Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea un IAM OIDC provider per il tuo cluster
Il tuo cluster ha un OpenID Connect
-
Un EKS cluster Amazon esistente. Per implementarne uno, consulta Inizia a usare Amazon EKS.
-
Versione
2.12.3
o successiva o versione1.27.160
o successiva dell'interfaccia a riga di AWS comando (AWS CLI) installata e configurata sul dispositivo o AWS CloudShell. Per verificare la versione attuale, usaaws --version | cut -d / -f2 | cut -d ' ' -f1
. Package manager comeyum
apt-get
, o Homebrew for macOS sono spesso presenti diverse versioni precedenti alla versione più recente di AWS CLI. Per installare la versione più recente, consulta Installazione e configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando. La AWS CLI versione installata in AWS CloudShell potrebbe anche contenere diverse versioni precedenti alla versione più recente. Per aggiornarla, consulta Installazione nella tua home directory nella Guida AWS CLI per l' AWS CloudShell utente. -
Lo strumento da
kubectl
riga di comando è installato sul dispositivo o AWS CloudShell. La versione può essere uguale o superiore a una versione secondaria precedente o successiva alla Kubernetes versione del cluster. Ad esempio, se la versione del cluster è1.29
, puoi usarekubectl
versione1.28
,1.29
o1.30
. Per installare o aggiornarekubectl
, consulta Configura kubectl ed eksctl: -
Un file
kubectl
config
esistente che contiene la configurazione del cluster. Per creare un filekubectl
config
, consulta Connect kubectl a un EKS cluster creando un file kubeconfig.
Puoi creare un IAM OIDC provider per il tuo cluster che utilizza eksctl
o il AWS Management Console.
Crea OIDC provider (eksctl)
-
Versione
0.194.0
o successiva dello strumento da riga dieksctl
comando installato sul dispositivo o. AWS CloudShell Per l'installazione o l'aggiornamento dieksctl
, consulta la sezione Installationnella documentazione di eksctl
. -
Determina il OIDC ID emittente per il tuo cluster.
Recupera i dati del tuo cluster OIDC ID emittente e memorizzalo in una variabile. Replace (Sostituisci)
my-cluster
con il tuo valore.cluster_name=my-cluster
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id
-
Determina se un IAM OIDC il provider con l'ID emittente del cluster è già presente nel tuo account.
aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4
Se viene restituito un output, allora hai già un IAM OIDC provider per il tuo cluster e puoi saltare il passaggio successivo. Se non viene restituito alcun output, è necessario creare un IAM OIDC provider per il tuo cluster.
-
Crea un IAM OIDC provider di identità per il tuo cluster con il seguente comando.
eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
Nota
Se hai abilitato l'EKSVPCendpoint, non è possibile accedere all'endpoint del EKS OIDC servizio dall'interno di esso. VPC Di conseguenza, le tue operazioni, come la creazione di un OIDC provider con
eksctl
in, non VPC funzioneranno e comporteranno un timeout durante il tentativo di richiesta.https://oidc.eks
Segue un messaggio di errore di esempio:. region
.amazonaws.com
** server cant find oidc.eks.region.amazonaws.com: NXDOMAIN
Per completare questo passaggio, è possibile eseguire il comando all'esternoVPC, ad esempio in AWS CloudShell o su un computer connesso a Internet. In alternativa, è possibile creare un resolver condizionale a orizzonte diviso inVPC, ad esempio Route 53 Resolver, per utilizzare un resolver diverso per l'Emittente e non utilizzarlo per esso. OIDC URL VPC DNS Per un esempio di inoltro condizionale in CoreDNS, consulta la richiesta EKS di funzionalità Amazon
Crea OIDC provider (AWS console)
-
Apri la EKSconsole Amazon
. -
Nel riquadro a sinistra, seleziona Cluster, quindi seleziona il nome del cluster nella pagina Cluster.
-
Nella sezione Dettagli della scheda Panoramica, annota il valore del provider OpenID Connect. URL
-
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, scegli Identity Providers (Provider di identità) in Access management (Gestione accesso). Se è elencato un provider che corrisponde a quello del URL tuo cluster, allora hai già un provider per il tuo cluster. Se nell'elenco non è presente un provider che corrisponda URL a quello del tuo cluster, devi crearne uno.
-
Per creare un provider, selezionare Aggiungi provider.
-
Per Tipo di provider, seleziona OpenID Connect .
-
Per Provider URL, inserisci OIDC provider URL per il tuo cluster.
-
Per Audience, inserisci
sts.amazonaws.com
. -
(Facoltativo) Aggiungi qualsiasi tag, ad esempio un tag per identificare quale cluster è destinato a questo provider.
-
Scegli Aggiungi provider.
Fase successiva: Assign IAM ruoli per Kubernetes account di servizio