Verifica dei prerequisiti per Container Insights in CloudWatch - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Verifica dei prerequisiti per Container Insights in CloudWatch

Prima di installare Container Insights su Amazon EKS o Kubernetes, verifica quanto segue. Questi prerequisiti si applicano indipendentemente dal fatto che tu stia utilizzando l' CloudWatch agente o AWS Distro OpenTelemetry per configurare Container Insights sui cluster AmazonEKS.

  • Hai un cluster Amazon EKS o Kubernetes funzionante con nodi collegati in una delle regioni che supporta Container Insights per Amazon EKS e Kubernetes. Per l'elenco delle regioni supportate, consulta Container Insights.

  • Disponi di kubectl installato e in esecuzione. Per ulteriori informazioni, consulta Installazione kubectl nella Amazon EKS User Guide.

  • Se utilizzi Kubernetes in esecuzione AWS anziché AmazonEKS, sono necessari anche i seguenti prerequisiti:

    • Assicurati che il tuo cluster Kubernetes abbia abilitato il controllo degli accessi basato sui ruoli (). RBAC Per ulteriori informazioni, consulta Using RBAC Authorization in Kubernetes Reference.

    • Il kubelet ha abilitato la modalità di autorizzazione Webhook. Per ulteriori informazioni, consulta Autenticazione/autorizzazione Kubelet nella documentazione di riferimento di Kubernetes.

È inoltre necessario concedere IAM le autorizzazioni per consentire ai EKS nodi di lavoro Amazon di inviare parametri e log a. CloudWatch Ci sono due modi per effettuare questa operazione:

  • Allega una policy al IAM ruolo dei tuoi nodi di lavoro. Funziona sia per i EKS cluster Amazon che per altri cluster Kubernetes.

  • Usa un IAM ruolo per gli account di servizio per il cluster e collega la policy a questo ruolo. Funziona solo per i EKS cluster Amazon.

La prima opzione concede le autorizzazioni CloudWatch per l'intero nodo, mentre l'utilizzo di un IAM ruolo per l'account di servizio consente di CloudWatch accedere solo ai pod daemonset appropriati.

Allegare una policy al ruolo dei nodi di lavoro IAM

Segui questi passaggi per associare la policy al IAM ruolo dei tuoi nodi di lavoro. Funziona sia per i EKS cluster Amazon che per i cluster Kubernetes al di fuori di Amazon. EKS

Per associare la politica necessaria al ruolo dei nodi di lavoro IAM
  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona una delle istanze del nodo di lavoro e scegli il IAM ruolo nella descrizione.

  3. Nella pagina del IAM ruolo, scegli Allega politiche.

  4. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare questa policy.

  5. Scegli Collega policy.

Se gestisci un cluster Kubernetes al di fuori di AmazonEKS, potresti non avere già un IAM ruolo associato ai tuoi nodi di lavoro. In caso contrario, devi prima assegnare un IAM ruolo all'istanza e quindi aggiungere la policy come spiegato nei passaggi precedenti. Per ulteriori informazioni sull'associazione di un ruolo a un'istanza, consulta Attaching an IAM Role to an Instance nella Amazon EC2 User Guide.

Se gestisci un cluster Kubernetes all'esterno di Amazon EKS e desideri raccogliere il EBS volume IDs delle metriche, devi aggiungere un'altra policy al IAM ruolo associato all'istanza. Aggiungi quanto segue come una policy inline. Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'utente. IAM

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] }

Utilizzo di un ruolo dell'account del servizio IAM

Questo metodo funziona solo sui EKS cluster Amazon.

Per concedere l'autorizzazione all' CloudWatch utilizzo del ruolo di un account IAM di servizio
  1. Se non l'hai già fatto, abilita IAM i ruoli per gli account di servizio nel tuo cluster. Per ulteriori informazioni, consulta Abilitazione IAM dei ruoli per gli account di servizio nel cluster.

  2. Se non l'hai già fatto, configura l'account di servizio per utilizzare un IAM ruolo. Per ulteriori informazioni, consulta Configurazione di un account di servizio Kubernetes per l'assunzione di un ruolo. IAM

    Quando crei il ruolo, allega la CloudWatchAgentServerPolicyIAMpolitica al ruolo oltre alla politica che crei per il ruolo. Inoltre, l'account di servizio Kubernetes associato collegato a questo ruolo deve essere creato nello spazio dei amazon-cloudwatch nomi, dove i daemonset CloudWatch e Fluent Bit verranno distribuiti nei passaggi successivi

  3. Se non l'hai già fatto, associa il ruolo a un account di servizio nel tuo cluster. IAM Per ulteriori informazioni, consulta Configurazione di un account di servizio Kubernetes per l'assunzione di un ruolo. IAM