Helfen Sie mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen eines IAM OIDC Anbieter für Ihren Cluster
Ihr Cluster hat einen OpenID Connect
-
Ein vorhandener EKS Amazon-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS.
-
Version
2.12.3
oder höher oder Version1.27.160
oder höher der AWS Befehlszeilenschnittstelle (AWS CLI), die auf Ihrem Gerät installiert und konfiguriert ist, oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sieaws --version | cut -d / -f2 | cut -d ' ' -f1
. Paketmanager wieyum
,apt-get
, oder Homebrew for macOS liegen oft mehrere Versionen hinter der neuesten Version von AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter Installation und Schnellkonfiguration mit aws configure im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle. Die AWS CLI Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie unter Installation AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell Benutzerhandbuch. -
Das
kubectl
-Befehlszeilen-Tool ist auf Ihrem Gerät oder in der AWS CloudShell installiert. Bei der Version kann es sich um dieselbe oder nur um eine Nebenversion handeln, die früher oder später als die Kubernetes Version Ihres Clusters. Wenn Ihre Clusterversion beispielsweise1.29
ist, können Siekubectl
-Version1.28
,1.29
, oder1.30
damit verwenden. Informationen zum Installieren oder Aktualisieren vonkubectl
finden Sie unter Einrichten kubectl und eksctl. -
Eine vorhandene
kubectl
config
-Datei, die Ihre Clusterkonfiguration enthält. Informationen zum Erstellen einerkubectl
config
-Datei finden Sie unter Verbinden kubectl zu einem EKS-Cluster durch Erstellen eines kubeconfig file.
Sie können eine erstellen IAM OIDC Anbieter für Ihren Cluster unter Verwendung von eksctl
AWS Management Console oder
OIDCAnbieter erstellen (eksctl)
-
Version
0.199.0
oder höher deseksctl
-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren voneksctl
finden Sie in der Dokumentation zueksctl
unter Installation. -
Ermitteln Sie den OIDC Aussteller-ID für Ihren Cluster.
Rufen Sie die Ihres Clusters ab OIDC Aussteller-ID und speichern Sie sie in einer Variablen. Ersetzen Sie
my-cluster
durch Ihren eigenen Wert.cluster_name=my-cluster
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id
-
Stellen Sie fest, ob ein IAM OIDC Der Anbieter mit der Aussteller-ID Ihres Clusters ist bereits in Ihrem Konto enthalten.
aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4
Wenn die Ausgabe zurückgegeben wird, haben Sie bereits eine IAM OIDC Anbieter für Ihren Cluster und Sie können den nächsten Schritt überspringen. Wenn keine Ausgabe zurückgegeben wird, müssen Sie eine erstellen IAM OIDC Anbieter für Ihren Cluster.
-
Erstellen eines IAM OIDC Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl.
eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
Anmerkung
Wenn Sie den EKS VPC Endpunkt aktiviert haben, konnte von dort aus nicht auf den EKS OIDC Service-Endpunkt zugegriffen werdenVPC. Folglich funktionieren Ihre Operationen wie das Erstellen eines OIDC Anbieters mit
eksctl
in nicht und führen zu einem Timeout, wenn Sie versuchen, eine Anfrage zu stellenhttps://oidc.eks
. VPC Es folgt ein Beispiel für eine Fehlermeldung:. region
.amazonaws.com
** server cant find oidc.eks.region.amazonaws.com: NXDOMAIN
Um diesen Schritt abzuschließen, können Sie den Befehl außerhalb des ausführenVPC, z. B. in AWS CloudShell oder auf einem Computer, der mit dem Internet verbunden ist. Alternativ können Sie im Split-Horizon-Resolver einen bedingten Resolver erstellenVPC, z. B. den Route 53-Resolver, um einen anderen Resolver für den OIDC Emittenten zu verwenden URL und den dafür nicht zu verwenden. VPC DNS Ein Beispiel für bedingte Weiterleitung finden Sie in CoreDNS, siehe die EKSAmazon-Funktionsanfrage
OIDCAnbieter erstellen (AWS Konsole)
-
Öffnen Sie die EKSAmazon-Konsole
. -
Wählen Sie im linken Bereich Cluster aus und wählen Sie dann den Namen Ihres Clusters auf der Seite Cluster.
-
Notieren Sie sich im Abschnitt Details auf der Registerkarte Übersicht den Wert des OpenID Connect-Anbieters URL.
-
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im linken Navigationsbereich Identity Providers (Identitätsanbieter) unter Access management (Zugriffsverwaltung) aus. Wenn ein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, müssen Sie einen erstellen.
-
Um einen Anbieter zu erstellen, wählen Sie Add provider (Anbieter hinzufügen) aus.
-
Wählen Sie als Anbietertyp OpenID Connect .
-
Geben Sie für Anbieter URL den OIDC Anbieter URL für Ihren Cluster.
-
Geben Sie für Audience den Wert ein
sts.amazonaws.com
. -
(Optional) Fügen Sie beliebige Tags hinzu, z. B. ein Tag, um zu identifizieren, welcher Cluster für diesen Anbieter bestimmt ist.
-
Wählen Sie Add provider (Anbieter hinzufügen) aus.
Nächster Schritt: Assign IAM Rollen zu Kubernetes Dienstkonten