**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# EKS 功能
**提示**
入門:[建立 ACK 功能](create-ack-capability.md) \$1 [建立 Argo CD 功能](create-argocd-capability.md) \$1 [建立 kro 功能](create-kro-capability.md)
Amazon EKS 功能是一組分層的全受管叢集功能,可協助加速開發人員速度,並卸載使用 Kubernetes 建置和擴展的複雜性。EKS 功能是 Kubernetes 原生功能,用於宣告式持續部署、 AWS 資源管理和 Kubernetes 資源撰寫和協同運作,全部由 完全管理 AWS。透過 EKS 功能,您可以更專注於建置和擴展工作負載,並將這些基礎平台服務的營運負擔卸載至 AWS。這些功能會在 EKS 而非叢集中執行,無需在工作者節點上安裝、維護和擴展關鍵平台元件。
若要開始使用,您可以在新的或現有的 EKS 叢集上建立一或多個 EKS 功能。若要這樣做,您可以使用 AWS CLI、 AWS 管理主控台、EKS APIs、eksctl 或您偏好的infrastructure-as-code工具。雖然 EKS 功能旨在共同運作,但它們是獨立的雲端資源,您可以根據使用案例和需求來挑選和選擇。
EKS 功能支援 EKS 支援的所有 Kubernetes 版本。
**注意**
EKS 功能可在提供 Amazon EKS 的所有 AWS 商業區域中使用。如需支援區域的清單,請參閱《 AWS 一般參考》中的 [Amazon EKS 端點和配額](https://docs.aws.amazon.com/general/latest/gr/eks.html)。
## 可用的功能
### AWS Kubernetes (ACK) 的控制器
ACK 可讓您使用 Kubernetes APIs 管理 AWS 資源,讓您使用 Kubernetes 自訂 AWS 資源建立和管理 S3 儲存貯體、RDS 資料庫、IAM 角色和其他資源。ACK 會持續協調您所需的狀態與 中的實際狀態 AWS,修正一段時間內的任何偏離,以保持您的系統運作狀態,並依指定設定您的資源。您可以使用相同的工具和工作流程來管理 AWS 資源與 Kubernetes 工作負載,並支援 50 多種 AWS 服務,包括 S3、RDS、DynamoDB 和 Lambda。ACK 支援跨帳戶和跨區域資源管理,可啟用複雜的多帳戶、多叢集系統管理架構。ACK 支援唯讀資源和唯讀採用,有助於將其他基礎設施作為程式碼工具遷移到以 Kubernetes 為基礎的系統。
[進一步了解 ACK →](ack.md)
### Argo CD
Argo CD 使用 Git 儲存庫做為工作負載和系統狀態的真實來源,為您的應用程式實作 GitOps 型持續部署。Argo CD 會自動從 Git 儲存庫同步應用程式資源到您的叢集,偵測並修復偏離,以確保您部署的應用程式符合您所需的狀態。您可以從單一 Argo CD 執行個體跨多個叢集部署和管理應用程式,並在每次遞交變更時從 Git 儲存庫自動部署。同時使用 Argo CD 和 ACK 可提供基礎 GitOps 系統,簡化工作負載相依性管理,並支援整個系統設計,包括大規模的叢集和基礎設施管理。Argo CD 與 AWS Identity Center 整合以進行身分驗證和授權,並提供託管 Argo UI 以視覺化應用程式運作狀態和部署狀態。
[進一步了解 Argo CD →](argocd.md)
### kro (Kube Resource Orchestrator)
kro 可讓您建立自訂 Kubernetes APIs,將多個資源組成更高階的抽象,讓平台團隊為常見的資源組合雲端建置區塊定義可重複使用的模式。使用 kro, 您可以將 Kubernetes 和資源 AWS 組合成統一的抽象概念, 使用簡單的語法來啟用動態組態和條件式邏輯。 kro 可讓平台團隊以適當的護欄提供自助式功能。 可讓開發人員使用簡單的 佈建複雜的基礎設施 專用 APIs同時維護組織標準和最佳實務。kro 資源只是 Kubernetes 資源, 和 在可存放在 Git 的 Kubernetes 資訊清單中指定, 或 推送至 OCI 相容登錄檔,例如 Amazon ECR,以進行廣泛的組織分佈。
[進一步了解 kro →](kro.md)
## EKS 功能的優點
EKS 功能完全由 管理 AWS,無需安裝、維護和擴展基礎叢集服務。 AWS 處理安全修補、更新和操作管理,讓您的團隊專注於使用 建置 AWS ,而不是叢集操作。與使用叢集資源的傳統 Kubernetes 附加元件不同,功能在 EKS 中執行,而不是在工作者節點上執行。這可為您的工作負載釋放叢集容量和資源,同時將管理叢集內控制器和其他平台元件的操作負擔降至最低。
透過 EKS 功能,您可以使用原生 Kubernetes APIs 和 等工具來管理部署、 AWS 資源、自訂 Kubernetes 資源和組合`kubectl`。所有功能都會在您的叢集內容中運作,自動偵測和修正應用程式和雲端基礎設施資源中的組態偏離。您可以從單一控制點跨多個叢集、 AWS 帳戶和區域部署和管理資源,簡化複雜、分散式環境中的操作。
EKS 功能專為 GitOps 工作流程設計,提供宣告性、版本控制的基礎設施和應用程式管理。透過系統變更 Git 的流程,提供稽核線索、回復功能和與現有開發實務整合的協作工作流程。這種 Kubernetes 原生方法表示您不需要使用多個工具或管理叢集外部的infrastructure-as-code系統,而且有單一事實來源可供參考。您在版本控制 Kubernetes 宣告式組態中定義的所需狀態會在您的環境中持續強制執行。
## 定價
使用 EKS 功能,無需預付承諾或最低費用。您需要為 Amazon EKS 叢集上每個作用中小時的每個功能資源支付費用。由 EKS 功能管理的特定 Kubernetes 資源也會以每小時費率計費。
如需最新的定價資訊,請參閱 [Amazon EKS 定價頁面](https://aws.amazon.com/eks/pricing/)。
**提示**
您可以使用 AWS Cost Explorer 和成本和用量報告,與其他 EKS 費用分開追蹤功能成本。您可以使用叢集名稱、功能類型和其他詳細資訊來標記您的功能,以用於成本分配目的。
## EKS 功能的運作方式
每個功能都是您在 EKS 叢集上建立 AWS 的資源。建立後,此功能會在 EKS 中執行,並由 完全管理 AWS。
**注意**
您可以為指定叢集建立每種類型的一個功能資源 (Argo CD、ACK 和 kro)。您無法在相同叢集上建立相同類型的多個功能資源。
您可以使用標準 Kubernetes APIs 和工具與叢集中的功能互動:
+ 使用 `kubectl`套用 Kubernetes 自訂資源
+ 使用 Git 儲存庫做為 GitOps 工作流程的事實來源
有些功能支援其他工具。例如:
+ 使用 Argo CD CLI 來設定和管理 Argo CD 功能中的儲存庫和叢集
+ 使用 Argo CD UI 視覺化和管理由 Argo CD 功能管理的應用程式
功能旨在共同運作,但獨立且完全選擇加入。您可以根據您的需求啟用一個、兩個或全部三個功能,並隨著需求的變化更新組態。
所有 EKS 運算類型都支援與 EKS 功能搭配使用。如需詳細資訊,請參閱[使用節點管理運算資源](eks-compute.md)。
如需 IAM 角色的安全組態和詳細資訊,請參閱 [EKS 功能的安全考量](capabilities-security.md)。如需多叢集架構模式,請參閱 [EKS 功能考量事項](capabilities-considerations.md)。
## 常用案例
**適用於應用程式和基礎設施的 GitOps **
使用 Argo CD 部署應用程式和操作元件,以及從 Git 儲存庫管理叢集組態和佈建基礎設施的 ACK。您的整個堆疊 - 應用程式、資料庫、儲存和聯網 - 定義為程式碼並自動部署。
範例:開發團隊將變更推送至 Git。Argo CD 部署更新的應用程式,且 ACK 會佈建具有正確組態的新 RDS 資料庫。所有變更皆可稽核、可逆且跨環境保持一致。
**具有自助式服務的平台工程**
使用 kro 建立構成 ACK 和 Kubernetes 資源APIs。平台團隊使用護欄定義核准的模式。應用程式團隊使用簡單的高階 APIs 來佈建完整的堆疊。
範例:平台團隊會建立佈建部署、服務、輸入和 S3 儲存貯體的「WebApplication」 API。開發人員使用此 API,而不需要了解基礎複雜性或 AWS 許可。
**多叢集應用程式管理**
使用 Argo CD 在不同區域或帳戶中跨多個 EKS 叢集部署應用程式。使用一致的政策和工作流程,從單一 Argo CD 執行個體管理所有部署。
範例:將相同的應用程式部署到跨多個區域的開發、預備和生產叢集。Argo CD 可確保每個環境與其對應的 Git 分支保持同步。
**多叢集管理**
使用 ACK 定義和佈建 EKS 叢集、使用組織標準自訂叢集組態的 kro,以及管理叢集生命週期和組態的 Argo CD。這提供從建立到持續操作end-to-end叢集管理。
範例:使用 ACK 和 kro 定義 EKS 叢集來佈建和管理叢集基礎設施,定義聯網、安全政策、附加元件和其他組態的組織標準。使用 Argo CD,利用一致的標準和自動化生命週期管理,在整個機群中建立並持續管理叢集、組態和 Kubernetes 版本更新。
**遷移和現代化**
使用原生雲端資源佈建和 GitOps 工作流程簡化遷移至 EKS。使用 ACK 來採用現有 AWS 資源,而不重新建立這些資源,並使用 Argo CD 從 Git 操作工作負載部署。
範例:從 EC2 遷移至 EKS 的團隊會使用 ACK 採用其現有的 RDS 資料庫和 S3 儲存貯體,然後使用 Argo CD 從 Git 部署容器化應用程式。遷移路徑很清楚,操作從第一天開始就會標準化。
**帳戶和區域引導**
使用 Argo CD 和 ACK 自動化跨帳戶和區域的基礎設施推展。在 Git 中將基礎設施定義為程式碼,並讓 功能處理部署和管理。
範例:平台團隊會維護 Git 儲存庫,定義標準帳戶組態:VPCs、IAM 角色、RDS 執行個體和監控堆疊。Argo CD 會自動將這些組態部署到新帳戶和區域,確保一致性並將手動設定時間從幾天縮短到幾分鐘。
# 使用 功能資源
本主題說明管理所有功能類型的功能資源的常見操作。
## EKS 功能資源
EKS 功能是可在 Amazon EKS 叢集上啟用受管功能 AWS 的資源。功能在 EKS 中執行,無需在工作者節點上安裝和維護控制器和其他操作元件。系統會針對特定 EKS 叢集建立功能,並在叢集的整個生命週期內與該叢集保持關聯。
每個功能資源都有:
+ 叢集內的唯一名稱
+ 功能類型 (ACK、ARGOCD 或 KRO)
+ Amazon Resource Name (ARN),同時指定名稱和類型
+ 功能 IAM 角色
+ 指出其目前狀態的狀態
+ 組態,包括通用和特定於功能類型
## 了解功能狀態
功能資源的狀態會指出其目前狀態。您可以在 EKS 主控台或使用 AWS CLI 檢視功能狀態和運作狀態。
**主控台**:
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱。
1. 選擇**功能**索引標籤以檢視所有功能的狀態。
1. 如需詳細運作狀態資訊,請選擇**可觀測性**索引標籤,然後選擇**監控叢集**,然後選擇**功能**索引標籤。
** AWS CLI**:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-capability-name
```
### 功能狀態
**CREATING**:正在設定功能。您可以離開 主控台,此功能將繼續在背景中建立。
**ACTIVE**:功能正在執行並準備好使用。如果資源未如預期般運作,請檢查資源狀態和 IAM 許可。如需指引,請參閱[對 EKS 功能進行故障診斷](capabilities-troubleshooting.md)。
**正在更新**:正在套用組態變更。等待狀態傳回 `ACTIVE`。
**刪除**:正在從叢集中移除功能。
**CREATE\$1FAILED**:設定發生錯誤。常見原因包括:
+ IAM 角色信任政策不正確或遺失
+ IAM 角色不存在或無法存取
+ 叢集存取問題
+ 無效的組態參數
如需特定錯誤詳細資訊,請參閱功能運作狀態區段。
**UPDATE\$1FAILED**:組態更新失敗。檢查功能運作狀態區段以取得詳細資訊,並確認 IAM 許可。
**提示**
如需詳細的故障診斷指引,請參閱:
[對 EKS 功能進行故障診斷](capabilities-troubleshooting.md) - 一般功能疑難排解
[對 ACK 功能的問題進行故障診斷](ack-troubleshooting.md) - ACK 特定問題
[對 Argo CD 功能的問題進行故障診斷](argocd-troubleshooting.md) - Argo CD 特定問題
[對 kro 功能的問題進行故障診斷](kro-troubleshooting.md) - kro 特定問題
## 建立 功能
若要在您的叢集上建立功能,請參閱下列主題:
+ [建立 ACK 功能](create-ack-capability.md) – 建立 ACK 功能,以使用 Kubernetes APIs 管理 AWS 資源
+ [建立 Argo CD 功能](create-argocd-capability.md) – 為 GitOps 持續交付建立 Argo CD 功能
+ [建立 kro 功能](create-kro-capability.md) – 建立資源合成和協同運作的 kro 功能
## 列出功能
您可以列出叢集上的所有功能資源。
### 主控台
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 在**受**管功能下檢視功能資源。
### AWS CLI
使用 `list-capabilities`命令來檢視叢集上的所有功能。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks list-capabilities \
--region region-code \
--cluster-name my-cluster
```
```
{
"capabilities": [
{
"capabilityName": "my-ack",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack/abc123",
"type": "ACK",
"status": "ACTIVE",
"createdAt": "2025-11-02T10:30:00.000000-07:00",
"modifiedAt": "2025-11-02T10:32:15.000000-07:00",
},
{
"capabilityName": "my-kro",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/kro/my-kro/abc123",
"type": "KRO",
"status": "ACTIVE",
"version": "v0.6.3",
"createdAt": "2025-11-02T10:30:00.000000-07:00",
"modifiedAt": "2025-11-02T10:32:15.000000-07:00",
},
{
"capabilityName": "my-argocd",
"arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/argocd/my-argocd/abc123",
"type": "ARGOCD",
"status": "ACTIVE",
"version": "3.1.8-eks-1",
"createdAt": "2025-11-21T08:22:28.486000-05:00",
"modifiedAt": "2025-11-21T08:22:28.486000-05:00"
}
]
}
```
## 描述功能
取得特定功能的詳細資訊,包括其組態和狀態。
### 主控台
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 選擇您要從**受管功能檢視的功能**。
1. 檢視功能詳細資訊,包括狀態、組態和建立時間。
### AWS CLI
使用 `describe-capability`命令來檢視詳細資訊。將 *region-code* 取代為您的叢集所在的 AWS 區域,將 *my-cluster* 取代為您的叢集名稱,並將 *capability-name* 取代為功能名稱 (ack、argocd 或 kro)。
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name
```
**輸出範例:**
```
{
"capability": {
"capabilityName": "my-ack",
"capabilityArn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack/abc123",
"clusterName": "my-cluster",
"type": "ACK",
"roleArn": "arn:aws:iam::111122223333:role/AmazonEKSCapabilityACKRole",
"status": "ACTIVE",
"configuration": {},
"tags": {},
"health": {
"issues": []
},
"createdAt": "2025-11-19T17:11:30.242000-05:00",
"modifiedAt": "2025-11-19T17:11:30.242000-05:00",
"deletePropagationPolicy": "RETAIN"
}
}
```
## 更新 功能的組態
您可以在建立後更新功能組態的某些層面。特定組態選項會因功能類型而有所不同。
**注意**
EKS 功能資源受到完整管理,包括修補和版本更新。更新功能會更新資源組態,而且不會導致受管功能元件的版本更新。
### AWS CLI
使用 `update-capability`命令來修改功能:
```
aws eks update-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name \
--role-arn arn:aws:iam::[.replaceable]111122223333:role/NewCapabilityRole
```
**注意**
並非所有功能屬性都可以在建立後更新。如需可修改內容的詳細資訊,請參閱功能特定的文件。
## 刪除功能
當您不再需要叢集上的功能時,您可以刪除功能資源。
