Configurar o Amazon EKS Pod Identity Agent - Amazon EKS
ConsideraçõesCriar o Amazon EKS Pod Identity Agent

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Configurar o Amazon EKS Pod Identity Agent

As associações do Amazon EKS Pod Identity permitem gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do Amazon EC2 fornecem credenciais para instâncias do Amazon EC2.

O Amazon EKS Pod Identity fornece credenciais para suas workloads com uma API EKS Auth adicional e um pod de agente executado em cada nó.

dica

Você não precisa instalar o agente da Identidade de Pods nos clusters do Modo Automático do EKS. Essa capacidade é integrada ao Modo Automático do EKS.

Considerações

  • Por padrão, o EKS Pod Identity Agent escuta em um endereço IPv4 e IPv6 para os pods para solicitar credenciais. O agente usa o endereço IP de loopback (localhost) 169.254.170.23 para IPv4 e o endereço IP de localhost [fd00:ec2::23] para IPv6.

  • Se você desabilitar endereços IPv6 ou de alguma forma impedir endereços IP IPv6 do localhost, o agente não poderá iniciar. Para iniciar o agente em nós que não podem usar IPv6, siga as etapas em Desabilitar o IPv6 no EKS Pod Identity Agent para desabilitar a configuração de IPv6.

Criar o Amazon EKS Pod Identity Agent

Pré-requisitos do agente

  • Um cluster existente do Amazon EKS. Para implantar, consulte Começar a usar o Amazon EKS. A versão do cluster e a versão da plataforma devem ser iguais ou posteriores às versões listadas em Versões de clusters da Identidade de Pods do EKS.

  • O perfil de nó tem permissões para o agente realizar a ação AssumeRoleForPodIdentity na API de autenticação do EKS. Você pode usar a política gerenciada da AWS: AmazonEKSWorkerNodePolicy ou adicionar uma política personalizada semelhante à seguinte:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Esta ação pode ser limitada por tags para restringir quais funções podem ser assumidas pelos pods que usam o agente.

  • Os nós podem acessar e baixar imagens do Amazon ECR. A imagem de contêiner do complemento está nos registros listados em Visualizar registros de imagem de contêiner da Amazon para complementos do Amazon EKS.

    Observe que você pode alterar o local da imagem e fornecer imagePullSecrets para complementos EKS nas definições de configuração opcionais em AWS Management Console e em --configuration-values na CLI de AWS.

  • Os nós podem acessar a API de autenticação do Amazon EKS. Para clusters privados, é necessário o endpoint eks-auth em AWS PrivateLink.

Configurar o agente com o console do AWS

  1. Abra o console do Amazon EKS.

  2. No painel de navegação esquerdo, selecione Clusters e depois o nome do cluster para o qual você deseja configurar o complemento do EKS Pod Identity Agent.

  3. Escolha a guia Add-ons (Complementos).

  4. Escolha Obter mais complementos.

  5. Selecione a caixa no canto superior direito da caixa do complemento do EKS Pod Identity Agent e escolha Editar.

  6. Na página Configurar complementos selecionados, selecione qualquer versão na lista suspensa Versão.

  7. (Opcional) Expanda Configurações opcionais para inserir configurações adicionais. Por exemplo, é possível indicar um local alternativo para a imagem do contêiner e ImagePullSecrets. O esquema JSON com chaves aceitas é mostrado no Esquema de configuração do complemento.

    Insira as chaves e os valores de configuração em Valores de configuração.

  8. Escolha Próximo.

  9. Confirme que os pods do EKS Pod Identity Agent estão em execução no cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Veja um exemplo de saída abaixo.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Agora é possível usar associações do EKS Pod Identity em seu cluster. Para ter mais informações, consulte Atribuir um perfil do IAM a uma conta de serviço do Kubernetes.

Configurar o agente com a AWS CLI

  1. Execute o seguinte comando da AWS CLI. Substitua o my-cluster pelo nome do cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    nota

    O EKS Pod Identity Agent não usa o service-account-role-arn para perfis do IAM para contas de serviço. Você deve fornecer ao EKS Pod Identity Agent as permissões no perfil de nó.

  2. Confirme que os pods do EKS Pod Identity Agent estão em execução no cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Veja um exemplo de saída abaixo.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Agora é possível usar associações do EKS Pod Identity em seu cluster. Para ter mais informações, consulte Atribuir um perfil do IAM a uma conta de serviço do Kubernetes.