Helfen Sie mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anzeigen Kubernetes Ressourcen in der AWS Management Console
Sie können die ansehen Kubernetes Ressourcen, die in Ihrem Cluster mit dem bereitgestellt wurden AWS Management Console. Sie können es nicht ansehen Kubernetes Ressourcen mit der AWS CLI oder eksctl
Anmerkung
Um die Registerkarte Ressourcen und den Abschnitt Knoten auf der Registerkarte Compute in der anzuzeigen AWS Management Console, muss der von Ihnen verwendete IAM-Prinzipal über ein bestimmtes IAM verfügen und Kubernetes Berechtigungen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.
-
Öffnen Sie die Amazon-EKS-Konsole
. -
Wählen Sie in der Clusterliste den Cluster aus, der Folgendes enthält Kubernetes Ressourcen, die Sie anzeigen möchten.
-
Wählen Sie die Registerkarte für Resources (Ressourcen).
-
Wählen Sie eine Resource type-Gruppe (Ressourcentyp) aus, für die Sie Ressourcen anzeigen möchten, z. B. Workloads. Ihnen wird eine Liste der Ressourcentypen in dieser Gruppe angezeigt.
-
Wählen Sie einen Ressourcentyp aus, z. B. Deployments (Bereitstellungen) in der Gruppe Workloads. Sie sehen eine Beschreibung des Ressourcentyps, einen Link zu Kubernetes Dokumentation mit weiteren Informationen zum Ressourcentyp und einer Liste der Ressourcen dieses Typs, die auf Ihrem Cluster bereitgestellt werden. Wenn die Liste leer ist, werden keine Ressourcen dieses Typs in Ihrem Cluster bereitgestellt.
-
Wählen Sie eine Ressource aus, um weitere Informationen dazu anzuzeigen. Probieren Sie die folgenden Beispiele aus:
-
Wählen Sie die Gruppe Workloads aus, dann den Ressourcentyp Deployments (Bereitstellungen) gefolgt von der Ressource coredns. Wenn Sie eine Ressource auswählen, befinden Sie sich standardmäßig in der strukturierten Ansicht. Für einige Ressourcentypen wird in der strukturierten Ansicht der Abschnitt Pods angezeigt. In diesem Abschnitt werden die Pods wird vom Workload verwaltet. Sie können eine beliebige auswählen Pod aufgeführt, um Informationen über die anzuzeigen Pod. Nicht alle Ressourcentypen zeigen Informationen in der strukturierten Ansicht an. Wenn Sie in der oberen rechten Ecke der Seite für die Ressource die Option Rohansicht auswählen, sehen Sie die vollständige JSON-Antwort von Kubernetes API für die Ressource.
-
Wählen Sie die Cluster-Gruppe aus und dann den Ressourcentyp Nodes (Knoten). Eine Liste aller Knoten in Ihrem Cluster wird angezeigt. Die Knoten können von jedem Amazon-EKS-Knoten-Typ sein. Das ist die gleiche Liste, die Sie im Abschnitt Nodes (Knoten) sehen, wenn Sie die Registerkarte Compute (Datenverarbeitung) für Ihren Cluster auswählen. Wählen Sie eine Knotenressource aus der Liste aus. In der strukturierten Ansicht sehen Sie ebenfalls einen Abschnitt Pods. Dieser Abschnitt zeigt Ihnen alles Pods läuft auf dem Knoten.
-
Erforderliche Berechtigungen
Um die Registerkarte Ressourcen und den Abschnitt Knoten auf der Registerkarte Compute in der anzuzeigen AWS Management Console, muss der IAM-Principal, den Sie verwenden, über eine bestimmte Mindestanzahl an IAM verfügen und Kubernetes Berechtigungen. Führen Sie die folgenden Schritte aus, um Ihren IAM-Prinzipalen die erforderlichen Berechtigungen zuzuweisen.
-
Stellen Sie sicher
eks:AccessKubernetesApi
, dass die und andere erforderliche IAM-Berechtigungen zum Anzeigen Kubernetes Ressourcen, sind dem IAM-Principal zugewiesen, den Sie verwenden. Weitere Informationen zum Bearbeiten von Berechtigungen für einen IAM-Prinzipal finden Sie unter Zugriff für Prinzipale steuern und im IAM-Benutzerhandbuch. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Modifying a role permissions policy (console) (Ändern einer Rollenberechtigungsrichtlinie (Konsole)) im IAM-Benutzerhandbuch.Die folgende Beispielrichtlinie enthält die erforderlichen Berechtigungen, damit ein Principal sie einsehen kann Kubernetes Ressourcen für alle Cluster in Ihrem Konto.