**重要**
**在刪除功能之前刪除叢集資源。**
刪除功能資源不會自動刪除透過該功能建立的資源:
所有 Kubernetes 自訂資源定義 (CRDs仍安裝在您的叢集中。
ACK 資源會保留在您的叢集中,而對應的 AWS 資源會保留在您的帳戶中
Argo CD 應用程式及其 Kubernetes 資源會保留在您的叢集中
kro ResourceGraphDefinitions 和執行個體會保留在您的叢集中
您應該在刪除功能之前刪除這些資源,以避免孤立的資源。
您可以選擇保留與 ACK Kubernetes AWS 資源相關聯的資源。請參閱 [ACK 考量事項](ack-considerations.md)
### 主控台
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 從**受管功能清單中選擇要刪除的功能**。
1. 選擇**刪除功能**。
1. 在確認對話方塊中,輸入確認刪除的功能名稱。
1. 選擇 **刪除**。
### AWS CLI
使用 `delete-capability`命令刪除功能資源:
將 *region-code* 取代為您的叢集所在的 AWS 區域,將 *my-cluster* 取代為您的叢集名稱,並將 *capability-name* 取代為要刪除的功能名稱。
```
aws eks delete-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name capability-name
```
## 後續步驟
+ [功能 Kubernetes 資源](capability-kubernetes-resources.md) – 了解每個功能類型提供的 Kubernetes 資源
+ [ACK 概念](ack-concepts.md) – 了解 ACK 概念和資源生命週期
+ [使用 Argo CD](working-with-argocd.md) – 使用適用於 GitOps 工作流程的 Argo CD 功能
+ [kro 概念](kro-concepts.md) – 了解 kro 概念和資源合成
# 功能 Kubernetes 資源
在叢集上啟用功能後,您通常會透過在叢集中建立和管理 Kubernetes 自訂資源來與其互動。每個功能都提供自己的一組自訂資源定義 (CRDs),以功能特定的功能擴展 Kubernetes API。
## Argo CD 資源
當您啟用 Argo CD 功能時,您可以建立和管理下列 Kubernetes 資源:
**Application (應用程式)**
定義從 Git 儲存庫到目標叢集的部署。 `Application` 資源會指定來源儲存庫、目標命名空間和同步政策。每個 Argo CD 功能執行個體最多可以建立 1000 個`Application`資源。
**ApplicationSet**
從 範本產生多個`Application`資源,啟用多叢集和多環境部署。 `ApplicationSet` 資源會使用產生器,根據叢集清單、Git 目錄或其他來源動態建立`Application`資源。
**AppProject**
提供 `Application` 資源的邏輯分組和存取控制。 `AppProject` 資源會定義`Application`資源可以使用哪些儲存庫、叢集和命名空間,進而啟用多租戶和安全性界限。
資源範例`Application`:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: my-app
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/org/repo
targetRevision: main
path: manifests
destination:
server: https://kubernetes.default.svc
namespace: production
```
如需 Argo CD 資源和概念的詳細資訊,請參閱 [Argo CD 概念](argocd-concepts.md)。
## kro 資源
啟用 kro 功能時,您可以建立和管理下列 Kubernetes 資源:
**ResourceGraphDefinition (RGD)**
定義將多個 Kubernetes AWS 和資源組成為更高層級抽象的自訂 API。平台團隊會建立 `ResourceGraphDefinition` 資源,以提供具有護欄的可重複使用模式。
**自訂資源執行個體**
建立`ResourceGraphDefinition`資源後,您可以建立由 定義的自訂 API 執行個體`ResourceGraphDefinition`。 kro 會自動建立和管理 中指定的資源`ResourceGraphDefinition`。
資源範例`ResourceGraphDefinition`:
```
apiVersion: kro.run/v1alpha1
kind: ResourceGraphDefinition
metadata:
name: web-application
spec:
schema:
apiVersion: v1alpha1
kind: WebApplication
spec:
name: string
replicas: integer
resources:
- id: deployment
template:
apiVersion: apps/v1
kind: Deployment
# ... deployment spec
- id: service
template:
apiVersion: v1
kind: Service
# ... service spec
```
範例`WebApplication`執行個體:
```
apiVersion: v1alpha1
kind: WebApplication
metadata:
name: my-web-app
namespace: default
spec:
name: my-web-app
replicas: 3
```
當您套用此執行個體時,kro 會自動建立 中`Service`定義的 `Deployment`和資源`ResourceGraphDefinition`。
如需 kro 資源和概念的詳細資訊,請參閱 [kro 概念](kro-concepts.md)。
## ACK 資源
啟用 ACK 功能時,您可以使用 Kubernetes 自訂 AWS 資源來建立和管理資源。ACK 為超過 50 種 AWS 服務提供超過 200 CRDs,可讓您在 Kubernetes 工作負載旁定義 AWS 資源,並使用 Kubernetes 管理專用 AWS 基礎設施資源。
ACK 資源的範例:
**S3 儲存貯體**
`Bucket` 資源會使用版本控制、加密和生命週期政策來建立和管理 Amazon S3 儲存貯體。
**RDS DBInstance**
`DBInstance` 資源使用自動備份和維護時段佈建和管理 Amazon RDS 資料庫執行個體。
**DynamoDB 資料表**
`Table` 資源會使用佈建或隨需容量建立和管理 DynamoDB 資料表。
**IAM 角色**
`Role` 資源使用信任政策和 AWS 服務存取的許可政策來定義 IAM 角色。
**Lambda 函數**
`Function` 資源會使用程式碼、執行時間和執行角色組態來建立和管理 Lambda 函數。
`Bucket` 資源的範例規格:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-app-bucket
spec:
name: my-unique-bucket-name-12345
versioning:
status: Enabled
encryption:
rules:
- applyServerSideEncryptionByDefault:
sseAlgorithm: AES256
```
如需 ACK 資源和概念的詳細資訊,請參閱 [ACK 概念](ack-concepts.md)。
## 資源限制
EKS 功能具有下列資源限制:
**Argo CD 用量限制**:
+ 每個 Argo CD 功能執行個體最多 1000 個`Application`資源
+ 每個 Argo CD 功能執行個體最多設定 100 個遠端叢集
**資源組態限制**:
+ Argo CD 中每個資源最多 150 個 Kubernetes `Application` 資源
+ kro `ResourceGraphDefinition`中每個資源最多 64 個 Kubernetes 資源
**注意**
這些限制適用於每個功能執行個體管理的資源數量。如果您需要更高的限制,您可以在多個叢集之間部署功能。
## 後續步驟
如需功能特定的任務和進階組態,請參閱下列主題:
+ [ACK 概念](ack-concepts.md) – 了解 ACK 概念和資源生命週期
+ [使用 Argo CD](working-with-argocd.md) – 使用適用於 GitOps 工作流程的 Argo CD 功能
+ [kro 概念](kro-concepts.md) – 了解 kro 概念和資源合成
# EKS 功能考量事項
本主題涵蓋使用 EKS 功能的重要考量,包括存取控制設計、EKS 功能與自我管理解決方案之間的選擇、多叢集部署的架構模式,以及操作最佳實務。
## 功能 IAM 角色和 Kubernetes RBAC
每個 EKS 功能資源都有一個已設定的功能 IAM 角色。功能角色用於授予 AWS 服務許可,讓 EKS 功能代表您採取行動。例如,若要使用 ACK 的 EKS 功能來管理 Amazon S3 儲存貯體,您將授予 功能的 S3 儲存貯體管理許可,使其能夠建立和管理儲存貯體。
設定功能後,即可使用叢集中的 Kubernetes 自訂資源建立和管理 AWS 中的 S3 資源。Kubernetes RBAC 是叢集內存取控制機制,用於判斷哪些使用者和群組可以建立和管理這些自訂資源。例如,授予特定 Kubernetes RBAC 使用者和群組在您選擇的命名空間中建立和管理`Bucket`資源的許可。
如此一來,IAM 和 Kubernetes RBAC 是end-to-end存取控制系統的一半,可管理與 EKS 功能和資源相關的許可。請務必為您的使用案例設計正確的 IAM 許可和 RBAC 存取政策組合。
如需功能 IAM 角色和 Kubernetes 許可的詳細資訊,請參閱 [EKS 功能的安全考量](capabilities-security.md)。
## 多叢集架構模式
在多個叢集之間部署功能時,請考慮這些常見的架構模式:
**使用集中式管理進行對話**
在集中受管叢集中執行這三種功能,以協調工作負載和管理跨多個工作負載叢集的雲端基礎設施。
+ 管理叢集上的 Argo CD 會將應用程式部署到不同區域或帳戶中的工作負載叢集
+ 管理叢集上的 ACK 會為所有叢集佈建 AWS 資源 (RDS、S3、IAM)
+ 管理叢集上的 kro 會建立適用於所有叢集的可攜式平台抽象
此模式會集中工作負載和雲端基礎設施管理,並可簡化管理許多叢集的組織操作。
**分散式 GitOps**
工作負載和雲端基礎設施由執行工作負載的相同叢集上的功能管理。
+ Argo CD 會管理本機叢集上的應用程式資源。
+ ACK 資源用於叢集和工作負載需求。
+ 安裝 kro 平台抽象並協調本機資源。
此模式會分散操作,讓團隊在一或多個叢集中管理自己的專用平台服務。
**使用混合 ACK 部署的中樞和發言**
結合集中式和分散式模型,以及根據範圍和擁有權的集中式應用程式部署和資源管理。
+ Hub 叢集:
+ Argo CD 會管理本機叢集和所有遠端工作負載叢集的 GitOps 部署
+ ACK 用於管理範圍資源的管理叢集 (生產資料庫、IAM 角色、VPCs)
+ kro 用於管理叢集上,用於可重複使用的平台抽象化
+ 呼叫叢集:
+ 工作負載是透過集中式中樞叢集上的 Argo CD 進行管理
+ ACK 在本機用於工作負載範圍的資源 (S3 儲存貯體、ElastiCache 執行個體、SQS 佇列)
+ kro 在本機用於資源組成和建置區塊模式
此模式可區分考量,平台團隊會集中管理管理叢集上的關鍵基礎設施,選擇性地包括工作負載叢集,而應用程式團隊則會指定和管理雲端資源與工作負載。
**選擇模式**
選取架構時,請考量下列因素:
+ **組織結構**:集中化平台團隊偏好中樞模式;分散式團隊可能偏好每個叢集的功能
+ **資源範圍**:管理員範圍的資源 (資料庫、IAM) 通常受益於集中管理;工作負載資源 (儲存貯體、佇列) 可在本機管理
+ **自助式服務**:集中式平台團隊可以撰寫和分發規範性自訂資源,以針對常見的工作負載需求啟用雲端資源的安全自助式服務
+ **叢集機群管理**:集中式管理叢集為 EKS 叢集機群管理提供客戶擁有的控制平面,以及其他管理員範圍的資源
+ **合規要求**:某些組織需要集中控制以進行稽核和控管
+ **操作複雜性**:功能執行個體較少可簡化操作,但可能會產生瓶頸
**注意**
您可以從一個模式開始,並在您的平台成熟時發展為另一個模式。功能是獨立的,您可以根據您的需求,在叢集之間以不同的方式部署這些功能。
## 比較 EKS 功能與自我管理解決方案
EKS 功能為在 EKS 中執行的熱門 Kubernetes 工具和控制器提供全受管體驗。這與您在叢集中安裝和操作的自我管理解決方案不同。
### 主要差異
**部署和管理**
AWS 完全管理 EKS 功能,無需安裝、設定或維護元件軟體。 會自動在叢集中 AWS 安裝和管理所有必要的 Kubernetes 自訂資源定義 (CRDs)。
透過自我管理解決方案,您可以使用 Helm Chart、kubectl 或其他運算子來安裝和設定叢集軟體。您可以完全控制自我管理解決方案的軟體生命週期和執行期組態,在解決方案的任何層提供自訂。
**操作和維護**
AWS 透過自動更新和安全性修補程式,管理 EKS 功能的修補和其他軟體生命週期操作。EKS 功能與簡化組態 AWS 的功能整合,提供內建的高可用性和容錯能力,並消除控制器工作負載的叢集內故障診斷。
自我管理解決方案需要您監控元件運作狀態和日誌、套用安全修補程式和版本更新、使用多個複本和 Pod 中斷預算設定高可用性、疑難排解和修復控制器工作負載問題,以及管理版本和版本。您可以完全控制部署,但這通常需要針對私有叢集存取和其他整合的自訂解決方案,這些解決方案必須符合組織標準和安全合規要求。
**資源耗用**
EKS 功能會在 EKS 和叢集之外執行,釋放節點資源和叢集資源。功能不會使用叢集工作負載資源、不會在工作者節點上使用 CPU 或記憶體、自動擴展,以及對叢集容量規劃的影響降到最低。
自我管理的解決方案會在工作者節點上執行控制器和其他元件,並直接使用工作者節點資源、叢集 IPs 和其他叢集資源。管理叢集服務需要工作負載的容量規劃,而且需要資源請求和限制的規劃和組態,才能管理擴展和高可用性需求。
**功能支援**
EKS 功能是全受管服務功能,與自我管理解決方案相比,依其本質進行評價。雖然 功能將支援大多數功能和使用案例,但與自我管理解決方案相比,涵蓋範圍會有所不同。
透過自我管理解決方案,您可以完全控制軟體的組態、選用功能和其他功能層面。您可以選擇執行自己的自訂映像、自訂組態的所有層面,以及完全控制自我管理的解決方案功能。
**成本考量**
每個 EKS 功能資源都有相關的每小時成本,因功能類型而異。由 功能管理的叢集資源也具有相關聯的每小時成本和自己的定價。如需詳細資訊,請參閱 [Amazon EKS 定價](https://aws.amazon.com/eks/pricing/)。
自我管理解決方案沒有與 AWS 費用相關的直接成本,但您需要支付控制器和相關工作負載使用的叢集運算資源。除了節點和叢集資源耗用之外,使用自我管理解決方案的總體擁有成本包括營運開銷,以及維護、故障診斷和支援的費用。
### 在 EKS 功能和自我管理解決方案之間進行選擇
**EKS 功能** 當您想要減少營運開銷並專注於軟體和系統中的差異化價值,而不是叢集平台操作的基本需求時,請考慮此選項。當您想要將安全修補程式和軟體生命週期管理的操作負擔降至最低、釋放應用程式工作負載的節點和叢集資源、簡化組態和安全管理,以及從 AWS 支援涵蓋範圍中獲益時,請使用 EKS 功能。EKS 功能適用於大多數生產使用案例,是新部署的建議方法。
**自我管理解決方案** 當您需要特定的 Kubernetes 資源 API 版本、自訂控制器建置、根據自我管理部署建置現有的自動化和工具,或需要控制器執行期組態的深度自訂時,請考慮此選項。自我管理解決方案可為特殊使用案例提供彈性,而且您可以完全控制部署和執行期組態。
**注意**
EKS 功能可以與自我管理解決方案共存於叢集中,並且可以實現逐步遷移。
### 功能特定比較
如需功能特定功能、上游差異和遷移路徑等詳細比較,請參閱:
+ [比較 ACK 與自我管理 ACK 的 EKS 功能](ack-comparison.md)
+ [比較 Argo CD 與自我管理 Argo CD 的 EKS 功能](argocd-comparison.md)
+ [比較 kro 與自我管理 kro 的 EKS 功能](kro-comparison.md)
# 使用 AWS Controllers for Kubernetes (ACK) 從 Kubernetes 部署 AWS 資源
AWS Kubernetes (ACK) 的控制器可讓您直接從 Kubernetes 定義和管理 AWS 服務資源。使用 AWS Controllers for Kubernetes (ACK),您可以使用 Kubernetes 自訂資源來管理工作負載資源和雲端基礎設施,以及使用熟悉的 Kubernetes APIs 和工具的應用程式工作負載。
透過 EKS 功能,ACK 完全由 管理 AWS,無需在叢集上安裝、維護和擴展 ACK 控制器。
## ACK 的運作方式
ACK 會將 Kubernetes 自訂資源規格轉換為 AWS API 呼叫。當您建立、更新或刪除代表 AWS 服務資源的 Kubernetes 自訂資源時,ACK 會進行必要的 AWS API 呼叫來建立、更新或刪除 AWS 資源。
ACK 支援的每個 AWS 資源都有自己的自訂資源定義 (CRD),可定義用於指定其組態的 Kubernetes API 結構描述。例如,ACK 為 S3 提供 CRDs,包括儲存貯體、儲存貯體政策和其他 S3 資源。
ACK 會持續將 AWS 資源的狀態與 Kubernetes 自訂資源中定義的所需狀態進行協調。如果資源偏離其所需狀態,ACK 會偵測到此情況並採取修正動作,使其重新對齊。Kubernetes 資源的變更會立即反映在 AWS 資源狀態中,而上游 AWS 資源變更的被動偏離偵測和修復可能需要長達 10 小時 (重新同步期間),但通常會更快發生。
**範例 S3 儲存貯體資源資訊清單**
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-ack-bucket
spec:
name: my-unique-bucket-name
```
