Configurazione di Amazon EKS Pod Identity Agent - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Amazon EKS Pod Identity Agent

Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le tue applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze Amazon EC2 .

Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API EKS Auth aggiuntiva e un pod di agenti che viene eseguito su ogni nodo.

Suggerimento

Non è necessario installare EKS Pod Identity Agent sui cluster EKS Auto Mode. Questa funzionalità è integrata in EKS Auto Mode.

Considerazioni

  • Per impostazione predefinita, EKS Pod Identity Agent ascolta su un IPv6 indirizzo IPv4 and i pod per richiedere le credenziali. L'agente utilizza l'indirizzo IP di loopback (localhost) IPv4 e l'indirizzo IP localhost 169.254.170.23 per. [fd00:ec2::23] IPv6

  • Se IPv6 disabiliti gli indirizzi o impedisci in altro modo gli indirizzi IPv6 IP del localhost, l'agente non può avviarsi. Per avviare l'agente su nodi che non possono essere utilizzatiIPv6, segui i passaggi indicati Disattiva IPv6 nell'EKS Pod Identity Agent per disabilitare la IPv6 configurazione.

Creazione di Amazon EKS Pod Identity Agent

Prerequisiti dell'agente

  • Un cluster Amazon EKS esistente. Per implementarne uno, consulta Nozioni di base su Amazon EKS. La versione del cluster e la versione della piattaforma devono essere uguali o successive alle versioni elencate nelle versioni del cluster EKS Pod Identity.

  • Il ruolo del nodo dispone delle autorizzazioni per consentire all'agente di eseguire l'azione AssumeRoleForPodIdentity nell'API EKS Auth. Puoi utilizzare la politica AWS gestita: Amazon EKSWorker NodePolicy o aggiungere una politica personalizzata simile alla seguente:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }

    Questa azione può essere limitata dai tag per ridurre i ruoli che possono essere assunti dai pod che utilizzano l'agente.

  • I nodi possono raggiungere e scaricare immagini da Amazon ECR. L'immagine del contenitore per il componente aggiuntivo si trova nei registri elencati in Visualizza i registri delle immagini dei contenitori Amazon per i componenti aggiuntivi Amazon EKS.

    Tieni presente che puoi modificare la posizione dell'immagine e fornire imagePullSecrets componenti aggiuntivi EKS nelle impostazioni di configurazione opzionali nella e nella --configuration-values AWS CLI. AWS Management Console

  • I nodi possono raggiungere l'API Amazon EKS Auth. Per i cluster privati, è necessario l'ingresso dell'eks-authendpoint. AWS PrivateLink

Agente di configurazione con console AWS

  1. Aprire la Console Amazon EKS.

  2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi scegli il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.

  3. Seleziona la scheda Componenti aggiuntivi.

  4. Scegli Ottieni altri componenti aggiuntivi.

  5. Seleziona la casella nella parte superiore destra di quella del componente aggiuntivo relativo a EKS Pod Identity Agent e scegli Avanti.

  6. Nella pagina Configura le impostazioni dei componenti aggiuntivi selezionati, seleziona una versione qualsiasi nell'elenco a discesa Versione.

  7. (Facoltativo) Espandi Impostazioni di configurazione facoltative per inserire una configurazione aggiuntiva. Ad esempio, puoi fornire una posizione alternativa per l'immagine del container e ImagePullSecrets. Lo schema JSON con le chiavi accettate è mostrato nello schema di configurazione del componente aggiuntivo.

    Inserisci le chiavi e i valori di configurazione in Valori di configurazione.

  8. Scegli Next (Successivo).

  9. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegna un ruolo IAM a un account di servizio Kubernetes.

Agente di configurazione con AWS CLI

  1. Esegui il seguente comando AWS CLI. Sostituisci my-cluster con il nome del cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    Nota

    EKS Pod Identity Agent non utilizza i ruoli service-account-role-arn for IAM per gli account di servizio. È necessario fornire a EKS Pod Identity Agent le autorizzazioni nel ruolo del nodo.

  2. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegna un ruolo IAM a un account di servizio Kubernetes.