Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Configurar o Amazon EKS Pod Identity Agent
As associações do Amazon EKS Pod Identity permitem gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do Amazon EC2 fornecem credenciais para instâncias do Amazon EC2.
O Amazon EKS Pod Identity fornece credenciais para suas workloads com uma API EKS Auth adicional e um pod de agente executado em cada nó.
Considerações
-
IPv6
Por padrão, o EKS Pod Identity Agent escuta em um endereço
IPv4
eIPv6
para os pods para solicitar credenciais. O agente usa o endereço IP de loopback (localhost)169.254.170.23
paraIPv4
e o endereço IP de localhost[fd00:ec2::23]
paraIPv6
.Se você desabilitar endereços
IPv6
ou de alguma forma impedir endereços IPIPv6
do localhost, o agente não poderá iniciar. Para iniciar o agente em nós que não podem usarIPv6
, siga as etapas em Desabilitar o IPv6 no EKS Pod Identity Agent para desabilitar a configuração deIPv6
.
Criar o Amazon EKS Pod Identity Agent
Pré-requisitos do agente
-
Um cluster existente do Amazon EKS. Para implantar, consulte Começar a usar o Amazon EKS. A versão do cluster e a versão da plataforma devem ser iguais ou posteriores às versões listadas em Versões de cluster do EKS Pod Identity.
-
O perfil de nó tem permissões para o agente realizar a ação
AssumeRoleForPodIdentity
na API de autenticação do EKS. É possível usar Política gerenciada da AWS: AmazonEKSWorkerNodePolicy ou adicionar uma política personalizada semelhante a esta:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }
Esta ação pode ser limitada por tags para restringir quais funções podem ser assumidas pelos pods que usam o agente.
-
Os nós podem acessar e baixar imagens do Amazon ECR. A imagem do contêiner do complemento está nos registros listados em Visualizar registros de imagens de contêineres da Amazon para complementos do Amazon EKS.
Observe que é possível alterar a localização da imagem e fornecer
imagePullSecrets
para complementos do EKS nas Configurações opcionais no AWS Management Console, em--configuration-values
e na AWS CLI. -
Os nós podem acessar a API de autenticação do Amazon EKS. Para clusters privados, o endpoint
eks-auth
em AWS PrivateLink é obrigatório.