當您將此自訂資源套用至叢集時,如果帳戶尚未存在,ACK 會在帳戶中建立 Amazon S3 儲存貯體。此資源的後續變更,例如指定非預設儲存層或新增政策,將會套用至其中的 S3 資源 AWS。從叢集刪除此資源時,預設 AWS 會刪除 中的 S3 儲存貯體。
## ACK 的優點
ACK 提供 Kubernetes 原生 AWS 資源管理,可讓您使用與應用程式相同的 Kubernetes APIs 和工具來管理 AWS 資源。這種統一的方法可簡化您的基礎設施管理工作流程,無需在不同工具之間切換或學習單獨的infrastructure-as-code系統。您可以在 Kubernetes 資訊清單中宣告地定義 AWS 資源,讓 GitOps 工作流程和基礎設施成為與現有開發程序無縫整合的程式碼實務。
ACK 會持續協調 AWS 資源的所需狀態及其實際狀態,修正偏離並確保基礎設施的一致性。此持續對帳表示對 AWS 資源進行必要的out-of-band變更會自動還原,以符合您宣告的組態,以維護基礎設施的完整性做為程式碼。您可以設定 ACK 以跨多個 AWS 帳戶和區域管理資源,啟用複雜的多帳戶架構,無需額外的工具。
對於從其他基礎設施管理工具遷移的組織,ACK 支援資源採用,可讓您在 ACK 管理下使用現有 AWS 資源,而無需重新建立。ACK 也提供唯讀資源,無需修改存取即可進行 AWS 資源觀察,以及即使從叢集刪除 Kubernetes 資源,也可以選擇保留 AWS 資源的註釋。
若要進一步了解並開始使用適用於 ACK 的 EKS 功能,請參閱 [ACK 概念](ack-concepts.md)和 [EKS 的 ACK 考量事項](ack-considerations.md)。
## 支援 AWS 的服務
ACK 支援廣泛的 AWS 服務,包括但不限於:
+ Amazon EC2
+ Amazon S3
+ Amazon RDS
+ Amazon DynamoDB
+ Amazon ElastiCache
+ Amazon EKS
+ Amazon SQS
+ Amazon SNS
+ AWS Lambda
+ AWS IAM
ACK 的 EKS 功能支援所有列為一般可用的上游 AWS 服務。如需詳細資訊,請參閱[支援 AWS 的服務完整清單](https://aws-controllers-k8s.github.io/community/docs/community/services/)。
## 與其他 EKS 受管功能的整合
ACK 與其他 EKS 受管功能整合。
+ **Argo CD**:使用 Argo CD 管理跨多個叢集的 ACK 資源部署,為您的 AWS 基礎設施啟用 GitOps 工作流程。
+ ACK 與 ArgoCD 搭配使用時可延伸 GitOps 的優點,但 ACK 不需要與 git 整合。
+ **kro (Kube Resource Orchestrator)**:使用 kro 從 ACK 資源編寫複雜的資源,建立更高階的抽象,簡化資源管理。
+ 您可以使用同時定義 Kubernetes 資源和資源的 kro 建立複合自訂 AWS 資源。團隊成員可以使用這些自訂資源快速部署複雜的應用程式。
## ACK 入門
若要開始使用 ACK 的 EKS 功能:
1. 建立並設定具有必要許可的 IAM 功能角色,讓 ACK 代表您管理 AWS 資源。
1. 透過 AWS 主控台、 AWS CLI 或您偏好的基礎設施做為程式碼工具,在您的 EKS 叢集上[建立 ACK 功能資源](create-ack-capability.md)。
1. 將 Kubernetes 自訂資源套用至您的叢集,以開始在 Kubernetes 中管理您的 AWS 資源。
# 建立 ACK 功能
本章說明如何在 Amazon EKS 叢集上建立 ACK 功能。
## 先決條件
建立 ACK 功能之前,請確定您有:
+ Amazon EKS 叢集
+ IAM 功能角色,具有 ACK 管理 AWS 資源的許可
+ 足夠的 IAM 許可,可在 EKS 叢集上建立功能資源
+ 安裝和設定適當的 CLI 工具,或存取 EKS 主控台
如需建立 IAM 功能角色的說明,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)。
**重要**
ACK 是一種基礎設施管理功能,可授予建立、修改和刪除 AWS 資源的能力。這是應謹慎控制的管理員範圍功能。有權在叢集中建立 Kubernetes 資源的任何人都可以有效透過 ACK 建立 AWS 資源,但需受 IAM 功能角色許可的約束。您提供的 IAM 功能角色會決定 ACK 可以建立和管理哪些 AWS 資源。如需建立具有最低權限許可之適當角色的指引,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)和 [EKS 功能的安全考量](capabilities-security.md)。
## 選擇您的工具
您可以使用、 AWS 管理主控台 AWS CLI 或 eksctl 建立 ACK 功能:
+ [使用主控台建立 ACK 功能](ack-create-console.md) - 使用 主控台進行引導式體驗
+ [使用 CLI 建立 ACK AWS 功能](ack-create-cli.md) - 使用 AWS CLI 進行指令碼編寫和自動化
+ [使用 eksctl 建立 ACK 功能](ack-create-eksctl.md) - 使用 eksctl 進行 Kubernetes 原生體驗
## 建立 ACK 功能時會發生什麼情況
當您建立 ACK 功能時:
1. EKS 會建立 ACK 功能服務,並將其設定為監控和管理叢集中的資源
1. 您的叢集中已安裝自訂資源定義 (CRDs)
1. 會自動為您的 IAM 功能角色建立存取項目,其中包含授予基準 Kubernetes 許可的特定功能存取項目政策 (請參閱 [EKS 功能的安全考量](capabilities-security.md))
1. 該功能假設您提供的 IAM 功能角色
1. ACK 開始在您的叢集中監看其自訂資源
1. 功能狀態從 變更為 `CREATING` `ACTIVE`
啟用後,您可以在叢集中建立 ACK 自訂資源來管理 AWS 資源。
**注意**
自動建立的存取項目包含授予 ACK 管理 AWS 資源許可`AmazonEKSACKPolicy`的 。有些參考 Kubernetes 秘密的 ACK 資源 (例如具有密碼的 RDS 資料庫) 需要額外的存取項目政策。若要進一步了解存取項目以及如何設定其他許可,請參閱 [EKS 功能的安全考量](capabilities-security.md)。
## 後續步驟
建立 ACK 功能之後:
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用 AWS 資源
+ [ACK 概念](ack-concepts.md) - 了解對帳、欄位匯出和資源採用模式
+ [設定 ACK 許可](ack-permissions.md) - 設定 IAM 許可和多帳戶模式
# 使用主控台建立 ACK 功能
本主題說明如何使用 建立 Kubernetes 專用 AWS 控制器 (ACK) 功能 AWS 管理主控台。
## 建立 ACK 功能
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 在左側導覽中,選擇 **Kubernetes (ACK) 的 AWS 控制器**。
1. 選擇**建立 Kubernetes 功能的 AWS 控制器**。
1. 對於 **IAM 功能角色**:
+ 如果您已經有 IAM 功能角色,請從下拉式清單中選取它
+ 如果您需要建立角色,請選擇**建立管理員角色**
這會在新標籤中開啟 IAM 主控台,其中包含預先填入的信任政策和 `AdministratorAccess`受管政策。您可以取消選取此政策,並視需要新增其他許可。
建立角色後,返回 EKS 主控台並自動選取角色。
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。針對生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
1. 選擇**建立**。
功能建立程序開始。
## 驗證功能是否處於作用中狀態
1. 在**功能**索引標籤上,檢視 ACK 功能狀態。
1. 等待狀態從 變更為 `CREATING` `ACTIVE`。
1. 啟用後,此功能即可使用。
如需功能狀態和故障診斷的資訊,請參閱 [使用 功能資源](working-with-capabilities.md)。
## 確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中可用的 ACK 自訂資源。
**使用主控台**
1. 在 Amazon EKS 主控台中導覽至您的叢集
1. 選擇**資源**索引標籤
1. 選擇**延伸模組**
1. 選擇 **CustomResourceDefinitions**
您應該會看到一些針對 AWS 資源列出的 CRDs。
**使用 kubectl**
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源
# 使用 CLI 建立 ACK AWS 功能
本主題說明如何使用 CLI 建立 AWS Controllers for Kubernetes (ACK) AWS 功能。
## 先決條件
+ ** AWS CLI** – 版本 `2.12.3` 或更新版本。若要檢查您的版本,請執行 `aws --version`。如需詳細資訊,請參閱《 AWS 命令列界面使用者指南》中的[安裝](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)。
+ ** `kubectl` **:命令列工具,適用於使用 Kubernetes 叢集。如需詳細資訊,請參閱[設定 `kubectl` 和 `eksctl`](install-kubectl.md)。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
將 `AdministratorAccess`受管政策連接至角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。對於生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
## 步驟 2:建立 ACK 功能
在叢集上建立 ACK 功能資源。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--delete-propagation-policy RETAIN
```
命令會立即傳回,但當 EKS 建立所需的功能基礎設施和元件時,功能需要一些時間才會變成作用中。EKS 會在建立叢集時,在叢集中安裝與此功能相關的 Kubernetes 自訂資源定義。
**注意**
如果您收到叢集不存在或您沒有許可的錯誤,請驗證:
叢集名稱正確
您的 AWS CLI 已設定為正確的區域
您擁有必要的 IAM 許可
## 步驟 3:確認功能處於作用中狀態
等待 功能變成作用中。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack \
--query 'capability.status' \
--output text
```
當狀態顯示 時,此功能已就緒`ACTIVE`。在狀態為 之前,請勿繼續下一個步驟`ACTIVE`。
您也可以檢視完整的功能詳細資訊:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
```
## 步驟 4:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 ACK 自訂資源:
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源
# 使用 eksctl 建立 ACK 功能
本主題說明如何使用 eksctl 建立 AWS Controllers for Kubernetes (ACK) 功能。
**注意**
下列步驟需要 eksctl 版本 `0.220.0` 或更新版本。若要檢查您的版本,請執行 `eksctl version`。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > ack-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ACKCapabilityRole \
--assume-role-policy-document file://ack-trust-policy.json
```
將 `AdministratorAccess`受管政策連接至角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
**重要**
建議`AdministratorAccess`的政策授予廣泛的許可,旨在簡化入門。對於生產用途,請以自訂政策取代此政策,該政策僅授予您計劃使用 ACK 管理之特定 AWS 服務所需的許可。如需建立最低權限政策的指引,請參閱 [設定 ACK 許可](ack-permissions.md)和 [EKS 功能的安全考量](capabilities-security.md)。
**重要**
此政策使用 授予 S3 儲存貯體管理的許可`"Resource": "*"`,允許對所有 S3 儲存貯體執行操作。
對於生產用途:\$1 將 `Resource` 欄位限制為特定儲存貯體 ARNs或名稱模式 \$1 使用 IAM 條件索引鍵來限制資源標籤的存取 \$1 僅授予使用案例所需的最低許可
如需其他服務 AWS ,請參閱 [設定 ACK 許可](ack-permissions.md)。
將政策連接到角色:
```
aws iam attach-role-policy \
--role-name ACKCapabilityRole \
--policy-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):policy/ACKS3Policy
```
## 步驟 2:建立 ACK 功能
使用 eksctl 建立 ACK 功能。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
eksctl create capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack \
--type ACK \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
--ack-service-controllers s3
```
**注意**
`--ack-service-controllers` 旗標為選用。如果省略,ACK 會啟用所有可用的控制器。為了獲得更好的效能和安全性,請考慮僅啟用您需要的控制器。您可以指定多個控制器: `--ack-service-controllers s3,rds,dynamodb`
命令會立即傳回,但 功能需要一些時間才會變成作用中。
## 步驟 3:確認功能處於作用中狀態
檢查功能狀態:
```
eksctl get capability \
--cluster [.replaceable]`my-cluster` \
--region [.replaceable]`region-code` \
--name ack
```
當狀態顯示 時,此功能已就緒`ACTIVE`。
## 步驟 4:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 ACK 自訂資源:
```
kubectl api-resources | grep services.k8s.aws
```
您應該會看到一些針對 AWS 資源列出的 APIs。
**注意**
適用於 Kubernetes 的 AWS 控制器功能將為各種 AWS 資源安裝多個 CRDs。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念並開始使用
+ [設定 ACK 許可](ack-permissions.md) - 設定其他服務的 IAM 許可 AWS
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 ACK 功能資源
# ACK 概念
ACK 透過 Kubernetes APIs 持續協調資訊清單中的所需狀態與實際狀態,來管理 AWS 資源 AWS。當您建立或更新 Kubernetes 自訂資源時,ACK 會進行必要的 AWS API 呼叫來建立或修改對應的 AWS 資源,然後監控資源是否有偏離,並更新 Kubernetes 狀態以反映目前的狀態。此方法可讓您使用熟悉的 Kubernetes 工具和工作流程來管理基礎設施,同時保持叢集與 之間的一致性 AWS。
本主題說明 ACK 如何透過 Kubernetes APIs 管理 AWS 資源的基本概念。
## ACK 入門
建立 ACK 功能後 (請參閱 [建立 ACK 功能](create-ack-capability.md)),您可以開始使用叢集中的 Kubernetes 資訊清單來管理 AWS 資源。
例如,在 中建立此 S3 儲存貯體資訊清單`bucket.yaml`,選擇您自己的唯一儲存貯體名稱。
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-test-bucket
namespace: default
spec:
name: my-unique-bucket-name-12345
```
套用資訊清單:
```
kubectl apply -f bucket.yaml
```
檢查狀態:
```
kubectl get bucket my-test-bucket
kubectl describe bucket my-test-bucket
```
驗證儲存貯體是否已在 中建立 AWS:
```
aws s3 ls | grep my-unique-bucket-name-12345
```
刪除 Kubernetes 資源:
```
kubectl delete bucket my-test-bucket
```
確認儲存貯體已從下列位置刪除 AWS:
```
aws s3 ls | grep my-unique-bucket-name-12345
```
儲存貯體不應再出現在清單中,示範 ACK 會管理 AWS 資源的完整生命週期。
如需 ACK 入門的詳細資訊,請參閱 [ACK 入門](https://aws-controllers-k8s.github.io/community/docs/user-docs/getting-started/)。
## 資源生命週期和對帳
ACK 使用持續對帳迴圈,確保您的 AWS 資源符合 Kubernetes 資訊清單中定義的所需狀態。
