Helfen Sie mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie den Amazon EKS Pod Identity Agent ein
Amazon EKS Pod Identity-Verknüpfungen bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Amazon-Instance-Profile Anmeldeinformationen für EC2 Amazon-Instances bereitstellen.
Amazon EKS Pod Identity bietet Anmeldeinformationen für Ihre Workloads mit einer zusätzlichen EKSAuthentifizierung API und einem Agent-Pod, der auf jedem Knoten ausgeführt wird.
Tipp
Sie müssen den EKS Pod Identity Agent nicht auf Clustern im EKS automatischen Modus installieren. Diese Funktion ist in den EKS Auto-Modus integriert.
Überlegungen
-
Standardmäßig überwacht der EKS Pod Identity Agent eine
IPv4IPv6AND-Adresse für Pods, um Anmeldeinformationen anzufordern. Der Agent verwendet die Loopback-IP-Adresse (localhost)169.254.170.23fürIPv4und die Localhost-IP-Adresse für.[fd00:ec2::23]IPv6 -
Wenn Sie
IPv6Adressen deaktivieren oder auf andere WeiseIPv6Localhost-IP-Adressen verhindern, kann der Agent nicht gestartet werden. Um den Agenten auf Knoten zu starten, die nicht verwendet werden könnenIPv6, folgen Sie den Schritten unter IPv6Im EKS Pod Identity Agent deaktivieren So deaktivieren Sie dieIPv6Konfiguration.
Den Amazon EKS Pod Identity Agent erstellen
Voraussetzungen für den Agent
-
Ein vorhandener EKS Amazon-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS. Die Clusterversion und die Plattformversion müssen mit den unter EKSPod Identity-Cluster-Versionen EKS Pod Identity-Cluster-Versionen aufgeführten Versionen identisch oder neuer sein.
-
Die Knotenrolle verfügt über die Berechtigungen für den Agenten, die
AssumeRoleForPodIdentityAktion im EKS Auth auszuführen. API Sie können die AWS verwaltete Richtlinie: A mazonEKSWorker NodePolicy AWS verwaltete Richtlinie A verwenden mazonEKSWorker NodePolicy oder eine benutzerdefinierte Richtlinie hinzufügen, die der folgenden ähnelt:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }Diese Aktion kann durch Tags beschränkt werden, um einzuschränken, welche Rollen von Pods übernommen werden können, die den Agent verwenden.
-
Die Knoten können Bilder von Amazon erreichen und herunterladenECR. Das Container-Image für das Add-on befindet sich in den Registern, die unter Amazon-Container-Image-Registrierungen für EKS Amazon-Add-Ons Amazon-Container-Image-Registrierungen für EKS Amazon-Add-Ons anzeigen anzeigen aufgeführt sind.
Beachten Sie, dass Sie den Speicherort des Images ändern und
imagePullSecretsEKS Add-Ons in den optionalen Konfigurationseinstellungen in und--configuration-valuesin der angeben können. AWS Management Console AWS CLI -
Die Knoten können Amazon EKS Auth API erreichen. Für private Cluster ist der
eks-authEndpunkt-Eingang AWS PrivateLink erforderlich.
Agent mit AWS Konsole einrichten
-
Öffnen Sie die EKSAmazon-Konsole
. -
Wählen Sie im linken Navigationsbereich Clusters und anschließend den Namen des Clusters aus, für den Sie das EKS Pod Identity Agent-Add-on konfigurieren möchten.
-
Wählen Sie die Registerkarte Add-ons.
-
Wählen Sie Weitere Add-Ons erhalten.
-
Wählen Sie das Feld oben rechts im Zusatzfeld für EKS Pod Identity Agent aus und wählen Sie dann Weiter.
-
Wählen Sie auf der Seite Konfigurieren ausgewählter Add-on-Einstellungen eine beliebige Version in der Dropdown-Liste Version aus.
-
(Optional) Erweitern Sie Optionale Konfigurationseinstellungen, um eine zusätzliche Konfiguration einzugeben. Sie können beispielsweise einen alternativen Speicherort für das Container-Image und
ImagePullSecretsangeben. Das Tool JSON Schema welche Schlüssel akzeptiert wurden, wird im Konfigurationsschema des Add-ons angezeigt.Geben Sie die Konfigurationsschlüssel und Werte in das Feld Konfigurationswerte ein
-
Wählen Sie Weiter.
-
Vergewissern Sie sich, dass die EKS Pod Identity Agent-Pods auf Ihrem Cluster ausgeführt werden.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'Eine Beispielausgabe sieht wie folgt aus.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hSie können jetzt EKS Pod Identity-Verknüpfungen in Ihrem Cluster verwenden. Weitere Informationen finden Sie unter Weisen Sie eine zu IAM Rolle einem Kubernetes Dienstkonto.
Agent einrichten mit AWS CLI
-
Führen Sie den Befehl AWS CLI aus. Ersetzen Sie
my-clustermit dem Namen Ihres Clusters.aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1Anmerkung
Der EKS Pod Identity Agent verwendet die
service-account-role-arnIAMFor-Rollen nicht für Dienstkonten. Sie müssen dem EKS Pod Identity Agent Berechtigungen für die Knotenrolle gewähren. -
Vergewissern Sie sich, dass die EKS Pod Identity Agent-Pods auf Ihrem Cluster ausgeführt werden.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'Eine Beispielausgabe sieht wie folgt aus.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hSie können jetzt EKS Pod Identity-Verknüpfungen in Ihrem Cluster verwenden. Weitere Informationen finden Sie unter Weisen Sie eine zu IAM Rolle einem Kubernetes Dienstkonto.
