Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Verifica dei prerequisiti per Container Insights in CloudWatch Prima di installare Container Insights su Amazon EKS o Kubernetes, verifica quanto segue. Questi prerequisiti si applicano indipendentemente dal fatto che tu stia utilizzando l' CloudWatch agente o AWS Distro OpenTelemetry per configurare Container Insights sui cluster Amazon EKS. + Disponi di un cluster Amazon EKS o Kubernetes funzionale con nodi collegati in una delle regioni che supporta Container Insights per Amazon EKS e Kubernetes. Per l'elenco delle regioni supportate, consulta [Container Insights](ContainerInsights.md). + Disponi di `kubectl` installato e in esecuzione. Per ulteriori informazioni, consulta la pagina relativa all'[installazione di `kubectl`](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html) nella *Guida per l'utente di Amazon EKS*. + Se utilizzi Kubernetes in esecuzione AWS anziché Amazon EKS, sono necessari anche i seguenti prerequisiti: + Assicurati che il cluster Kubernetes abbia abilitato il controllo degli accessi basato su ruoli (RBAC). Per ulteriori informazioni, consulta [Utilizzo dell'autorizzazione RBAC](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) nella documentazione di riferimento di Kubernetes. + Il kubelet ha abilitato la modalità di autorizzazione Webhook. Per ulteriori informazioni, consulta [Autenticazione/autorizzazione Kubelet](https://kubernetes.io/docs/reference/access-authn-authz/kubelet-authn-authz/) nella documentazione di riferimento di Kubernetes. È inoltre necessario concedere le autorizzazioni IAM per consentire ai nodi di lavoro Amazon EKS di inviare parametri e log. CloudWatch Ci sono due modi per effettuare questa operazione: + Collega una policy al ruolo IAM dei nodi di lavoro. Questo metodo funziona sia per i cluster Amazon EKS che per altri cluster Kubernetes. + Utilizza un ruolo IAM per gli account di servizio per il cluster e collega la policy a questo ruolo. Questo metodo funziona solo per i cluster Amazon EKS. La prima opzione concede le autorizzazioni CloudWatch per l'intero nodo, mentre l'utilizzo di un ruolo IAM per l'account di servizio consente di CloudWatch accedere solo ai pod daemonset appropriati. **Collegamento di una policy al ruolo IAM dei nodi di lavoro** Attieniti alla seguente procedura per collegare la policy al ruolo IAM dei nodi di lavoro. Questa procedura funziona sia per i cluster Amazon EKS che per i cluster Kubernetes esterni ad Amazon EKS. **Per collegare la policy necessaria al ruolo IAM per i nodi worker** 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Seleziona una delle istanze dei nodi worker e scegli il ruolo IAM nella descrizione. 1. Nella pagina del ruolo IAM, scegli **Attach policies** (Collega policy). 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a. **CloudWatchAgentServerPolicy** Se necessario, utilizzare la casella di ricerca per trovare questa policy. 1. Scegli **Collega policy**. Se stai eseguendo un cluster Kubernetes all'esterno di Amazon EKS, è possibile che tu non disponga già di un ruolo IAM associato ai nodi worker. In questo caso, occorre innanzitutto collegare un ruolo IAM all'istanza e quindi aggiungere la policy come illustrato nelle fasi precedenti. Per ulteriori informazioni sul collegamento di un ruolo a un'istanza, consulta [Collegamento di un ruolo IAM a un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) nella *Guida per l'utente di Amazon EC2*. Se esegui un cluster Kubernetes all'esterno di Amazon EKS e desideri raccogliere il volume EBS IDs nelle metriche, devi aggiungere un'altra policy al ruolo IAM associato all'istanza. Aggiungi quanto segue come una policy inline. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ **Utilizzo di un ruolo dell'account del servizio IAM** Questo metodo funziona solo nei cluster Amazon EKS. **Per concedere l'autorizzazione all' CloudWatch utilizzo del ruolo di un account di servizio IAM** 1. Se non l'hai già fatto, abilita i ruoli IAM per gli account del servizio nel cluster. Per ulteriori informazioni, consulta [Abilitazione dei ruoli IAM per gli account di servizio nel cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). 1. Se non l'hai già fatto, configura l'account del servizio per utilizzare il ruolo IAM. Per ulteriori informazioni, consulta la pagina [Configurazione di un account di servizio Kubernetes per assumere un ruolo IAM](https://docs.aws.amazon.com/eks/latest/userguide/associate-service-account-role.html). Quando crei il ruolo, collega la policy **CloudWatchAgentServerPolicy**IAM al ruolo oltre alla policy che crei per il ruolo. Inoltre, l'account di servizio Kubernetes associato collegato a questo ruolo deve essere creato nello spazio dei `amazon-cloudwatch` nomi, dove i daemonset CloudWatch e Fluent Bit verranno distribuiti nei passaggi successivi 1. In caso contrario, collega il ruolo IAM a un account del servizio nel cluster. Per ulteriori informazioni, consulta la pagina [Configurazione di un account di servizio Kubernetes per assumere un ruolo IAM](https://docs.aws.amazon.com/eks/latest/userguide/associate-service-account-role.html).