**對帳的運作方式**:
1. 您可以建立或更新 Kubernetes 自訂資源 (例如 S3 儲存貯體)
1. ACK 會偵測變更,並將所需的狀態與 中的實際狀態進行比較 AWS
1. 如果不同,ACK 會呼叫 AWS API 以協調差異
1. ACK 會更新 Kubernetes 中的資源狀態,以反映目前狀態
1. 迴圈會持續重複,通常每隔幾小時重複一次
當您建立新的 Kubernetes 資源、更新現有資源的 ,或當 ACK AWS 從 ACK 外部的手動變更偵測到偏離時`spec`,就會觸發調校。此外,ACK 會在 10 小時的重新同步期間執行定期調校。Kubernetes 資源的變更會觸發立即對帳,而上游 AWS 資源變更的被動偏離偵測則會在定期重新同步期間發生。
處理上述入門範例時,ACK 會執行下列步驟:
1. 檢查儲存貯體是否存在於 AWS
1. 如果沒有, 會呼叫 `s3:CreateBucket`
1. 使用儲存貯體 ARN 和狀態更新 Kubernetes 狀態
1. 繼續監控偏離
若要進一步了解 ACK 的運作方式,請參閱 [ACK 調校](https://aws-controllers-k8s.github.io/community/docs/user-docs/reconciliation/)。
## 狀態條件
ACK 資源使用狀態條件來傳達其狀態。了解這些條件可協助您疑難排解問題並了解資源運作狀態。
+ **就緒**:表示資源已就緒可供使用 (標準化 Kubernetes 條件)。
+ **ACK.ResourceSynced**:表示資源規格符合 AWS 資源狀態。
+ **ACK.Terminal**:表示發生無法復原的錯誤。
+ **ACK.Adopted**:表示資源是從現有資源採用,而不是建立新的 AWS 資源。
+ **ACK.Recoverable**:表示可在不更新規格的情況下解決的可復原錯誤。
+ **ACK.Advisory**:提供有關資源的諮詢資訊。
+ **ACK.LateInitialized**:指出欄位的延遲初始化是否已完成。
+ **ACK.ReferencesResolved**:指出是否已解析所有`AWSResourceReference`欄位。
+ **ACK.IAMRoleSelected**:指出是否已選取 IAMRoleSelector 來管理此資源。
檢查資源狀態:
```
# Check if resource is ready
kubectl get bucket my-bucket -o jsonpath='{.status.conditions[?(@.type=="Ready")].status}'
# Check for terminal errors
kubectl get bucket my-bucket -o jsonpath='{.status.conditions[?(@.type=="ACK.Terminal")]}'
```
範例狀態:
```
status:
conditions:
- type: Ready
status: "True"
lastTransitionTime: "2024-01-15T10:30:00Z"
- type: ACK.ResourceSynced
status: "True"
lastTransitionTime: "2024-01-15T10:30:00Z"
- type: ACK.Terminal
status: "True"
ackResourceMetadata:
arn: arn:aws:s3:::my-unique-bucket-name
ownerAccountID: "111122223333"
region: us-west-2
```
若要進一步了解 ACK 狀態和條件,請參閱 [ACK 條件](https://aws-controllers-k8s.github.io/community/docs/user-docs/conditions/)。
## 刪除政策
ACK 的刪除政策會控制當您刪除 Kubernetes 資源時 AWS ,資源會發生什麼情況。
**刪除 (預設)**
刪除 Kubernetes 資源時會刪除 AWS 資源:這是預設行為。
```
# No annotation needed - this is the default
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: temp-bucket
spec:
name: temporary-bucket
```
刪除此資源會刪除其中的 S3 儲存貯體 AWS。
**保留**
當您刪除 Kubernetes 資源時, AWS 資源會保留:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: important-bucket
annotations:
services.k8s.aws/deletion-policy: "retain"
spec:
name: production-data-bucket
```
刪除此資源會將其從 Kubernetes 中移除,但會保留 S3 儲存貯體 AWS。
此`retain`政策適用於生產資料庫,這些資料庫應超過 Kubernetes 資源、多個應用程式使用的共用資源、具有不應意外刪除重要資料的資源,或您採用資源的暫時 ACK 管理、進行設定,然後將其釋出給手動管理。
若要進一步了解 ACK 刪除政策,請參閱 [ACK 刪除政策](https://aws-controllers-k8s.github.io/community/docs/user-docs/deletion-policy/)。
## 資源採用
採用可讓您在 ACK 管理下使用現有 AWS 資源,而無需重新建立這些資源。
何時使用採用:
+ 將現有基礎設施遷移至 ACK 管理
+ 在 Kubernetes 中意外刪除 AWS 資源時復原孤立的資源
+ 匯入其他工具建立的資源 (CloudFormation、Terraform)
採用方式的運作方式:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
當您建立此資源時:
1. ACK 會檢查具有該名稱的儲存貯體是否存在於 AWS
1. 如果找到,ACK 會採用它 (沒有要建立的 API 呼叫)
1. ACK 會從 讀取目前的組態 AWS
1. ACK 會更新 Kubernetes 狀態以反映實際狀態
1. 未來的更新會正常協調資源
採用後,資源會像任何其他 ACK 資源一樣受到管理,除非您使用`retain`刪除政策,否則刪除 Kubernetes 資源將會刪除 AWS 資源。
採用資源時, AWS 資源必須已存在,且 ACK 需要讀取許可才能探索資源。如果資源存在,`adopt-or-create`政策會採用該資源,如果資源不存在,則建立該資源。當您想要可運作資源是否存在的宣告式工作流程時,這會很有用。
若要進一步了解 ACK 資源採用,請參閱 [ACK 資源採用](https://aws-controllers-k8s.github.io/community/docs/user-docs/adopted-resource/)。
## 跨帳戶和跨區域資源
ACK 可以從單一叢集管理不同 AWS 帳戶和區域中的資源。
**跨區域資源註釋**
您可以使用 註釋指定 AWS 資源的區域:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: eu-bucket
annotations:
services.k8s.aws/region: eu-west-1
spec:
name: my-eu-bucket
```
您也可以指定在指定命名空間中建立的所有 AWS 資源的區域:
**命名空間註釋**
為命名空間中的所有資源設定預設區域:
```
apiVersion: v1
kind: Namespace
metadata:
name: production
annotations:
services.k8s.aws/default-region: us-west-2
```
在此命名空間中建立的資源會使用此區域,除非以資源層級註釋覆寫。
**跨帳戶**
使用 IAM 角色選取器將特定 IAM 角色映射至命名空間:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: target-account-config
spec:
arn: arn:aws:iam::444455556666:role/ACKTargetAccountRole
namespaceSelector:
names:
- production
```
在映射命名空間中建立的資源會自動使用指定的角色。
若要進一步了解 IAM 角色選取器,請參閱 [ACK 跨帳戶資源管理](https://aws-controllers-k8s.github.io/docs/guides/cross-account)。如需跨帳戶組態詳細資訊,請參閱 [設定 ACK 許可](ack-permissions.md)。
## 錯誤處理和重試行為
ACK 會自動處理暫時性錯誤並重試失敗的操作。
重試策略:
+ 暫時性錯誤 (速率限制、暫時性服務問題、許可不足) 觸發自動重試
+ 指數退避可防止壓倒 AWS APIs
+ 重試嘗試次數上限因錯誤類型而異
+ 永久錯誤 (無效的參數、資源名稱衝突) 不會重試
使用 檢查資源狀態的錯誤詳細資訊`kubectl describe`:
```
kubectl describe bucket my-bucket
```
尋找包含錯誤訊息的狀態條件、顯示最近調校嘗試的事件,以及狀態條件中解釋失敗的 `message` 欄位。常見的錯誤包括 IAM 許可不足、資源名稱衝突 AWS、 中的組態值無效`spec`,以及超出 AWS 服務配額。
如需常見錯誤的疑難排解,請參閱 [對 ACK 功能的問題進行故障診斷](ack-troubleshooting.md)。
## kro 的資源合成
若要編寫和連接多個 ACK 資源,請使用適用於 kro 的 EKS 功能 (Kube Resource Orchestrator)。kro 提供宣告式方法來定義資源群組,直接在資源之間傳遞組態以管理複雜的基礎設施模式。
如需使用 ACK 資源建立自訂資源組合的詳細範例,請參閱 [kro 概念](kro-concepts.md)
## 後續步驟
+ [EKS 的 ACK 考量事項](ack-considerations.md) - EKS 特定的模式和整合策略
# 設定 ACK 許可
ACK 需要 IAM 許可,才能代表您建立和管理 AWS 資源。本主題說明 IAM 如何與 ACK 搭配使用,並提供設定不同使用案例許可的指引。
## IAM 如何與 ACK 搭配使用
ACK 使用 IAM 角色對 資源進行身分驗證 AWS 和執行動作。提供許可給 ACK 的方式有兩種:
**功能角色**:您在建立 ACK 功能時提供的 IAM 角色。根據預設,所有 ACK 操作都會使用此角色。
**IAM 角色選取器**:可映射至特定命名空間或資源的其他 IAM 角色。這些角色會覆寫其範圍內資源的功能角色。
當 ACK 需要建立或管理資源時,它會決定要使用的 IAM 角色:
1. 檢查 IAMRoleSelector 是否符合資源的命名空間
1. 如果找到相符項目,請擔任該 IAM 角色
1. 否則,請使用 功能角色
此方法可實現從簡單的單一角色設定到複雜多帳戶、多團隊組態的彈性許可管理。
## 入門:簡易許可設定
對於開發、測試或簡單使用案例,您可以將所有必要的服務許可直接新增至功能角色。
此方法在下列情況下運作良好:
+ 您即將開始使用 ACK
+ 所有資源都在同一個 AWS 帳戶中
+ 單一團隊管理所有 ACK 資源
+ 您信任所有 ACK 使用者都具有相同的許可
## 生產最佳實務:IAM 角色選取器
對於生產環境,請使用 IAM 角色選取器實作最低權限存取和命名空間層級隔離。
使用 IAM 角色選取器時,功能角色只需要 `sts:AssumeRole`和 `sts:TagSession`許可,即可擔任服務特定的角色。您不需要將任何 AWS 服務許可 (例如 S3 或 RDS) 新增至功能角色本身,這些許可會授予功能角色擔任的個別 IAM 角色。
**在許可模型之間進行選擇**:
在下列情況下使用**直接許可** (將服務許可新增至功能角色):
+ 您正在開始使用,並想要最簡單的設定
+ 所有資源都與您的叢集位於相同的帳戶
+ 您有全叢集的管理許可要求
+ 所有團隊都可以共用相同的許可
在下列情況下使用 **IAM 角色選取器**:
+ 跨多個 AWS 帳戶管理資源
+ 不同的團隊或命名空間需要不同的許可
+ 您需要每個命名空間的精細存取控制
+ 您想要遵循最低權限的安全實務
您可以從直接許可開始,並在需求增加之後遷移至 IAM 角色選取器。
**為什麼要在生產環境中使用 IAM 角色選取器:**
+ **最低權限**:每個命名空間只會取得所需的許可
+ **團隊隔離**:團隊 A 不會意外使用團隊 B 的許可
+ **更容易稽核**:明確映射命名空間使用哪個角色
+ **跨帳戶支援**:管理多個帳戶中的資源時需要
+ **問題分離**:不同的服務或環境使用不同的角色
### 基本 IAM 角色選取器設定
**步驟 1:建立服務特定的 IAM 角色**
建立具有特定 AWS 服務許可的 IAM 角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": "*"
}
]
}
```
設定信任政策以允許能力角色擔任它:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ACKCapabilityRole"
},
"Action": ["sts:AssumeRole", "sts:TagSession"]
}
]
}
```
**步驟 2:將 AssumeRole 許可授予能力角色**
將許可新增至 功能角色以擔任服務特定角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::111122223333:role/ACK-S3-Role"
}
]
}
```
**步驟 3:建立 IAMRoleSelector**
將 IAM 角色映射至命名空間:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: s3-namespace-config
spec:
arn: arn:aws:iam::111122223333:role/ACK-S3-Role
namespaceSelector:
names:
- s3-resources
```
**步驟 4:在映射的命名空間中建立資源**
`s3-resources` 命名空間中的資源會自動使用指定的角色:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-bucket
namespace: s3-resources
spec:
name: my-production-bucket
```
## 多帳戶管理
使用 IAM 角色選取器來管理多個 AWS 帳戶的資源。
**步驟 1:建立跨帳戶 IAM 角色**
在目標帳戶 (444455556666 中,建立信任來源帳戶能力角色的角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ACKCapabilityRole"
},
"Action": ["sts:AssumeRole", "sts:TagSession"]
}
]
}
```
將服務特定的許可連接到此角色。
**步驟 2:授予 AssumeRole 許可**
在來源帳戶 (111122223333 中,允許能力角色擔任目標帳戶角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::444455556666:role/ACKTargetAccountRole"
}
]
}
```
**步驟 3:建立 IAMRoleSelector**
將跨帳戶角色映射至命名空間:
```
apiVersion: services.k8s.aws/v1alpha1
kind: IAMRoleSelector
metadata:
name: production-account-config
spec:
arn: arn:aws:iam::444455556666:role/ACKTargetAccountRole
namespaceSelector:
names:
- production
```
**步驟 4:建立資源**
`production` 命名空間中的資源會在目標帳戶中建立:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: my-bucket
namespace: production
spec:
name: my-cross-account-bucket
```
## 工作階段標籤
EKS ACK 功能會自動在所有 AWS API 請求上設定工作階段標籤。這些標籤透過識別每個請求的來源來啟用精細存取控制和稽核。
### 可用的工作階段標籤
ACK 所做的每個 AWS API 呼叫都會包含下列工作階段標籤:
| 標籤索引鍵 | Description |
| --- | --- |
| `eks:eks-capability-arn` | 提出請求之 EKS 功能的 ARN |
| `eks:kubernetes-namespace` | 受管資源的 Kubernetes 命名空間 |
| `eks:kubernetes-api-group` | 資源的 Kubernetes API 群組 (例如 `s3.services.k8s.aws`) |
### 使用工作階段標籤進行存取控制
您可以在 IAM 政策條件下使用這些工作階段標籤,以限制 ACK 可以管理哪些資源。這除了以命名空間為基礎的 IAM 角色選取器之外,還提供額外的安全層。
**範例:依命名空間限制**
只有在請求來自`production`命名空間時,才允許 ACK 建立 S3 儲存貯體:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/eks:kubernetes-namespace": "production"
}
}
}
]
}
```
**範例:依功能限制**
僅允許來自特定 ACK 功能的動作:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/eks:eks-capability-arn": "arn:aws:eks:us-west-2:111122223333:capability/my-cluster/ack/my-ack"
}
}
}
]
}
```
**注意**
工作階段標籤與自我管理 ACK 不同,其預設不會設定這些標籤。這可透過 受管功能啟用更精細的存取控制。
