Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ihrem Cluster ist eine OpenID Connect
-
Ein vorhandener Amazon-EKS-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS.
-
Version
2.12.3oder höher oder Version1.27.160oder höher der auf Ihrem Gerät installierten und konfigurierten AWS Befehlszeilenschnittstelle (AWS CLI) oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sieaws --version | cut -d / -f2 | cut -d ' ' -f1. Paketmanager wieyumapt-get, oder Homebrew für macOS liegen oft mehrere Versionen hinter der neuesten Version der AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter Installation und Schnellkonfiguration mit aws configure im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle. Die AWS CLI-Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie im AWS CloudShell Benutzerhandbuch unter AWS CLI in Ihrem Home-Verzeichnis installieren. -
Das
kubectl-Befehlszeilen-Tool ist auf Ihrem Gerät oder in der AWS CloudShell installiert. Die Version kann mit der Kubernetes-Version Ihres Clusters identisch oder bis zu einer Nebenversion sein, die vor oder nach der Kubernetes-Version liegt. Wenn Ihre Clusterversion beispielsweise1.29ist, können Siekubectl-Version1.28,1.29, oder1.30damit verwenden. Informationen zum Installieren oder Aktualisieren vonkubectlfinden Sie unter Einrichten kubectl und eksctl. -
Eine vorhandene
kubectlconfig-Datei, die Ihre Clusterkonfiguration enthält. Informationen zum Erstellen einerkubectlconfig-Datei finden Sie unter Connect kubectl mit einem EKS-Cluster, indem Sie eine kubeconfig-Datei erstellen.
Sie können einen IAM-OIDC-Anbieter für Ihren Cluster mithilfe von oder erstellen. eksctl AWS Management Console
Erstellen Sie einen OIDC-Anbieter (eksctl)
-
Version
0.205.0oder höher deseksctl-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren voneksctlfinden Sie in der Dokumentation zueksctlunter Installation. -
Ermitteln Sie die OIDC-Aussteller-ID für Ihren Cluster.
Rufen Sie die OIDC-Aussteller-ID Ihres Clusters ab und speichern Sie sie in einer Variablen. Ersetzen Sie
<my-cluster>durch Ihren eigenen Wert.cluster_name=<my-cluster> oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5) echo $oidc_id -
Stellen Sie fest, ob ein IAM-OIDC-Anbieter mit der Aussteller-ID Ihres Clusters bereits in Ihrem Konto vorhanden ist.
aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4Wenn die Ausgabe zurückgegeben wird, haben Sie bereits einen IAM-OIDC-Anbieter für Ihren Cluster und können den nächsten Schritt überspringen. Wenn keine Ausgabe erfolgt, müssen Sie einen IAM-OIDC-Anbieter für Ihr Cluster erstellen.
-
Erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl.
eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approveAnmerkung
Wenn Sie den EKS-VPC-Endpunkt aktiviert haben, konnte von dieser VPC aus nicht auf den EKS-OIDC-Dienstendpunkt zugegriffen werden. Folglich funktionieren Ihre Operationen wie das Erstellen eines OIDC-Anbieters
eksctlin der VPC nicht und führen zu einem Timeout. Es folgt ein Beispiel für eine Fehlermeldung:** server cant find oidc.eks.<region-code>.amazonaws.com: NXDOMAIN
Um diesen Schritt abzuschließen, können Sie den Befehl außerhalb der VPC ausführen, z. B. in AWS CloudShell oder auf einem Computer, der mit dem Internet verbunden ist. Alternativ können Sie in der VPC einen bedingten Split-Horizon-Resolver erstellen, z. B. den Route 53-Resolver, um einen anderen Resolver für die OIDC-Aussteller-URL zu verwenden und nicht das VPC-DNS dafür zu verwenden. Ein Beispiel für bedingte Weiterleitung in CoreDNS finden Sie in der Amazon EKS-Funktionsanfrage
unter. GitHub
OIDC-Anbieter erstellen (Konsole)AWS
-
Öffnen Sie die Amazon-EKS-Konsole
. -
Wählen Sie im linken Bereich Cluster aus und wählen Sie dann den Namen Ihres Clusters auf der Seite Cluster.
-
Notieren Sie im Abschnitt Details der Registerkarte Overview (Übersicht) den Wert der OpenID-Connect-Provider-URL.
-
Öffnen Sie unter https://console.aws.amazon.com/iam/
die IAM-Konsole. -
Wählen Sie im linken Navigationsbereich Identity Providers (Identitätsanbieter) unter Access management (Zugriffsverwaltung) aus. Wenn ein Anbieter aufgeführt ist, der mit der URL für Ihren Cluster übereinstimmt, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der der URL für Ihren Cluster entspricht, müssen Sie einen erstellen.
-
Um einen Anbieter zu erstellen, wählen Sie Add provider (Anbieter hinzufügen) aus.
-
Wählen Sie als Anbietertyp OpenID Connect aus.
-
Geben Sie unter Provider-URL die OIDC-Provider-URL für Ihren Cluster ein.
-
Geben Sie für Audience den Wert ein.
sts.amazonaws.com -
(Optional) Fügen Sie beliebige Tags hinzu, z. B. ein Tag, um zu identifizieren, welcher Cluster für diesen Anbieter bestimmt ist.
-
Wählen Sie Add provider (Anbieter hinzufügen) aus.
Nächster Schritt: Zuweisen von IAM-Rollen zu Kubernetes-Dienstkonten