111122223333
Ersetzen Sie es durch Ihre AWS Konto-ID.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:ListFargateProfiles", "eks:DescribeNodegroup", "eks:ListNodegroups", "eks:ListUpdates", "eks:AccessKubernetesApi", "eks:ListAddons", "eks:DescribeCluster", "eks:DescribeAddonVersions", "eks:ListClusters", "eks:ListIdentityProviderConfigs", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws: ssm:*:111122223333:parameter/*" } ] }
Um Knoten in verbundenen Clustern anzuzeigen, sollte die IAM-Rolle des Amazon-EKS-Connectors in der Lage sein, den Prinzipal im Cluster anzunehmen. Auf diese Weise kann der Connect a Kubernetes Cluster to a Amazon EKS Management Console with Amazon EKS Connector den Principal einem zuordnen Kubernetes Benutzer.
-
Erstellen Sie ein Kubernetes
rolebinding
oderclusterrolebinding
das ist an ein gebunden Kubernetesrole
oderclusterrole
das über die erforderlichen Berechtigungen verfügt, um das anzusehen Kubernetes Ressourcen schätzen. Für weitere Informationen über Kubernetes Rollen und Rollenbindungen finden Sie unter Verwenden der RBAC-Autorisierungim Kubernetes -Dokumentation. Sie können eines der folgenden Manifeste auf Ihren Cluster anwenden, die ein role
Undrolebinding
oder einclusterrole
Undclusterrolebinding
mit den erforderlichen Kubernetes Berechtigungen:- Anzeigen Kubernetes Ressourcen in allen Namespaces
-
-
Der Gruppenname in der Datei lautet
eks-console-dashboard-full-access-group
. Wenden Sie das Manifest mit dem folgenden Befehl auf Ihren Cluster an:kubectl apply -f https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-full-access.yaml
-
- Anzeigen Kubernetes Ressourcen in einem bestimmten Namespace
-
-
Der Namespace in dieser Datei ist
default
. Der Gruppenname in der Datei lauteteks-console-dashboard-restricted-access-group
. Wenden Sie das Manifest mit dem folgenden Befehl auf Ihren Cluster an:kubectl apply -f https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-restricted-access.yaml
Wenn Sie das ändern müssen Kubernetes Gruppenname, Namespace, Berechtigungen oder eine andere Konfiguration in der Datei. Laden Sie dann die Datei herunter und bearbeiten Sie sie, bevor Sie sie auf Ihren Cluster anwenden:
-
Laden Sie die Datei mit einem der folgenden Befehle herunter.
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-full-access.yaml
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-restricted-access.yaml
-
Bearbeiten Sie die Datei nach Bedarf.
-
Wenden Sie das Manifest mit einem der folgenden Befehle auf Ihren Cluster an:
kubectl apply -f eks-console-full-access.yaml
kubectl apply -f eks-console-restricted-access.yaml
-
-
-
Ordnen Sie den IAM-Prinzipal dem zu Kubernetes Benutzer oder Gruppe in der
aws-auth
ConfigMap
. Sie können ein Tool wieeksctl
verwenden, um dieConfigMap
zu aktualisieren, oder Sie können sie durch manuelle Bearbeitung aktualisieren.Wichtig
Wir empfehlen die Verwendung von
eksctl
oder einem anderen Tool, um dieConfigMap
zu bearbeiten. Informationen zu anderen Tools, die Sie verwenden können, finden Sie unter Use tools to make changes to the aws- authConfigMapin den Amazon EKS-Best-Practices-Leitfäden. Ist aws-auth
ConfigMap
falsch formatiert, können Sie den Zugriff auf Ihren Cluster verlieren.
Mit eksctl bearbeiten
-
Sie benötigen eine Version
0.199.0
oder eine neuere Version deseksctl
Befehlszeilentools, das auf Ihrem Gerät installiert ist oder. AWS CloudShell Informationen zum Installieren und Aktualisieren voneksctl
finden Sie in der Dokumentation zueksctl
unter Installation. -
Zeigen Sie die aktuellen Mappings in der
ConfigMap
an. Ersetzen Siemy-cluster
mit dem Namen Ihres Clusters.region-code
Ersetzen Sie es durch die AWS Region, in der sich Ihr Cluster befindet.eksctl get iamidentitymapping --cluster my-cluster --region=region-code
Eine Beispielausgabe sieht wie folgt aus.