## 進階 IAM 角色選取器模式
如需進階組態,包括標籤選擇器、資源特定角色映射和其他範例,請參閱 [ACK IRSA 文件](https://aws-controllers-k8s.github.io/community/docs/user-docs/irsa/)。
## 後續步驟
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念和資源生命週期
+ [ACK 概念](ack-concepts.md) - 了解資源採用和刪除政策
+ [EKS 功能的安全考量](capabilities-security.md) - 了解 功能的安全最佳實務
# EKS 的 ACK 考量事項
本主題涵蓋使用 ACK 的 EKS 功能的重要考量,包括 IAM 組態、多帳戶模式,以及與其他 EKS 功能的整合。
## IAM 組態模式
ACK 功能使用 IAM 功能角色進行身分驗證 AWS。根據您的需求選擇正確的 IAM 模式。
### 簡單:單一功能角色
對於開發、測試或簡單使用案例,請將所有必要的許可直接授予能力角色。
**使用時機**:
+ ACK 入門
+ 單一帳戶部署
+ 由一個團隊管理的所有資源
+ 開發和測試環境
**範例**:使用資源標記條件將 S3 和 RDS 許可新增至您的能力角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-west-2", "us-east-1"]
}
}
},
{
"Effect": "Allow",
"Action": ["rds:*"],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-west-2", "us-east-1"]
},
}
}
]
}
```
此範例會將 S3 和 RDS 操作限制在特定區域,並要求 RDS 資源具有`ManagedBy: ACK`標籤。
### 生產:IAM 角色選取器
對於生產環境,請使用 IAM 角色選取器實作最低權限存取和命名空間層級隔離。
**使用時機**:
+ 生產環境
+ 多團隊叢集
+ 多帳戶資源管理
+ 最低權限的安全需求
+ 不同的服務需要不同的許可
**優點**:
+ 每個命名空間只會取得所需的許可
+ 團隊隔離 - 團隊 A 無法使用團隊 B 的許可
+ 更輕鬆地稽核和合規
+ 跨帳戶資源管理的必要項目
如需詳細的 IAM 角色選取器組態,請參閱 [設定 ACK 許可](ack-permissions.md)。
## 與其他 EKS 功能整合
### 使用 Argo CD 的 GitOps
使用適用於 Argo CD 的 EKS 功能從 Git 儲存庫部署 ACK 資源,啟用基礎設施管理的 GitOps 工作流程。
**考量:**
+ 將 ACK 資源與end-to-end GitOps 的應用程式資訊清單一起存放
+ 根據您的團隊結構,依環境、服務或資源類型進行組織
+ 使用 Argo CD 的自動同步進行持續調校
+ 啟用剔除以自動移除已刪除的資源
+ 考慮多叢集基礎設施管理的hub-and-spoke模式
GitOps 提供稽核追蹤、復原功能和宣告式基礎設施管理。如需 Argo CD 的詳細資訊,請參閱[使用 Argo CD](working-with-argocd.md)。
### kro 的資源合成
使用 kro 的 EKS 功能 (Kube Resource Orchestrator),將多個 ACK 資源組成更高層級的抽象和自訂 APIs。
**何時搭配 ACK 使用 kro**:
+ 為常見的基礎設施堆疊建立可重複使用的模式 (資料庫 \$1 備份 \$1 監控)
+ 為應用程式團隊建置具有簡化 APIs自助式平台
+ 管理資源相依性,並在資源之間傳遞值 (S3 儲存貯體 ARN 至 Lambda 函數)
+ 標準化跨團隊的基礎設施組態
+ 透過隱藏自訂資源後方的實作詳細資訊來降低複雜性
**範例模式**:
+ 應用程式堆疊:S3 儲存貯體 \$1 SQS 佇列 \$1 通知組態
+ 資料庫設定:RDS 執行個體 \$1 參數群組 \$1 安全群組 \$1 秘密
+ 網路:VPC \$1 子網路 \$1 路由表 \$1 安全群組
kro 會處理編寫資源的相依性排序、狀態傳播和生命週期管理。如需 kro 的詳細資訊,請參閱[kro 概念](kro-concepts.md)。
## 組織您的 資源
使用 Kubernetes 命名空間和資源標籤組織 ACK AWS 資源,以獲得更好的管理、存取控制和成本追蹤。
### 命名空間組織
使用 Kubernetes 命名空間,以邏輯方式依環境 (生產、預備、開發)、團隊 (平台、資料、ml) 或應用程式分隔 ACK 資源。
**優點**:
+ 用於存取控制的命名空間範圍 RBAC
+ 使用註釋設定每個命名空間的預設區域
+ 更輕鬆地進行資源管理和清理
+ 符合組織結構的邏輯分隔
### 資源標記
EKS ACK 功能會自動將預設標籤套用至其建立的所有 AWS 資源。這些標籤與自我管理的 ACK 不同,並提供增強的可追蹤性。
**功能套用的預設標籤**:
| 標籤索引鍵 | Description |
| --- | --- |
| `eks:controller-version` | ACK 控制器的版本 |
| `eks:kubernetes-namespace` | ACK 資源的 Kubernetes 命名空間 |
| `eks:kubernetes-resource-name` | Kubernetes 資源的名稱 |
| `eks:kubernetes-api-group` | Kubernetes API 群組 (例如 `s3.services.k8s.aws`) |
| `eks:eks-capability-arn` | EKS ACK 功能的 ARN |
**注意**
自我管理 ACK 使用不同的預設標籤: `services.k8s.aws/controller-version`和 `services.k8s.aws/namespace`。功能的標籤使用 `eks:`字首,以與其他 EKS 功能保持一致。
**其他建議標籤**:
為成本分配、所有權追蹤和組織用途新增自訂標籤:
+ 環境 (生產、預備、開發)
+ 團隊或部門擁有權
+ 帳單分配的成本中心
+ 應用程式或服務名稱
## 從其他Infrastructure-as-code工具遷移
許多組織發現在 Kubernetes 上標準化工作負載協同運作之外的價值。將基礎設施 AWS 和資源管理遷移到 ACK 可讓您使用 Kubernetes APIs 和應用程式工作負載來標準化基礎設施管理。
**在適用於基礎設施的 Kubernetes 上標準化的優勢**:
+ **單一事實來源**:在 Kubernetes 中管理應用程式和基礎設施,實現end-to-end GitOps 實務
+ **統一工具**:團隊使用 Kubernetes 資源和工具,而不是學習多個工具和架構
+ **一致的對帳**:ACK 會持續對 Kubernetes 對工作負載所做的 AWS 資源進行對帳,並與必要工具相比,偵測和修正偏離
+ **原生組成**:使用 kro 和 ACK, AWS 直接在應用程式和資源資訊清單中參考資源,在資源之間傳遞連線字串和 ARNs
+ **簡化的操作**:在整個系統中部署、復原和可觀測性的單一控制平面
ACK 支援採用現有的 AWS 資源,無需重新建立這些資源,可從 CloudFormation、Terraform 或叢集外部的資源進行零停機時間遷移。
**採用現有資源**:
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
一旦採用,資源將由 ACK 管理,並且可以透過 Kubernetes 資訊清單進行更新。您可以逐步遷移,視需要採用資源,同時維護其他資源的現有 IaC 工具。
ACK 也支援唯讀資源。對於您希望參考但未修改的其他團隊或工具管理的資源,請將採用與`retain`刪除政策結合,並僅授予讀取 IAM 許可。這可讓應用程式透過 Kubernetes API 探索共用基礎設施 (VPCs、IAM 角色、KMS 金鑰),而不會有修改的風險。 APIs
如需資源採用的詳細資訊,請參閱[ACK 概念](ack-concepts.md)。
## 刪除政策
當您刪除對應的 AWS Kubernetes 資源時,刪除政策會控制資源會發生的情況。根據資源生命週期和您的操作需求,選擇正確的政策。
### 刪除 (預設)
AWS 刪除 Kubernetes 資源時會刪除資源。這可維持叢集與 之間的一致性 AWS,確保資源不會累積。
**何時使用刪除**:
+ 清理很重要的開發和測試環境
+ 與應用程式生命週期繫結的暫時性資源 (測試資料庫、臨時儲存貯體)
+ 不應讓應用程式過期的資源 (SQS 佇列、ElastiCache 叢集)
+ 成本最佳化 - 自動清除未使用的資源
+ 使用 GitOps 管理的環境,其中從 Git 移除資源應刪除基礎設施
預設刪除政策符合 Kubernetes 的宣告式模型:叢集中的內容符合 中存在的內容 AWS。
### 保留
當您刪除 Kubernetes 資源時, AWS 會保留資源。這可保護關鍵資料,並允許資源超過其 Kubernetes 表示。
**何時使用 保留**:
+ 生產資料庫具有必須承受叢集變更的關鍵資料
+ 具有合規或稽核要求的長期儲存貯體
+ 多個應用程式或團隊使用的共用資源
+ 要遷移至不同管理工具的資源
+ 您希望保留基礎設施的災難復原案例
+ 具有複雜相依性的資源需要謹慎解除委任
```
apiVersion: rds.services.k8s.aws/v1alpha1
kind: DBInstance
metadata:
name: production-db
annotations:
services.k8s.aws/deletion-policy: "retain"
spec:
dbInstanceIdentifier: prod-db
# ... configuration
```
**重要**
保留的資源會持續產生 AWS 成本,且必須在不再需要 AWS 時從 手動刪除。使用資源標記來追蹤保留的資源以進行清除。
如需刪除政策的詳細資訊,請參閱 [ACK 概念](ack-concepts.md)。
## 上游文件
如需使用 ACK 的詳細資訊:
+ [ACK 使用指南](https://aws-controllers-k8s.github.io/community/docs/user-docs/usage/) - 建立和管理資源
+ [ACK API 參考](https://aws-controllers-k8s.github.io/community/reference/) - 所有服務的完整 API 文件
+ [ACK 文件](https://aws-controllers-k8s.github.io/community/docs/) - 完整的使用者文件
## 後續步驟
+ [設定 ACK 許可](ack-permissions.md) - 設定 IAM 許可和多帳戶模式
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念和資源生命週期
+ [對 ACK 功能的問題進行故障診斷](ack-troubleshooting.md) - 故障診斷 ACK 問題
+ [使用 Argo CD](working-with-argocd.md) - 使用 GitOps 部署 ACK 資源
+ [kro 概念](kro-concepts.md) - 將 ACK 資源編寫為更高層級的抽象概念
# 對 ACK 功能的問題進行故障診斷
本主題提供 ACK 的 EKS 功能疑難排解指引,包括功能運作狀態檢查、資源狀態驗證和 IAM 許可問題。
**注意**
EKS 功能是完全受管的,並在叢集外部執行。您無法存取控制器日誌或控制器命名空間。故障診斷著重於功能運作狀態、資源狀態和 IAM 組態。
## 功能是 ACTIVE,但資源尚未建立
如果您的 ACK 功能顯示`ACTIVE`狀態,但未在其中建立資源 AWS,請檢查功能運作狀態、資源狀態和 IAM 許可。
**檢查功能運作狀態**:
您可以在 EKS 主控台或使用 AWS CLI 檢視功能運作狀態和狀態問題。
**主控台**:
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱。
1. 選擇**可觀測性**索引標籤。
1. 選擇**監控叢集**。
1. 選擇**功能**索引標籤以檢視所有功能的運作狀態和狀態。
** AWS CLI**:
```
# View capability status and health
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-ack
# Look for issues in the health section
```
**常見原因**:
+ **IAM 許可遺失**:功能角色缺少 AWS 服務的許可
+ **命名空間錯誤**:在命名空間中建立的資源沒有適當的 IAMRoleSelector
+ **無效的資源規格**:檢查資源狀態條件是否有驗證錯誤
+ **API 限流**:達到 AWS API 速率限制
+ **許可 Webhook**:許可 Webhook 封鎖控制器修補資源狀態
**檢查資源狀態**:
```
# Describe the resource to see conditions and events
kubectl describe bucket my-bucket -n default
# Look for status conditions
kubectl get bucket my-bucket -n default -o jsonpath='{.status.conditions}'
# View resource events
kubectl get events --field-selector involvedObject.name=my-bucket -n default
```
**驗證 IAM 許可**:
```
# View the Capability Role's policies
aws iam list-attached-role-policies --role-name my-ack-capability-role
aws iam list-role-policies --role-name my-ack-capability-role
# Get specific policy details
aws iam get-role-policy --role-name my-ack-capability-role --policy-name policy-name
```
## 在 中建立 AWS 但未在 Kubernetes 中顯示的資源
ACK 只會追蹤透過 Kubernetes 資訊清單建立的資源。若要使用 ACK 管理現有 AWS 資源,請使用採用功能。
```
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: existing-bucket
annotations:
services.k8s.aws/adoption-policy: "adopt-or-create"
spec:
name: my-existing-bucket-name
```
如需資源採用的詳細資訊,請參閱[ACK 概念](ack-concepts.md)。
## 未建立跨帳戶資源
如果使用 IAM 角色選取器時未在目標 AWS 帳戶中建立資源,請驗證信任關係和 IAMRoleSelector 組態。
**驗證信任關係**:
```
# Check the trust policy in the target account role
aws iam get-role --role-name cross-account-ack-role --query 'Role.AssumeRolePolicyDocument'
```
信任政策必須允許來源帳戶的 功能角色擔任該角色。
**確認 IAMRoleSelector 組態**:
```
# List IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector
# Describe specific selector
kubectl describe iamroleselector my-selector
```
**驗證命名空間對齊**:
IAMRoleSelectors 是叢集範圍的資源,但以特定命名空間為目標。確保您的 ACK 資源位於符合 IAMRoleSelector 命名空間選擇器的命名空間中:
```
# Check resource namespace
kubectl get bucket my-cross-account-bucket -n production
# List all IAMRoleSelectors (cluster-scoped)
kubectl get iamroleselector
# Check which namespace the selector targets
kubectl get iamroleselector my-selector -o jsonpath='{.spec.namespaceSelector}'
```
**檢查 IAMRoleSelected 條件**:
檢查`ACK.IAMRoleSelected`條件,確認 IAMRoleSelector 已成功符合您的資源:
```
# Check if IAMRoleSelector was matched
kubectl get bucket my-cross-account-bucket -n production -o jsonpath='{.status.conditions[?(@.type=="ACK.IAMRoleSelected")]}'
```
如果條件為 `False`或遺失,IAMRoleSelector 的命名空間選擇器不符合資源的命名空間。確認選取器的 `namespaceSelector`符合您資源的命名空間標籤。
**檢查功能角色許可**:
功能角色對目標帳戶角色的需求`sts:AssumeRole`和`sts:TagSession`許可:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["sts:AssumeRole", "sts:TagSession"],
"Resource": "arn:aws:iam::[.replaceable]`444455556666`:role/[.replaceable]`cross-account-ack-role`"
}
]
}
```
如需跨帳戶組態的詳細資訊,請參閱 [設定 ACK 許可](ack-permissions.md)。
## 後續步驟
+ [EKS 的 ACK 考量事項](ack-considerations.md) - ACK 考量事項和最佳實務
+ [設定 ACK 許可](ack-permissions.md) - 設定 IAM 許可和多帳戶模式
