Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie ein Kubernetes-Dienstkonto mit IAM-Rollen für Dienstkonten verwenden, können Sie den Typ des AWS Security Token Service-Endpunkts konfigurieren, der vom Dienstkonto verwendet wird, wenn Ihr Cluster und Ihre Plattformversion mit den in der folgenden Tabelle aufgeführten Versionen identisch oder höher sind. Wenn Ihre Kubernetes- oder Plattformversion älter ist als die in der Tabelle aufgeführten, können Ihre Dienstkonten nur den globalen Endpunkt verwenden.
| Kubernetes-Version | Plattformversion | Standardtyp für Endpunkt |
|---|---|---|
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
|
|
|
Regional |
AWS empfiehlt die Verwendung der regionalen AWS STS-Endpunkte anstelle des globalen Endpunkts. Dies reduziert die Latenz, bietet integrierte Redundanz und erhöht die Gültigkeit der Sitzungstoken. Der AWS Security Token Service muss in der AWS Region aktiv sein, in der der Pod ausgeführt wird. Darüber hinaus muss Ihre Anwendung über eine integrierte Redundanz für eine andere AWS Region verfügen, falls der Dienst in der AWS Region ausfällt. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter AWS STS in einer AWS Region verwalten.
-
Einen vorhandenen -Cluster. Wenn Sie noch keinen haben, können Sie einen erstellen, indem Sie einen der Anleitungen unter verwenden. Erste Schritte mit Amazon EKS
-
Ein vorhandener IAM-OIDC-Anbieter für Ihren Cluster. Weitere Informationen finden Sie unter Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster.
-
Ein vorhandenes Kubernetes-Servicekonto, das für die Verwendung mit der Funktion Amazon-EKS-IAM für Servicekonten.
Die folgenden Beispiele verwenden alle das Kubernetes-Servicekonto aws-node, das vom Amazon VPC CNI-Plugin verwendet wird. Sie können das example values durch Ihre eigenen Dienstkonten, Pods, Namespaces und andere Ressourcen ersetzen.
-
Wählen Sie einen Pod aus, der ein Dienstkonto verwendet, für das Sie den Endpunkt ändern möchten. Ermitteln Sie, AWS in welcher Region der Pod ausgeführt wird. Ersetze es
aws-node-6mfgvdurch deinen Pod-Namen undkube-systemdurch den Namespace deines Pods.kubectl describe pod aws-node-6mfgv -n kube-system |grep Node:Eine Beispielausgabe sieht wie folgt aus.
ip-192-168-79-166.us-west-2/192.168.79.166In der vorherigen Ausgabe läuft der Pod auf einem Knoten in der Region US-West-2 AWS .
-
Ermitteln Sie den Endpunkttyp, den das Dienstkonto des Pods verwendet.
kubectl describe pod aws-node-6mfgv -n kube-system |grep AWS_STS_REGIONAL_ENDPOINTSEine Beispielausgabe sieht wie folgt aus.
AWS_STS_REGIONAL_ENDPOINTS: regionalWenn der aktuelle Endpunkt global ist, dann wird
globalin der Ausgabe zurückgegeben. Wenn keine Ausgabe zurückgegeben wird, wird der Standard-Endpunkttyp verwendet und wurde nicht überschrieben. -
Wenn Ihre Cluster- oder Plattformversion dieselbe oder höher ist als die in der Tabelle aufgeführten, können Sie den von Ihrem Servicekonto verwendeten Endpunkttyp mit einem der folgenden Befehle vom Standardtyp in einen anderen Typ ändern. Ersetzen Sie
aws-nodemit dem Namen Ihres Servicekontos,kube-systemmit dem Namespace Ihres vorhandenen -Servicekontos.-
Wenn Ihr Standard- oder aktueller Endpunkttyp global ist und Sie ihn in regional ändern möchten:
kubectl annotate serviceaccount -n kube-system aws-node eks.amazonaws.com/sts-regional-endpoints=trueWenn Sie IAM-Rollen für Dienstkonten verwenden, um vorsigniertes S3 URLs in Ihrer Anwendung zu generieren, die in den Containern von Pods ausgeführt wird, ähnelt das Format der URL für regionale Endpunkte dem folgenden Beispiel:
https://bucket.s3.us-west-2.amazonaws.com/path?...&X-Amz-Credential=your-access-key-id/date/us-west-2/s3/aws4_request&... -
Wenn Ihr Standard- oder aktueller Endpunkttyp regional ist und Sie ihn in global ändern möchten:
kubectl annotate serviceaccount -n kube-system aws-node eks.amazonaws.com/sts-regional-endpoints=falseWenn Ihre Anwendung explizit Anfragen an globale AWS STS-Endpunkte stellt und Sie das Standardverhalten der Verwendung regionaler Endpunkte in Amazon EKS-Clustern nicht außer Kraft setzen, schlagen Anfragen mit einem Fehler fehl. Weitere Informationen finden Sie unter Pod-Container erhalten folgenden Fehler: An error occurred (SignatureDoesNotMatch) when calling the GetCallerIdentity operation: Credential should be scoped to a valid region.
Wenn Sie IAM-Rollen für Dienstkonten verwenden, um vorsigniertes S3 URLs in Ihrer Anwendung zu generieren, die in den Containern von Pods ausgeführt wird, ähnelt das Format der URL für globale Endpunkte dem folgenden Beispiel:
https://bucket.s3.amazonaws.com/path?...&X-Amz-Credential=your-access-key-id/date/us-west-2/s3/aws4_request&...
Wenn Ihre Automatisierung die vorsignierte URL in einem bestimmten Format erwartet, oder wenn Ihre Anwendung oder Downstream-Abhängigkeiten, die vorsigniert verwenden, Erwartungen an die AWS Zielregion URLs haben, nehmen Sie die erforderlichen Änderungen vor, um den entsprechenden STS-Endpunkt zu verwenden. AWS
-
-
Löschen Sie alle vorhandenen Pods, die dem Dienstkonto zugeordnet sind, und erstellen Sie sie neu, um die Umgebungsvariablen für die Anmeldeinformationen anzuwenden. Der mutierende Webhook wendet sie nicht auf Pods an, die bereits ausgeführt werden. Sie können
Podskube-system, und-l k8s-app=aws-nodedurch die Informationen für die Pods ersetzen, für die Sie Ihre Anmerkung festgelegt haben.kubectl delete Pods -n kube-system -l k8s-app=aws-node -
Vergewissern Sie sich, dass alle Pods neu gestartet wurden.
kubectl get Pods -n kube-system -l k8s-app=aws-node -
Sehen Sie sich die Umgebungsvariablen für einen der Pods an. Stellen Sie sicher, dass der
AWS_STS_REGIONAL_ENDPOINTS-Wert der ist, den Sie im vorherigen Schritt festgelegt haben.kubectl describe pod aws-node-kzbtr -n kube-system |grep AWS_STS_REGIONAL_ENDPOINTSEine Beispielausgabe sieht wie folgt aus.
AWS_STS_REGIONAL_ENDPOINTS=regional