ARN USERNAME GROUPS ACCOUNT arn:aws: iam::111122223333:role/eksctl-my-cluster-my-nodegroup-NodeInstanceRole-1XLS7754U3ZPA system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes
-
Fügen Sie ein Mapping für eine Rolle hinzu. In diesem Beispiel wird davon ausgegangen, dass Sie die IAM-Berechtigungen im ersten Schritt einer Rolle namens
my-console-viewer-role
zuweisen. Ersetzen Sie111122223333
durch Ihre Konto-ID.eksctl create iamidentitymapping \ --cluster my-cluster \ --region=region-code \ --arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --group eks-console-dashboard-full-access-group \ --no-duplicate-arns
Wichtig
Der Rollen-ARN darf keinen Pfad wie enthalten
role/my-team/developers/my-role
. Das Format des ARN mussarn:aws: iam::
sein. In diesem Beispiel muss111122223333
:role/my-role
my-team/developers/
entfernt werden.Eine Beispielausgabe sieht wie folgt aus.
[...] 2022-05-09 14:51:20 [ℹ] adding identity "arn:aws: iam::111122223333:role/my-console-viewer-role" to auth ConfigMap
-
Fügen Sie ein Mapping für einen Benutzer hinzu. Bewährte Methoden für IAM empfehlen, dass Sie Rollen statt Benutzern Berechtigungen gewähren. In diesem Beispiel wird davon ausgegangen, dass Sie die IAM-Berechtigungen im ersten Schritt einem Benutzer
my-user
zuweisen. Ersetzen Sie111122223333
durch Ihre Konto-ID.eksctl create iamidentitymapping \ --cluster my-cluster \ --region=region-code \ --arn arn:aws: iam::111122223333:user/my-user \ --group eks-console-dashboard-restricted-access-group \ --no-duplicate-arns
Eine Beispielausgabe sieht wie folgt aus.
[...] 2022-05-09 14:53:48 [ℹ] adding identity "arn:aws: iam::111122223333:user/my-user" to auth ConfigMap
-
Zeigen Sie wieder die Mappings in der
ConfigMap
an.eksctl get iamidentitymapping --cluster my-cluster --region=region-code
Eine Beispielausgabe sieht wie folgt aus.
ARN USERNAME GROUPS ACCOUNT arn:aws: iam::111122223333:role/eksctl-my-cluster-my-nodegroup-NodeInstanceRole-1XLS7754U3ZPA system:node:{{EC2PrivateDNSName}} system:bootstrappers,system:nodes arn:aws: iam::111122223333:role/my-console-viewer-role eks-console-dashboard-full-access-group arn:aws: iam::111122223333:user/my-user eks-console-dashboard-restricted-access-group
ConfigMap Manuell bearbeiten
Weitere Informationen zum Hinzufügen von Benutzern oder Rollen zur aws-auth
ConfigMap
finden Sie unter Hinzufügen von IAM-Prinzipal zu Ihrem Amazon EKS-Cluster.
-
Öffnen Sie die
aws-auth
ConfigMap
zum Bearbeiten.kubectl edit -n kube-system configmap/aws-auth
-
Fügen Sie die Zuordnungen zu den hinzu
aws-auth
ConfigMap
, ersetzen Sie jedoch keine der vorhandenen Zuordnungen. Im folgenden Beispiel werden Zuordnungen zwischen IAM-Prinzipalen mit im ersten Schritt hinzugefügten Berechtigungen und den Kubernetes Gruppen, die im vorherigen Schritt erstellt wurden:-
Die
my-console-viewer-role
-Rolle undeks-console-dashboard-full-access-group
. -
Der
my-user
-Benutzer undeks-console-dashboard-restricted-access-group
.In diesen Beispielen wird davon ausgegangen, dass Sie die IAM-Berechtigungen im ersten Schritt einer Rolle namens
my-console-viewer-role
und einem Benutzer namensmy-user
zuweisen. Ersetze es111122223333
durch deine AWS Konto-ID.apiVersion: v1 data: mapRoles: | - groups: - eks-console-dashboard-full-access-group rolearn: arn:aws: iam::111122223333:role/my-console-viewer-role username: my-console-viewer-role mapUsers: | - groups: - eks-console-dashboard-restricted-access-group userarn: arn:aws: iam::111122223333:user/my-user username: my-user
Wichtig
Der Rollen-ARN darf keinen Pfad wie enthalten
role/my-team/developers/my-console-viewer-role
. Das Format des ARN mussarn:aws: iam::
sein. In diesem Beispiel muss111122223333
:role/my-console-viewer-role
my-team/developers/
entfernt werden.
-
-
Speichern Sie die Datei und beenden Sie den Text-Editor.