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念和資源生命週期
+ [對 EKS 功能進行故障診斷](capabilities-troubleshooting.md) - 一般功能故障診斷指引
# 比較 ACK 與自我管理 ACK 的 EKS 功能
EKS 的 ACK 功能提供與自我管理 ACK 控制器相同的功能,但具有顯著的操作優勢。如需 EKS 功能與自我管理解決方案的一般比較,請參閱 [EKS 功能考量事項](capabilities-considerations.md)。本主題著重於 ACK 特定的差異。
## 與上游 ACK 的差異
ACK 的 EKS 功能是以上游 ACK 控制器為基礎,但在 IAM 整合中有所不同。
**IAM 功能角色**:此功能使用專用 IAM 角色搭配信任政策,允許`capabilities.eks.amazonaws.com`服務主體,而不是 IRSA (服務帳戶的 IAM 角色)。您可以直接將 IAM 政策連接至功能角色,而不需要建立或註釋 Kubernetes 服務帳戶或設定 OIDC 供應商。生產使用案例的最佳實務是使用 設定服務許可`IAMRoleSelector`。如需詳細資訊,請參閱[設定 ACK 許可](ack-permissions.md)。
**工作階段標籤**: 受管功能會自動在所有 AWS API 請求上設定工作階段標籤,啟用精細存取控制和稽核。標籤包括 `eks:eks-capability-arn`、 `eks:kubernetes-namespace`和 `eks:kubernetes-api-group`。這與自我管理的 ACK 不同,其預設不會設定這些標籤。如需在 [設定 ACK 許可](ack-permissions.md) IAM 政策中使用工作階段標籤的詳細資訊,請參閱 。
**資源標籤**: 功能會將不同的預設標籤套用至 AWS 資源,而非自我管理的 ACK。此功能使用字`eks:`首標籤 (例如 `eks:kubernetes-namespace`、`eks:eks-capability-arn`),而不是自我管理 ACK 使用的`services.k8s.aws/`標籤。如需預設資源標籤的完整清單,[EKS 的 ACK 考量事項](ack-considerations.md)請參閱 。
**資源相容性**:ACK 自訂資源的運作方式與上游 ACK 相同,不會變更您的 ACK 資源 YAML 檔案。該功能使用相同的 Kubernetes APIs 和 CRDs,因此 等工具`kubectl`的運作方式相同。支援來自上游 ACK 的所有 GA 控制器和資源。
如需完整的 ACK 文件和服務特定指南,請參閱 [ACK 文件](https://aws-controllers-k8s.github.io/community/)。
## 遷移路徑
您可以從自我管理的 ACK 遷移到受管功能,無需停機:
1. 更新您的自我管理 ACK 控制器以`kube-system`用於領導者選擇租用,例如:
```
helm upgrade --install ack-s3-controller \
oci://public.ecr.aws/aws-controllers-k8s/s3-chart \
--namespace ack-system \
--set leaderElection.namespace=kube-system
```
這會將控制器的租用移至 `kube-system`,允許受管功能與其協調。
1. 在叢集上建立 ACK 功能 (請參閱 [建立 ACK 功能](create-ack-capability.md))
1. 受管功能可識別現有的 ACK 受管 AWS 資源並接管對帳
1. 逐步縮減或移除自我管理控制器部署:
```
helm uninstall ack-s3-controller --namespace ack-system
```
此方法可讓兩個控制器在遷移期間安全地共存。受管功能會自動採用先前由自我管理控制器管理的資源,確保持續對帳而不會發生衝突。
## 後續步驟
+ [建立 ACK 功能](create-ack-capability.md) - 建立 ACK 功能資源
+ [ACK 概念](ack-concepts.md) - 了解 ACK 概念和資源生命週期
+ [設定 ACK 許可](ack-permissions.md) - 設定 IAM 和許可
# 使用 Argo CD 持續部署
Argo CD 是 Kubernetes 的宣告式 GitOps 持續交付工具。使用 Argo CD,您可以自動化跨多個叢集和環境的應用程式部署和生命週期管理。Argo CD 支援多種來源類型,包括 Git 儲存庫、Helm 登錄檔 (HTTP 和 OCI) 和 OCI 映像,為具有不同安全和合規要求的組織提供靈活性。
透過 EKS 功能,Argo CD 完全由 管理 AWS,無需在叢集上安裝、維護和擴展 Argo CD 控制器及其相依性。
## Argo CD 的運作方式
Argo CD 遵循 GitOps 模式,其中您的應用程式來源 (Git 儲存庫、Helm 登錄檔或 OCI 映像) 是定義所需應用程式狀態的事實來源。當您建立 Argo CD `Application` 資源時,您可以指定包含應用程式資訊清單的來源,以及目標 Kubernetes 叢集和命名空間。Argo CD 會持續監控叢集中的來源和即時狀態,自動同步任何變更,以確保叢集狀態符合所需的狀態。
**注意**
使用適用於 Argo CD 的 EKS 功能,Argo CD 軟體會在 AWS 控制平面中執行,而不是在您的工作者節點上執行。這表示您的工作者節點不需要直接存取 Git 儲存庫或 Helm 登錄檔,此功能會處理來自 AWS 帳戶的來源存取。
Argo CD 提供三種主要資源類型:
+ **應用程式**:定義從 Git 儲存庫到目標叢集的部署
+ **ApplicationSet**:從多叢集部署的範本產生多個應用程式
+ **AppProject**:提供應用程式的邏輯分組和存取控制
**範例:建立 Argo CD 應用程式**
下列範例示範如何建立 Argo CD `Application` 資源:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: guestbook
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/argoproj/argocd-example-apps.git
targetRevision: HEAD
path: guestbook
destination:
name: in-cluster
namespace: guestbook
syncPolicy:
automated:
prune: true
selfHeal: true
```
**注意**
`destination.name` 使用 與您在註冊叢集時使用的叢集名稱 (例如`in-cluster`本機叢集的 )。`destination.server` 欄位也適用於 EKS 叢集 ARNs,但建議使用叢集名稱以提高可讀性。
## Argo CD 的優點
Argo CD 實作 GitOps 工作流程,您可以在 Git 儲存庫中定義應用程式組態,Argo CD 會自動同步您的應用程式以符合所需的狀態。這種以 Git 為中心的方法提供所有變更的完整稽核線索、輕鬆復原,並自然地與您現有的程式碼檢閱和核准程序整合。Argo CD 會自動偵測並協調 Git 中所需狀態與叢集中實際狀態之間的偏離,確保您的部署與您的宣告組態保持一致。
使用 Argo CD,您可以從單一 Argo CD 執行個體跨多個叢集部署和管理應用程式,簡化多叢集和多區域環境中的操作。Argo CD UI 提供視覺化和監控功能,可讓您檢視應用程式的部署狀態、運作狀態和歷史記錄。UI 與 AWS Identity Center (先前稱為 AWS SSO) 整合,以實現無縫身分驗證和授權,讓您能夠使用現有的身分管理基礎設施來控制存取。
作為 EKS 受管功能的一部分,Argo CD 由 完全管理 AWS,無需安裝、設定和維護 Argo CD 基礎設施。 會 AWS 處理擴展、修補和操作管理,讓您的團隊專注於應用程式交付,而不是工具維護。
## 與 AWS Identity Center 整合
EKS 受管功能提供 Argo CD 和 AWS Identity Center 之間的直接整合,為您的使用者啟用無縫身分驗證和授權。當您啟用 Argo CD 功能時,您可以設定 AWS Identity Center 整合,將 Identity Center 群組和使用者映射至 Argo CD RBAC 角色,讓您控制誰可以存取和管理 Argo CD 中的應用程式。
## 與其他 EKS 受管功能的整合
Argo CD 與其他 EKS 受管功能整合。
+ ** AWS Kubernetes (ACK) 控制器**:使用 Argo CD 管理跨多個叢集的 ACK 資源部署,為您的 AWS 基礎設施啟用 GitOps 工作流程。
+ **kro (Kube Resource Orchestrator)**:使用 Argo CD 跨多個叢集部署 kro 組合,在您的 Kubernetes 資產中實現一致的資源組合。
## Argo CD 入門
若要開始使用適用於 Argo CD 的 EKS 功能:
1. 建立並設定具有 Argo CD 必要許可的 IAM 功能角色,以存取您的來源和管理應用程式。
1. 透過 AWS 主控台、 AWS CLI 或您偏好的基礎設施做為程式碼工具,在 EKS 叢集上[建立 Argo CD 功能資源](create-argocd-capability.md)。
1. 設定儲存庫存取並註冊叢集以進行應用程式部署。
1. 建立應用程式資源,從您的宣告來源部署應用程式。
# 建立 Argo CD 功能
本主題說明如何在 Amazon EKS 叢集上建立 Argo CD 功能。
## 先決條件
建立 Argo CD 功能之前,請確定您有:
+ 執行支援 Kubernetes 版本的現有 Amazon EKS 叢集 (支援標準和延伸支援中的所有版本)
+ ** AWS 已設定身分中心** - Argo CD 身分驗證需要 (不支援本機使用者)
+ 具有 Argo CD 許可的 IAM 功能角色
+ 足夠的 IAM 許可,可在 EKS 叢集上建立功能資源
+ `kubectl` 設定為與您的叢集通訊
+ (選用) 為簡化叢集和儲存庫管理而安裝的 Argo CD CLI
+ (適用於 CLI/eksctl) 安裝和設定適當的 CLI 工具
如需建立 IAM 功能角色的說明,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)。如需 Identity Center 設定,請參閱 [AWS Identity Center 入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
**重要**
您提供的 IAM 功能角色會決定 Argo CD 可存取 AWS 的資源。這包括透過 CodeConnections 和 Secrets Manager 中的秘密存取 Git 儲存庫。如需建立具有最低權限許可之適當角色的指引,請參閱 [Amazon EKS 功能 IAM 角色](capability-role.md)和 [EKS 功能的安全考量](capabilities-security.md)。
## 選擇您的工具
您可以使用、 AWS 管理主控台 AWS CLI 或 eksctl 建立 Argo CD 功能:
+ [使用主控台建立 Argo CD 功能](argocd-create-console.md) - 使用 主控台進行引導式體驗
+ [使用 CLI 建立 Argo CD AWS 功能](argocd-create-cli.md) - 使用 AWS CLI 進行指令碼編寫和自動化
+ [使用 eksctl 建立 Argo CD 功能](argocd-create-eksctl.md) - 使用 eksctl 進行 Kubernetes 原生體驗
## 當您建立 Argo CD 功能時會發生什麼情況
當您建立 Argo CD 功能時:
1. EKS 在 AWS 控制平面中建立 Argo CD 功能服務
1. 您的叢集中已安裝自訂資源定義 (CRDs)
1. 會自動為您的 IAM 功能角色建立存取項目,其中包含授予基準 Kubernetes 許可的特定功能存取項目政策 (請參閱 [EKS 功能的安全考量](capabilities-security.md))
1. Argo CD 開始觀看其自訂資源 (應用程式、ApplicationSets、AppProjects)
1. 功能狀態從 變更為 `CREATING` `ACTIVE`
1. Argo CD UI 可透過其 URL 存取
啟用後,您可以在叢集中建立 Argo CD 應用程式,以從宣告性來源部署。
**注意**
自動建立的存取項目不會授予將應用程式部署到叢集的許可。若要部署應用程式,您必須為每個目標叢集設定額外的 Kubernetes RBAC 許可。[註冊目標叢集](argocd-register-clusters.md) 如需註冊叢集和設定存取的詳細資訊,請參閱 。
## 後續步驟
建立 Argo CD 功能之後:
+ [Argo CD 概念](argocd-concepts.md) - 了解 GitOps 原則、同步政策和多叢集模式
+ [使用 Argo CD](working-with-argocd.md) - 設定儲存庫存取、註冊目標叢集和建立應用程式
+ [Argo CD 考量事項](argocd-considerations.md) - 探索多叢集架構模式和進階組態
# 使用主控台建立 Argo CD 功能
本主題說明如何使用 建立 Argo CD 功能 AWS 管理主控台。
## 先決條件
+ ** AWS 已設定 Identity Center** – Argo CD 需要 AWS Identity Center 進行身分驗證。不支援本機使用者。如果您沒有設定 AWS Identity Center,請參閱 [AWS Identity Center 入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)以建立 Identity Center 執行個體,以及[新增使用者](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)和[新增群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)以建立使用者和群組以進行 Argo CD 存取。
## 建立 Argo CD 功能
1. 在以下網址開啟 Amazon EKS 主控台:https://console.aws.amazon.com/eks/home\$1/clusters。
1. 選取您的叢集名稱以開啟叢集詳細資訊頁面。
1. 選擇**功能**索引標籤。
1. 在左側導覽中,選擇 **Argo CD**。
1. 選擇**建立 Argo CD 功能**。
1. 對於 **IAM 功能角色**:
+ 如果您已經有 IAM 功能角色,請從下拉式清單中選取它
+ 如果您需要建立角色,請選擇**建立 Argo CD 角色**
這會在新標籤中開啟 IAM 主控台,其中包含預先填入的信任政策和 Secrets Manager 的完整讀取存取權。預設不會新增其他許可,但您可以視需要新增許可。如果您計劃使用 CodeCommit 儲存庫或其他 AWS 服務,請在建立角色之前新增適當的許可。
建立角色後,返回 EKS 主控台並自動選取角色。
**注意**
如果您計劃使用與 AWS Secrets Manager 或 AWS CodeConnections 的選用整合,您將需要將許可新增至角色。如需 IAM 政策範例和組態指引,請參閱 [使用 AWS Secrets Manager 管理應用程式秘密](integration-secrets-manager.md)和 [使用 AWS CodeConnections 連線至 Git 儲存庫](integration-codeconnections.md)。
1. 設定 AWS Identity Center 整合:
1. 選取**啟用 AWS Identity Center 整合**。
1. 從下拉式清單中選擇您的 Identity Center 執行個體。
1. 透過將使用者或群組指派給 Argo CD 角色 (ADMIN、EDITOR 或 VIEWER) 來設定 RBAC 的角色映射
1. 選擇**建立**。
功能建立程序開始。
## 驗證功能是否處於作用中狀態
1. 在**功能**索引標籤上,檢視 Argo CD 功能狀態。
1. 等待狀態從 變更為 `CREATING` `ACTIVE`。
1. 啟用後,此功能即可使用。
如需功能狀態和故障診斷的資訊,請參閱 [使用 功能資源](working-with-capabilities.md)。
## 存取 Argo CD UI
啟用此功能後,您可以存取 Argo CD UI:
1. 在 Argo CD 功能頁面上,選擇**開啟 Argo CD UI**。
1. Argo CD UI 會在新的瀏覽器索引標籤中開啟。
1. 您現在可以透過 UI 建立應用程式和管理部署。
## 後續步驟
+ [使用 Argo CD](working-with-argocd.md) - 設定儲存庫、註冊叢集和建立應用程式
+ [Argo CD 考量事項](argocd-considerations.md) - 多叢集架構和進階組態
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 Argo CD 功能資源
# 使用 CLI 建立 Argo CD AWS 功能
本主題說明如何使用 CLI 建立 Argo CD AWS 功能。
## 先決條件
+ ** AWS CLI** – 版本 `2.12.3` 或更新版本。若要檢查您的版本,請執行 `aws --version`。如需詳細資訊,請參閱《 AWS 命令列界面使用者指南》中的[安裝](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)。
+ ** `kubectl` **:命令列工具,適用於使用 Kubernetes 叢集。如需詳細資訊,請參閱[設定 `kubectl` 和 `eksctl`](install-kubectl.md)。
