Configurar o Amazon EKS Pod Identity Agent - Amazon EKS
ConsideraçõesCriar o complemento do Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Configurar o Amazon EKS Pod Identity Agent

As associações do Amazon EKS Pod Identity permitem gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do Amazon EC2 fornecem credenciais para instâncias do Amazon EC2.

O Amazon EKS Pod Identity fornece credenciais para suas workloads com uma API EKS Auth adicional e um pod de agente executado em cada nó.

Considerações

  • IPv6

    Por padrão, o EKS Pod Identity Agent escuta em um endereço IPv4 e IPv6 para os pods para solicitar credenciais. O agente usa o endereço IP de loopback (localhost) 169.254.170.23 para IPv4 e o endereço IP de localhost [fd00:ec2::23] para IPv6.

    Se você desabilitar endereços IPv6 ou de alguma forma impedir endereços IP IPv6 do localhost, o agente não poderá iniciar. Para iniciar o agente em nós que não podem usar IPv6, siga as etapas em Desabilitar o IPv6 no EKS Pod Identity Agent para desabilitar a configuração de IPv6.

Criar o Amazon EKS Pod Identity Agent

Pré-requisitos do agente

  • Um cluster existente do Amazon EKS. Para implantar, consulte Começar a usar o Amazon EKS. A versão do cluster e a versão da plataforma devem ser iguais ou posteriores às versões listadas em Versões de cluster do EKS Pod Identity.

  • O perfil de nó tem permissões para o agente realizar a ação AssumeRoleForPodIdentity na API de autenticação do EKS. É possível usar Política gerenciada da AWS: AmazonEKSWorkerNodePolicy ou adicionar uma política personalizada semelhante a esta:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Esta ação pode ser limitada por tags para restringir quais funções podem ser assumidas pelos pods que usam o agente.

  • Os nós podem acessar e baixar imagens do Amazon ECR. A imagem do contêiner do complemento está nos registros listados em Visualizar registros de imagens de contêineres da Amazon para complementos do Amazon EKS.

    Observe que é possível alterar a localização da imagem e fornecer imagePullSecrets para complementos do EKS nas Configurações opcionais no AWS Management Console, em --configuration-values e na AWS CLI.

  • Os nós podem acessar a API de autenticação do Amazon EKS. Para clusters privados, o endpoint eks-auth em AWS PrivateLink é obrigatório.

AWS Management Console

  1. Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.

  2. No painel de navegação esquerdo, selecione Clusters e depois o nome do cluster para o qual você deseja configurar o complemento do EKS Pod Identity Agent.

  3. Escolha a guia Add-ons (Complementos).

  4. Escolha Obter mais complementos.

  5. Selecione a caixa no canto superior direito da caixa do complemento do EKS Pod Identity Agent e escolha Editar.

  6. Na página Configurar complementos selecionados, selecione qualquer versão na lista suspensa Versão.

  7. (Opcional) Expanda Configurações opcionais para inserir configurações adicionais. Por exemplo, é possível indicar um local alternativo para a imagem do contêiner e ImagePullSecrets. O JSON Schema com chaves aceitas é mostrado no Esquema de configuração do complemento.

    Insira as chaves e os valores de configuração em Valores de configuração.

  8. Escolha Próximo.

  9. Confirme que os pods do EKS Pod Identity Agent estão em execução no cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Veja um exemplo de saída abaixo.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Agora é possível usar associações do EKS Pod Identity em seu cluster. Para ter mais informações, consulte Atribuir um perfil do IAM a uma conta de serviço do Kubernetes.

AWS CLI

  1. Execute o seguinte comando AWS CLI. Substitua o my-cluster pelo nome do cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    nota

    O EKS Pod Identity Agent não usa o service-account-role-arn para perfis do IAM para contas de serviço. Você deve fornecer ao EKS Pod Identity Agent as permissões no perfil de nó.

  2. Confirme que os pods do EKS Pod Identity Agent estão em execução no cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Veja um exemplo de saída abaixo.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Agora é possível usar associações do EKS Pod Identity em seu cluster. Para ter mais informações, consulte Atribuir um perfil do IAM a uma conta de serviço do Kubernetes.