Utilisation des entrées d'accès Amazon EKS pour le rôle IAM des nœuds hybrides Utilisation d'aws-auth ConfigMap pour le rôle IAM des nœuds hybrides

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Préparer l'accès au cluster pour les nœuds hybrides

Avant de connecter des nœuds hybrides à votre cluster Amazon EKS, vous devez activer votre rôle IAM de nœuds hybrides avec les autorisations Kubernetes pour rejoindre le cluster. Consultez Préparer les informations d'identification pour les nœuds hybrides pour plus d'informations sur la création du rôle IAM Hybrid Nodes. Amazon EKS propose deux méthodes pour associer les principaux IAM au contrôle d'accès basé sur les rôles (RBAC) de Kubernetes, aux entrées d'accès Amazon EKS et au. aws-auth ConfigMap Pour plus d'informations sur la gestion des accès Amazon EKS, consultezAccorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs.

Utilisez les procédures ci-dessous pour associer votre rôle IAM Hybrid Nodes aux autorisations Kubernetes. Pour utiliser les entrées d'accès Amazon EKS, votre cluster doit avoir été créé avec les modes API_AND_CONFIG_MAP d'authentification API or. Pour utiliser le aws-auth ConfigMap, votre cluster doit avoir été créé avec le mode API_AND_CONFIG_MAP d'authentification. Le mode d'authentification CONFIG_MAP uniquement n'est pas pris en charge pour les clusters Amazon EKS compatibles avec les nœuds hybrides.

Utilisation des entrées d'accès Amazon EKS pour le rôle IAM des nœuds hybrides

Il existe un type d'entrée d'accès Amazon EKS pour les nœuds hybrides nommé HYBRID_LINUX qui peut être utilisé avec un rôle IAM. Avec ce type d'entrée d'accès, le nom d'utilisateur est automatiquement défini sur system:node : {{SessionName}}. Pour plus d'informations sur la création d'entrées d'accès, consultezCréation d'entrées d'accès.

AWS CLI

La dernière version de la AWS CLI doit être installée et configurée sur votre appareil. Pour vérifier votre version actuelle, utilisez aws --version. Les gestionnaires de packages tels que yum, apt-get ou Homebrew pour macOS ont souvent plusieurs versions de retard sur la dernière version de la CLI. AWS Pour installer la dernière version, consultez la section Installation et configuration rapide avec aws configure dans le Guide de l'utilisateur de l'interface de ligne de AWS commande.
Créez votre entrée d'accès à l'aide de la commande suivante. Remplacez CLUSTER_NAME par le nom de votre cluster et HYBRID_NODES_ROLE_ARN par l'ARN du rôle que vous avez créé dans les étapes pour. Préparer les informations d'identification pour les nœuds hybrides
```
aws eks create-access-entry --cluster-name CLUSTER_NAME \
    --principal-arn HYBRID_NODES_ROLE_ARN \
    --type HYBRID_LINUX
```

AWS Management Console

Ouvrez la console Amazon EKS sur la console Amazon EKS.
Choisissez le nom de votre cluster compatible avec les nœuds hybrides.
Choisissez l'onglet Access.
Choisissez Créer une entrée d'accès.
Pour IAM principal, sélectionnez le rôle IAM Hybrid Nodes que vous avez créé dans les étapes pour. Préparer les informations d'identification pour les nœuds hybrides
Pour Type, sélectionnez Hybrid Linux.
(Facultatif) Pour Balises, attribuez des étiquettes à l'entrée d'accès. Par exemple, pour faciliter la recherche de toutes les ressources portant la même balise.
Choisissez Ignorer pour passer en revue et créer. Vous ne pouvez pas ajouter de politiques à l'entrée d'accès Hybrid Linux ni modifier son étendue d'accès.
Vérifiez la configuration de votre entrée d'accès. Si quelque chose semble incorrect, choisissez Précédent pour revenir en arrière et corriger l'erreur. Si la configuration est correcte, choisissez Créer.

Utilisation d'aws-auth ConfigMap pour le rôle IAM des nœuds hybrides

Dans les étapes suivantes, vous allez créer ou mettre à jour le aws-auth ConfigMap avec l'ARN du rôle IAM des nœuds hybrides que vous avez créé dans les étapes pour Préparer les informations d'identification pour les nœuds hybrides lesquelles.

Vérifiez si vous en avez déjà un aws-auth ConfigMap pour votre cluster. Notez que si vous utilisez un kubeconfig fichier spécifique, utilisez le --kubeconfig drapeau.
```
kubectl describe configmap -n kube-system aws-auth
```
Si un s'affiche aws-auth ConfigMap, mettez-le à jour si nécessaire.
1. Ouvrez le ConfigMap pour le modifier.
```
kubectl edit -n kube-system configmap/aws-auth
```
2. Ajoutez une nouvelle entrée mapRoles si nécessaire. HYBRID_NODES_ROLE_ARNRemplacez-le par l'ARN de votre rôle IAM Hybrid Nodes. Remarque : {{SessionName}} le format de modèle à enregistrer dans le ConfigMap. Ne le remplacez pas par d'autres valeurs.
```
data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}
```
3. Enregistrez le fichier et quittez votre éditeur de texte.
S'il n'en existe pas aws-auth ConfigMap pour votre cluster, créez-le à l'aide de la commande suivante. HYBRID_NODES_ROLE_ARNRemplacez-le par l'ARN de votre rôle IAM Hybrid Nodes. Notez qu'il {{SessionName}} s'agit du format de modèle correct à enregistrer dans le ConfigMap. Ne le remplacez pas par d'autres valeurs.
```
kubectl apply -f=/dev/stdin <<-EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}
EOF
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Créer un cluster

Exécutez des nœuds hybrides