+ ** AWS 已設定 Identity Center** – Argo CD 需要 AWS Identity Center 進行身分驗證。不支援本機使用者。如果您沒有設定 AWS Identity Center,請參閱 [AWS Identity Center 入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)以建立 Identity Center 執行個體,以及[新增使用者](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)和[新增群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)以建立使用者和群組以進行 Argo CD 存取。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > argocd-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ArgoCDCapabilityRole \
--assume-role-policy-document file://argocd-trust-policy.json
```
**注意**
如果您計劃使用與 AWS Secrets Manager 或 AWS CodeConnections 的選用整合,您將需要將許可新增至角色。如需 IAM 政策範例和組態指引,請參閱 [使用 AWS Secrets Manager 管理應用程式秘密](integration-secrets-manager.md)和 [使用 AWS CodeConnections 連線至 Git 儲存庫](integration-codeconnections.md)。
## 步驟 2:建立 Argo CD 功能
在叢集上建立 Argo CD 功能資源。
首先,為您的 Identity Center 組態設定環境變數:
```
# Get your Identity Center instance ARN (replace region if your IDC instance is in a different region)
export IDC_INSTANCE_ARN=$(aws sso-admin list-instances --region [.replaceable]`region` --query 'Instances[0].InstanceArn' --output text)
# Get a user ID for RBAC mapping (replace with your username and region if needed)
export IDC_USER_ID=$(aws identitystore list-users \
--region [.replaceable]`region` \
--identity-store-id $(aws sso-admin list-instances --region [.replaceable]`region` --query 'Instances[0].IdentityStoreId' --output text) \
--query 'Users[?UserName==`your-username`].UserId' --output text)
echo "IDC_INSTANCE_ARN=$IDC_INSTANCE_ARN"
echo "IDC_USER_ID=$IDC_USER_ID"
```
使用 Identity Center 整合建立 功能。將 *region-code* 取代為您叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱,並將 *idc-region-code* 取代為您設定 IAM Identity Center 的區域代碼:
```
aws eks create-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd \
--type ARGOCD \
--role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ArgoCDCapabilityRole \
--delete-propagation-policy RETAIN \
--configuration '{
"argoCd": {
"awsIdc": {
"idcInstanceArn": "'$IDC_INSTANCE_ARN'",
"idcRegion": "'[.replaceable]`idc-region-code`'"
},
"rbacRoleMappings": [{
"role": "ADMIN",
"identities": [{
"id": "'$IDC_USER_ID'",
"type": "SSO_USER"
}]
}]
}
}'
```
命令會立即傳回,但當 EKS 建立所需的功能基礎設施和元件時,功能需要一些時間才會變成作用中。EKS 會在建立叢集時,在叢集中安裝與此功能相關的 Kubernetes 自訂資源定義。
**注意**
如果您收到叢集不存在或您沒有許可的錯誤,請驗證:
叢集名稱正確
您的 AWS CLI 已針對正確的區域設定
您擁有必要的 IAM 許可
## 步驟 3:確認功能處於作用中狀態
等待 功能變成作用中。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd \
--query 'capability.status' \
--output text
```
當狀態顯示 時,此功能已就緒`ACTIVE`。在狀態為 之前,請勿繼續下一個步驟`ACTIVE`。
您也可以檢視完整的功能詳細資訊:
```
aws eks describe-capability \
--region region-code \
--cluster-name my-cluster \
--capability-name my-argocd
```
## 步驟 4:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 Argo CD 自訂資源:
```
kubectl api-resources | grep argoproj.io
```
您應該會看到列出的 `ApplicationSet` `Application`和資源類型。
## 後續步驟
+ [使用 Argo CD](working-with-argocd.md) - 設定儲存庫、註冊叢集和建立應用程式
+ [Argo CD 考量事項](argocd-considerations.md) - 多叢集架構和進階組態
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 Argo CD 功能資源
# 使用 eksctl 建立 Argo CD 功能
本主題說明如何使用 eksctl 建立 Argo CD 功能。
**注意**
下列步驟需要 eksctl 版本 `0.220.0` 或更新版本。若要檢查您的版本,請執行 `eksctl version`。
## 步驟 1:建立 IAM 功能角色
建立信任政策檔案:
```
cat > argocd-trust-policy.json << 'EOF'
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "capabilities.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
EOF
```
建立 IAM 角色:
```
aws iam create-role \
--role-name ArgoCDCapabilityRole \
--assume-role-policy-document file://argocd-trust-policy.json
```
**注意**
對於此基本設定,不需要額外的 IAM 政策。如果您打算將 Secrets Manager 用於儲存庫登入資料或 CodeConnections,則需要將許可新增至角色。如需 IAM 政策範例和組態指引,請參閱 [使用 AWS Secrets Manager 管理應用程式秘密](integration-secrets-manager.md)和 [使用 AWS CodeConnections 連線至 Git 儲存庫](integration-codeconnections.md)。
## 步驟 2:取得 AWS Identity Center 組態
取得 RBAC 組態的 Identity Center 執行個體 ARN 和使用者 ID:
```
# Get your Identity Center instance ARN
aws sso-admin list-instances --query 'Instances[0].InstanceArn' --output text
# Get a user ID for admin access (replace 'your-username' with your Identity Center username)
aws identitystore list-users \
--identity-store-id $(aws sso-admin list-instances --query 'Instances[0].IdentityStoreId' --output text) \
--query 'Users[?UserName==`your-username`].UserId' --output text
```
請注意這些值 - 您將在下一個步驟中使用這些值。
## 步驟 3:建立 eksctl 組態檔案
建立名為 `argocd-capability.yaml` 且具有下列內容的檔案。將預留位置值取代為您叢集的名稱、叢集的區域、IAM 角色 ARN、Identity Center 執行個體 ARN、Identity Center 區域和使用者 ID:
```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
name: my-cluster
region: cluster-region-code
capabilities:
- name: my-argocd
type: ARGOCD
roleArn: arn:aws:iam::[.replaceable]111122223333:role/ArgoCDCapabilityRole
deletePropagationPolicy: RETAIN
configuration:
argocd:
awsIdc:
idcInstanceArn: arn:aws:sso:::instance/ssoins-123abc
idcRegion: idc-region-code
rbacRoleMappings:
- role: ADMIN
identities:
- id: 38414300-1041-708a-01af-5422d6091e34
type: SSO_USER
```
**注意**
您可以將多個使用者或群組新增至 RBAC 映射。對於群組,請使用 `type: SSO_GROUP`並提供群組 ID。可用的角色為 `ADMIN`、 `EDITOR`和 `VIEWER`。
## 步驟 4:建立 Argo CD 功能
套用組態檔案:
```
eksctl create capability -f argocd-capability.yaml
```
命令會立即傳回,但 功能需要一些時間才會變成作用中。
## 步驟 5:確認功能已啟用
檢查功能狀態。將 *region-code* 取代為您的叢集所在的 AWS 區域,並將 *my-cluster* 取代為您的叢集名稱。
```
eksctl get capability \
--region region-code \
--cluster my-cluster \
--name my-argocd
```
當狀態顯示 時,此功能已就緒`ACTIVE`。
## 步驟 6:確認可用的自訂資源
功能處於作用中狀態後,請確認叢集中是否有可用的 Argo CD 自訂資源:
```
kubectl api-resources | grep argoproj.io
```
您應該會看到列出的 `ApplicationSet` `Application`和資源類型。
## 後續步驟
+ [使用 Argo CD](working-with-argocd.md) - 了解如何建立和管理 Argo CD 應用程式
+ [Argo CD 考量事項](argocd-considerations.md) - 設定 SSO 和多叢集存取
+ [使用 功能資源](working-with-capabilities.md) - 管理您的 Argo CD 功能資源
# Argo CD 概念
Argo CD 透過將 Git 視為應用程式部署的單一事實來源來實作 GitOps。本主題會逐步解說實際範例,然後說明使用 Argo CD 的 EKS 功能時,您需要了解的核心概念。
## Argo CD 入門
建立 Argo CD 功能後 (請參閱 [建立 Argo CD 功能](create-argocd-capability.md)),您可以開始部署應用程式。此範例會逐步解說註冊叢集和建立應用程式。
### 步驟 1:設定
**註冊您的叢集** (必要)
註冊您要部署應用程式的叢集。在此範例中,我們將註冊執行 Argo CD 的相同叢集 (您可以使用 名稱`in-cluster`來與大多數 Argo CD 範例相容):
```
# Get your cluster ARN
CLUSTER_ARN=$(aws eks describe-cluster \
--name my-cluster \
--query 'cluster.arn' \
--output text)
# Register the cluster using Argo CD CLI
argocd cluster add $CLUSTER_ARN \
--aws-cluster-name $CLUSTER_ARN \
--name in-cluster \
--project default
```
**注意**
如需設定 Argo CD CLI 以在 EKS 中使用 Argo CD 功能的詳細資訊,請參閱 [搭配 受管功能使用 Argo CD CLI](argocd-comparison.md#argocd-cli-configuration)。
或者,使用 Kubernetes Secret 註冊叢集 (如需詳細資訊[註冊目標叢集](argocd-register-clusters.md),請參閱 )。
**設定儲存庫存取** (選用)
此範例使用公有 GitHub 儲存庫,因此不需要儲存庫組態。對於私有儲存庫,請使用 AWS Secrets Manager、CodeConnections 或 Kubernetes Secrets 設定存取權 (如需詳細資訊[設定儲存庫存取](argocd-configure-repositories.md),請參閱 )。
對於 AWS 服務 (ECR for Helm Charts、CodeConnections 和 CodeCommit),您可以直接在應用程式資源中參考它們,而無需建立儲存庫。功能角色必須具有必要的 IAM 許可。如需詳細資訊,請參閱 [設定儲存庫存取](argocd-configure-repositories.md)。
### 步驟 2:建立應用程式
在 中建立此應用程式資訊清單`my-app.yaml`:
```
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: guestbook
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/argoproj/argocd-example-apps.git
targetRevision: HEAD
path: guestbook
destination:
name: in-cluster
namespace: guestbook
syncPolicy:
automated:
prune: true
selfHeal: true
syncOptions:
- CreateNamespace=true
```
套用應用程式:
```
kubectl apply -f my-app.yaml
```
套用此應用程式後,Argo CD:1。將應用程式從 Git 同步到您的叢集 (初始部署) 2. 監控 Git 儲存庫的變更 3。自動同步叢集 4 的後續變更。偵測並修正來自所需狀態 5 的任何偏離。在 UI 中提供運作狀態和同步歷史記錄
檢視應用程式狀態:
```
kubectl get application guestbook -n argocd
```
您也可以使用 Argo CD CLI 或 Argo CD UI (可從叢集功能索引標籤下的 EKS 主控台存取) 檢視應用程式。
**注意**
搭配 受管功能使用 Argo CD CLI 時,請指定命名空間字首為 的應用程式`argocd app get argocd/guestbook`。
**注意**
在 中使用叢集名稱 `destination.name`(您在註冊叢集時使用的名稱)。受管功能不支援本機叢集內預設值 (`kubernetes.default.svc`)。
## 核心概念
### GitOps 原則和來源類型
Argo CD 實作 GitOps,其中您的應用程式來源是部署的單一事實來源:
+ **宣告** - 使用 YAML 資訊清單、Helm Chart 或 Kustomize 浮水印宣告所需狀態
+ **已版本化** - 使用完整的稽核線索追蹤每個變更
+ **自動化** - Argo CD 會持續監控來源並自動同步變更
+ **自我修復** - 偵測並修正所需叢集狀態與實際叢集狀態之間的偏離
**支援的來源類型**:
+ **Git 儲存庫** - GitHub、GitLab、Bitbucket、CodeCommit (HTTPS、SSH 或 CodeConnections)
+ **Helm 登錄檔** - HTTP 登錄檔 (如 `https://aws.github.io/eks-charts`) 和 OCI 登錄檔 (如 `public.ecr.aws`)
+ **OCI 影像** - 包含資訊清單或 Helm Chart 的容器影像 (例如 `oci://registry-1.docker.io/user/my-app`)
這種靈活性可讓組織選擇符合其安全和合規要求的來源。例如,限制從叢集存取 Git 的組織可以使用 Helm Chart 或 OCI 映像的 ECR。
如需詳細資訊,請參閱 Argo CD 文件中的[應用程式來源](https://argo-cd.readthedocs.io/en/stable/user-guide/application-sources/)。
### 同步和調校
Argo CD 會持續監控您的來源和叢集,以偵測和修正差異:
1. 輪詢來源以進行變更 (預設:每 6 分鐘)
1. 比較所需狀態與叢集狀態
1. 將應用程式標記為 `Synced`或 `OutOfSync`
1. 自動同步變更 (如果已設定) 或等待手動核准
1. 同步後監控資源運作狀態
使用註釋**同步波浪**控制資源建立順序:
```
metadata:
annotations:
