Configuration de l'agent d'identité Amazon EKS Pod - Amazon EKS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'agent d'identité Amazon EKS Pod

Les associations Amazon EKS Pod Identity permettent de gérer les informations d'identification de vos applications, de la même manière que les profils d' EC2 instance Amazon fournissent des informations d'identification aux EC2 instances Amazon.

L’identité du pod Amazon EKS fournit des informations d’identification à vos charges de travail avec une API d’authentification EKS supplémentaire et un pod d’agent qui s’exécute sur chaque nœud.

Astuce

Il n'est pas nécessaire d'installer l'agent EKS Pod Identity sur les clusters en mode automatique EKS. Cette fonctionnalité est intégrée au mode automatique d'EKS.

Considérations

  • Par défaut, l'agent EKS Pod Identity écoute sur une IPv6 adresse IPv4 et les pods pour demander des informations d'identification. L'agent utilise l'adresse IP de bouclage (localhost) 169.254.170.23 pour IPv4 et l'adresse IP localhost pour. [fd00:ec2::23] IPv6

  • Si vous désactivez IPv6 des adresses ou si vous empêchez les adresses IPv6 IP de l'hôte local, l'agent ne peut pas démarrer. Pour démarrer l'agent sur des nœuds qui ne peuvent pas être utilisésIPv6, suivez les étapes décrites Désactiver IPv6 dans l'agent d'identité EKS Pod pour désactiver la IPv6 configuration.

Création d’un agent d’identité du pod Amazon EKS

Conditions préalables pour l’agent

  • Un cluster Amazon EKS existant. Pour en déployer un, consultez Mise en route avec Amazon EKS. La version du cluster et la version de la plate-forme doivent être identiques ou ultérieures aux versions répertoriées dans les versions du cluster EKS Pod Identity.

  • Le rôle de nœud dispose d’autorisations permettant à l’agent d’effectuer l’action AssumeRoleForPodIdentity dans l’API d’authentification EKS. Vous pouvez utiliser la politique AWS gérée : Amazon EKSWorker NodePolicy ou ajouter une politique personnalisée similaire à la suivante :

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }

    Cette action peut être limitée par des balises pour restreindre les rôles qui peuvent être assumés par les pods qui utilisent l’agent.

  • Les nœuds peuvent atteindre et télécharger des images à partir d’Amazon ECR. L'image de conteneur pour le module complémentaire se trouve dans les registres répertoriés dans Afficher les registres d'images de conteneur Amazon pour les modules complémentaires Amazon EKS.

    Notez que vous pouvez modifier l'emplacement de l'image et imagePullSecrets prévoir des modules complémentaires EKS dans les paramètres de configuration facultatifs de et --configuration-values dans la AWS CLI. AWS Management Console

  • Les nœuds peuvent accéder à l’API d’authentification Amazon EKS. Pour les clusters privés, le eks-auth point de terminaison AWS PrivateLink est obligatoire.

Agent d'installation avec AWS console

  1. Ouvrez la console Amazon EKS.

  2. Dans le panneau de navigation de gauche, sélectionnez Clusters, puis sélectionnez le nom du cluster pour lequel vous souhaitez configurer le module complémentaire l’agent d’identité du pod EKS.

  3. Choisissez l'onglet Modules complémentaires.

  4. Choisissez Obtenez plus de modules complémentaires.

  5. Cochez la case en haut à droite du module complémentaire de l’agent d’identité du pod EKS, puis sélectionnez Suivant.

  6. Sur la page Configurer les paramètres de modules complémentaires sélectionnés, sélectionnez n’importe quelle Version dans la liste déroulante Version.

  7. (Facultatif) Développez les Paramètres de configuration facultatifs pour entrer une configuration supplémentaire. Par exemple, vous pouvez fournir un autre emplacement d’image de conteneur et ImagePullSecrets. Le schéma JSON avec les clés acceptées est affiché dans Schéma de configuration du module complémentaire.

    Saisissez les clés et les valeurs de configuration dans Valeurs de configuration.

  8. Choisissez Suivant.

  9. Confirmez que les pods de l’agent d’identité du pod EKS sont en cours d’exécution sur votre cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    L'exemple qui suit illustre un résultat.

    eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24h

    Vous pouvez maintenant utiliser les associations d’identité du pod EKS dans votre cluster. Pour de plus amples informations, veuillez consulter Attribuer un rôle IAM à un compte de service Kubernetes.

Agent de configuration avec AWS CLI

  1. Exécutez la commande AWS CLI suivante. Remplacez my-cluster par le nom de votre cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    Note

    L'agent d'identité EKS Pod n'utilise pas les rôles service-account-role-arn for IAM pour les comptes de service. Vous devez fournir à l’agent d’identité du pod EKS des autorisations dans le rôle de nœud.

  2. Confirmez que les pods de l’agent d’identité du pod EKS sont en cours d’exécution sur votre cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    L'exemple qui suit illustre un résultat.

    eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24h

    Vous pouvez maintenant utiliser les associations d’identité du pod EKS dans votre cluster. Pour de plus amples informations, veuillez consulter Attribuer un rôle IAM à un compte de service Kubernetes.