellt werden, wo die Daemonsets CloudWatch und Fluent Bit in den nächsten Schritten bereitgestellt werden

  3. Falls Sie dies noch nicht getan haben, ordnen Sie die IAM Rolle einem Dienstkonto in Ihrem Cluster zu. Weitere Informationen finden Sie unter Konfiguration eines Kubernetes-Dienstkontos für die Übernahme einer IAM Rolle.