argocd.argoproj.io/sync-wave: "0" # Default if not specified
```
資源會依波動順序套用 (數字越小,包括負數,例如 `-1`)。如果未指定 Wave`0`,則預設為 Wave。這可讓您在部署 (wave `-1`) 之前建立相依性,例如 命名空間 (wave ),再部署 (wave `0`) 服務 (wave `1`)。
**自我修復**會自動還原手動變更:
```
spec:
syncPolicy:
automated:
selfHeal: true
```
**注意**
受管功能使用註釋型資源追蹤 (非標籤型),以便與 Kubernetes 慣例和其他工具更相容。
如需同步階段、勾點和進階模式的詳細資訊,請參閱 [Argo CD 同步文件](https://argo-cd.readthedocs.io/en/stable/user-guide/sync-waves/)。
### 應用程式運作狀態
Argo CD 會監控應用程式中所有資源的運作狀態:
**運作狀態**:\$1 **正常運作** - 所有資源如預期執行 \$1 **進行中** - 正在建立或更新的資源 \$1 **降級** - 部分資源運作狀態不佳 (Pod 當機、任務失敗) \$1 **已暫停** - 應用程式刻意暫停 \$1 **遺失** - Git 中定義的資源不存在於叢集中
Argo CD 具有常見 Kubernetes 資源 (部署、StatefulSets、任務等) 的內建運作狀態檢查,並支援 CRDs的自訂運作狀態檢查。
應用程式運作狀態由其所有資源決定 - 如果任何資源為 `Degraded`,則應用程式為 `Degraded`。
如需詳細資訊,請參閱 Argo CD 文件中的[資源運作](https://argo-cd.readthedocs.io/en/stable/operator-manual/health/)狀態。
### 多叢集模式
Argo CD 支援兩種主要部署模式:
**Hub-and-spoke** - 在部署到多個工作負載叢集的專用管理叢集上執行 Argo CD: \$1 集中控制和可見性 \$1 跨所有叢集的一致政策 \$1 一個要管理的 Argo CD 執行個體 \$1 控制平面和工作負載之間的明確分離
**每個叢集** - 在每個叢集上執行 Argo CD,僅管理該叢集的應用程式:\$1 叢集分離 (一個故障不會影響其他故障) \$1 簡化聯網 (無跨叢集通訊) \$1 更輕鬆地初始設定 (無叢集註冊)
為管理許多叢集的平台團隊選擇hub-and-spoke,或為獨立團隊選擇每個叢集,或當叢集必須完全隔離時。
如需多叢集組態的詳細資訊,請參閱 [Argo CD 考量事項](argocd-considerations.md)。
### 專案
專案提供應用程式的邏輯分組和存取控制:
+ **來源限制** - 限制哪些 Git 儲存庫可以使用
+ **目的地限制** - 限制哪些叢集和命名空間可以成為目標
+ **資源限制** - 限制可以部署哪些 Kubernetes 資源類型
+ **RBAC 整合** - 將專案映射至 AWS Identity Center 使用者和群組 IDs
應用程式屬於單一專案。如果未指定,他們會使用 `default`專案,該專案預設沒有限制。針對生產用途,請編輯`default`專案以限制存取,並建立具有適當限制的新專案。
如需專案組態和 RBAC 模式,請參閱 [設定 Argo CD 許可](argocd-permissions.md)。
### 同步選項
使用常用選項微調同步行為:
+ `CreateNamespace=true` - 自動建立目的地命名空間
+ `ServerSideApply=true` - 使用伺服器端套用以獲得更好的衝突解決
+ `SkipDryRunOnMissingResource=true` - 當 CRDs尚不存在時略過試轉 (適用於 kro 執行個體)
```
spec:
syncPolicy:
syncOptions:
- CreateNamespace=true
- ServerSideApply=true
- SkipDryRunOnMissingResource=true
```
如需同步選項的完整清單,請參閱 [Argo CD 同步選項文件](https://argo-cd.readthedocs.io/en/stable/user-guide/sync-options/)。
## 後續步驟
+ [設定儲存庫存取](argocd-configure-repositories.md) - 設定 Git 儲存庫存取
+ [註冊目標叢集](argocd-register-clusters.md) - 註冊目標叢集以進行部署
+ [建立應用程式](argocd-create-application.md) - 建立您的第一個應用程式
+ [Argo CD 考量事項](argocd-considerations.md) - EKS 特定模式、Identity Center 整合和多叢集組態
+ [Argo CD 文件](https://argo-cd.readthedocs.io/en/stable/) - 完整的 Argo CD 文件,包括同步勾點、運作狀態檢查和進階模式
# 設定 Argo CD 許可
Argo CD 受管功能與 AWS Identity Center 整合以進行身分驗證,並使用內建的 RBAC 角色進行授權。本主題說明如何設定使用者和團隊的許可。
## 許可如何使用 Argo CD
Argo CD 功能使用 AWS Identity Center 進行身分驗證,並提供三個內建 RBAC 角色進行授權。
當使用者存取 Argo CD 時:
1. 他們使用 AWS Identity Center 進行身分驗證 (可聯合到您的公司身分提供者)
1. AWS Identity Center 提供使用者和群組資訊給 Argo CD
1. Argo CD 會根據您的組態,將使用者和群組映射至 RBAC 角色
1. 使用者只會看到他們有權存取的應用程式和資源
## 內建 RBAC 角色
Argo CD 功能提供三個您映射到 AWS Identity Center 使用者和群組的內建角色。這些是**全球範圍的角色**,可控制對 Argo CD 資源的存取,例如專案、叢集和儲存庫。
**重要**
全域角色控制對 Argo CD 本身的存取,而不是對應用程式等專案範圍的資源的存取。EDITOR 和 VIEWER 使用者預設無法查看或管理應用程式,他們需要專案角色來存取專案範圍的資源。[專案角色和專案範圍存取](#project-roles) 如需授予應用程式和其他專案範圍資源存取權的詳細資訊,請參閱 。
**ADMIN**
完整存取所有 Argo CD 資源和設定:
+ 在任何專案中建立、更新和刪除應用程式和 ApplicationSets
+ 管理 Argo CD 組態
+ 註冊和管理部署目標叢集
+ 設定儲存庫存取
+ 建立和管理專案
+ 檢視所有應用程式狀態和歷史記錄
+ 列出和存取所有叢集和儲存庫
**EDITOR**
可以更新專案並設定專案角色,但無法變更全域 Argo CD 設定:
+ 更新現有專案 (無法建立或刪除專案)
+ 設定專案角色和許可
+ 檢視 GPG 金鑰和憑證
+ 無法變更全域 Argo CD 組態
+ 無法直接管理叢集或儲存庫
+ 無法查看或管理沒有專案角色的應用程式
**檢視程式**
對 Argo CD 資源的唯讀存取權:
+ 檢視專案組態
+ 列出所有專案 (包括未指派給使用者的專案)
+ 檢視 GPG 金鑰和憑證
+ 無法列出叢集或儲存庫
+ 無法進行任何變更
+ 無法查看或管理沒有專案角色的應用程式
**注意**
若要授予 EDITOR 或 VIEWER 使用者對應用程式的存取權,ADMIN 或 EDITOR 必須建立專案角色,將 Identity Center 群組映射至專案中的特定許可。
## 專案角色和專案範圍存取
全域角色 (ADMIN、EDITOR、VIEWER) 控制對 Argo CD 本身的存取。專案角色控制對特定專案中資源和功能的存取,包括:
+ **資源**:應用程式、ApplicationSets、儲存庫登入資料、叢集登入資料
+ **功能**:日誌存取、執行應用程式 Pod 的存取
**了解兩層許可模型**:
+ **全域範圍**:內建角色決定使用者可以對專案、叢集、儲存庫和 Argo CD 設定執行的操作
+ **專案範圍**:專案角色決定使用者可以對特定專案中的資源和功能執行的動作
這表示:
+ ADMIN 使用者可以存取所有專案資源和功能,無需額外的組態
+ 必須授予 EDITOR 和 VIEWER 使用者存取專案資源和功能的專案角色
+ EDITOR 使用者可以建立專案角色,授予自己和其他人可以更新的專案存取權
**工作流程範例**:
1. ADMIN 會將 Identity Center 群組映射至全域 EDITOR 角色
1. ADMIN 會為團隊建立專案
1. EDITOR 會設定該專案內的專案角色,以授予團隊成員對專案範圍資源的存取權
1. 團隊成員 (可能有 VIEWER 全球角色) 現在可以根據其專案角色許可查看和管理該專案中的應用程式
如需設定專案角色的詳細資訊,請參閱 [專案型存取控制](#_project_based_access_control)。
## 設定角色映射
在建立或更新功能時,將 AWS Identity Center 使用者和群組映射至 Argo CD 角色。
**範例角色映射**:
```
{
"rbacRoleMapping": {
"ADMIN": ["AdminGroup", "alice@example.com"],
"EDITOR": ["DeveloperGroup", "DevOpsTeam"],
"VIEWER": ["ReadOnlyGroup", "bob@example.com"]
}
}
```
**注意**
角色名稱區分大小寫,且必須為大寫 (ADMIN、EDITOR、VIEWER)。
**重要**
EKS 功能與 AWS Identity Center 整合支援每個 Argo CD 功能最多 1,000 個身分。身分可以是使用者或群組。
**更新角色映射**:
```
aws eks update-capability \
--region us-east-1 \
--cluster-name cluster \
--capability-name capname \
--endpoint "https://eks.ap-northeast-2.amazonaws.com" \
--role-arn "arn:aws:iam::[.replaceable]111122223333:role/[.replaceable]`EKSCapabilityRole`" \
--configuration '{
"argoCd": {
"rbacRoleMappings": {
"addOrUpdateRoleMappings": [
{
"role": "ADMIN",
"identities": [
{ "id": "686103e0-f051-7068-b225-e6392b959d9e", "type": "SSO_USER" }
]
}
]
}
}
}'
```
## 管理員帳戶用量
管理員帳戶專為初始設定和管理任務而設計,例如註冊叢集和設定儲存庫。
**當管理員帳戶適當時**:
+ 初始功能設定和組態
+ Solo 開發或快速示範
+ 管理任務 (叢集註冊、儲存庫組態、專案建立)
**管理員帳戶的最佳實務**:
+ 不要將帳戶字符遞交至版本控制
+ 如果權杖公開,請立即輪換權杖
+ 將帳戶字符用量限制為設定和管理任務
+ 設定短過期時間 (最長 12 小時)
+ 任何指定時間只能建立 5 個帳戶字符
**改用專案型存取的時機**:
+ 與多個使用者共用開發環境
+ 任何類似生產的環境
+ 當您需要執行動作之人員的稽核線索時
+ 當您需要強制執行資源限制或存取界限時
對於生產環境和多使用者案例,請使用專案型存取控制搭配映射至 AWS Identity Center 群組的專用 RBAC 角色。
## 專案型存取控制
使用 Argo CD Projects (AppProject) 為團隊提供精細的存取控制和資源隔離。
**重要**
將使用者或群組指派給專案特定角色之前,您必須先在功能組態中將這些角色映射至全域 Argo CD 角色 (ADMIN、EDITOR 或 VIEWER)。使用者在沒有全域角色映射的情況下無法存取 Argo CD,即使他們已指派給專案角色。
考慮將使用者映射到全域 VIEWER 角色,然後透過專案特定角色授予其他許可。這可提供基準存取,同時允許在專案層級進行精細控制。
專案提供:
+ **來源限制**:限制哪些 Git 儲存庫可以使用
+ **目的地限制**:限制哪些叢集和命名空間可以成為目標
+ **資源限制**:限制可以部署哪些 Kubernetes 資源類型
+ **RBAC 整合**:將專案映射至 AWS Identity Center 群組或 Argo CD 角色
**團隊隔離的範例專案**:
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a
namespace: argocd
spec:
description: Team A applications
# Required: Specify which namespaces this project watches for Applications
sourceNamespaces:
- argocd
# Source restrictions
sourceRepos:
- https://github.com/myorg/team-a-apps
# Destination restrictions
destinations:
- namespace: team-a-*
server: arn:aws:eks:us-west-2:111122223333:cluster/production
# Resource restrictions
clusterResourceWhitelist:
- group: ''
kind: Namespace
namespaceResourceWhitelist:
- group: 'apps'
kind: Deployment
- group: ''
kind: Service
- group: ''
kind: ConfigMap
```
### 來源命名空間
使用 EKS Argo CD 功能時,AppProject 定義中需要 `spec.sourceNamespaces` 欄位。此欄位指定哪些命名空間可以包含參考此專案的應用程式或 ApplicationSets。
**重要**
EKS Argo CD 功能僅支援應用程式和 ApplicationSets 的單一命名空間 - 您在建立功能時指定的命名空間 (通常是 `argocd`)。這與支援多個命名空間的開放原始碼 Argo CD 不同。
**AppProject 組態**
所有 AppProjects 都必須在 中包含 功能的已設定命名空間`sourceNamespaces`:
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a-project
namespace: argocd
spec:
description: Applications for Team A
# Required: Specify the capability's configured namespace (configuration.argoCd.namespace)
sourceNamespaces:
- argocd # Must match your capability's namespace configuration
# Source repositories this project can deploy from
sourceRepos:
- 'https://github.com/my-org/team-a-*'
# Destination restrictions
destinations:
- namespace: 'team-a-*'
server: arn:aws:eks:us-west-2:111122223333:cluster/my-cluster
```
**注意**
如果您從 省略 功能的命名空間`sourceNamespaces`,則該命名空間中的應用程式或 ApplicationSets 無法參考此專案,導致部署失敗。
**將使用者指派給專案**:
專案角色授予 EDITOR 和 VIEWER 使用者對專案資源 (應用程式、ApplicationSets、儲存庫和叢集登入資料) 和 功能 (日誌、Exec) 的存取權。如果沒有專案角色,這些使用者就無法存取這些資源,即使他們具有全域角色存取權。
ADMIN 使用者可以存取所有應用程式,而不需要專案角色。
**範例:將應用程式存取權授予團隊成員**
```
apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
name: team-a
namespace: argocd
spec:
# ... project configuration ...
sourceNamespaces:
- argocd
# Project roles grant Application-level access
roles:
- name: developer
description: Team A developers - can manage Applications
policies:
- p, proj:team-a:developer, applications, *, team-a/*, allow
- p, proj:team-a:developer, clusters, get, *, allow # See cluster names in UI
groups:
- 686103e0-f051-7068-b225-e6392b959d9e # Identity Center group ID
- name: viewer
description: Team A viewers - read-only Application access
policies:
- p, proj:team-a:viewer, applications, get, team-a/*, allow
- p, proj:team-a:viewer, clusters, get, *, allow # See cluster names in UI
groups:
- 786203e0-f051-7068-b225-e6392b959d9f # Identity Center group ID
```
**注意**
包含在專案角色`clusters, get, *, allow`中,以允許使用者在 UI 中查看叢集名稱。如果沒有此許可,目的地叢集會顯示為「未知」。
**了解專案角色政策**:
政策格式為: `p, proj::, , ,