Comprendi come EKS Pod Identity funzionamento - Amazon EKS
Usare EKS Pod Identities nel codiceCome funziona EKS Pod Identity Agent con un Pod

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendi come EKS Pod Identity funzionamento

Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le tue applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze AmazonEC2.

Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'EKSautenticazione aggiuntiva API e un pod agente che viene eseguito su ogni nodo.

Nei tuoi componenti aggiuntivi, come i EKScomponenti aggiuntivi Amazon e i controller autogestiti, gli operatori e altri componenti aggiuntivi, l'autore deve aggiornare il proprio software per utilizzare la versione più recente. AWS SDKs

Usare EKS Pod Identities nel codice

Nel tuo codice, puoi usare il AWS SDKs per accedere ai AWS servizi. Si scrive il codice per creare un client per un AWS servizio con un eSDK, per impostazione predefinita, SDK le ricerche in una catena di posizioni per AWS Identity and Access Management le credenziali da utilizzare. Dopo aver trovato credenziali valide, la ricerca viene interrotta. Per ulteriori informazioni sulle posizioni predefinite utilizzate, consulta la catena di fornitori di credenziali nella AWS SDKs and Tools Reference Guide.

EKSLe identità Pod sono state aggiunte al provider di credenziali Container, che viene cercato in un passaggio nella catena di credenziali predefinita. Se i tuoi carichi di lavoro attualmente utilizzano credenziali che si trovano all'inizio della catena di credenziali, tali credenziali continueranno a essere utilizzate anche se configuri un'associazione EKS Pod Identity per lo stesso carico di lavoro. In questo modo è possibile migrare in sicurezza da altri tipi di credenziali creando l'associazione prima di rimuovere le vecchie credenziali.

Il provider di credenziali del container assegna credenziali temporanee da un agente che viene eseguito su ogni nodo. In AmazonEKS, l'agente è Amazon EKS Pod Identity Agent e su Amazon Elastic Container Service l'agente è ilamazon-ecs-agent. SDKsUtilizzano variabili di ambiente per individuare l'agente a cui connettersi.

Al contrario, IAMi ruoli per gli account di servizio forniscono un token di identità Web con cui AWS SDK devono scambiarsi AWS Security Token Service utilizzandoAssumeRoleWithWebIdentity.

Come funziona EKS Pod Identity Agent con un Pod

  1. Quando Amazon EKS avvia un nuovo pod che utilizza un account di servizio con un'associazione EKS Pod Identity, il cluster aggiunge i seguenti contenuti al Pod manifesto:

        env:
    - name: AWS_CONTAINER_AUTHORIZATION_TOKEN_FILE
      value: "/var/run/secrets/pods.eks.amazonaws.com/serviceaccount/eks-pod-identity-token"
    - name: AWS_CONTAINER_CREDENTIALS_FULL_URI
      value: "http://169.254.170.23/v1/credentials"
    volumeMounts:
    - mountPath: "/var/run/secrets/pods.eks.amazonaws.com/serviceaccount/"
      name: eks-pod-identity-token
  volumes:
  - name: eks-pod-identity-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: pods.eks.amazonaws.com
          expirationSeconds: 86400 # 24 hours
          path: eks-pod-identity-token

  2. Kubernetes seleziona su quale nodo eseguire il pod. Quindi, l'Amazon EKS Pod Identity Agent sul nodo utilizza l'AssumeRoleForPodIdentityazione per recuperare le credenziali temporanee dall'EKSautenticazione. API

  3. EKSPod Identity Agent rende disponibili queste credenziali per le operazioni eseguite all' AWS SDKsinterno dei contenitori.

  4. Utilizzate il SDK nella vostra applicazione senza specificare un fornitore di credenziali per utilizzare la catena di credenziali predefinita. In alternativa, specifica il provider di credenziali del container. Per ulteriori informazioni sulle posizioni predefinite utilizzate, consultate la catena di fornitori di credenziali nella AWS SDKs and Tools Reference Guide.

  5. SDKUtilizza le variabili di ambiente per connettersi al EKS Pod Identity Agent e recuperare le credenziali.

    Nota

    Se i tuoi carichi di lavoro attualmente utilizzano credenziali che si trovano all'inizio della catena di credenziali, tali credenziali continueranno a essere utilizzate anche se configuri un'associazione EKS Pod Identity per lo stesso carico di lavoro.