選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

設定 Amazon EKS Pod Identity Agent

PDF
RSS
焦點模式
設定 Amazon EKS Pod Identity Agent - Amazon EKS
考量事項建立 Amazon EKS Pod 身分識別代理程式

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的 GitHub 上的編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的 GitHub 上的編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EKS Pod 身分識別關聯提供管理應用程式憑證的功能,類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。

Amazon EKS Pod 身分識別透過其他 EKS 驗證 API 和在每個節點上執行的代理程式 Pod,為您的工作負載提供憑證。

提示

您不需要在 EKS Auto Mode 叢集上安裝 EKS Pod Identity Agent。此功能內建於 EKS Auto 模式。

考量事項

  • 根據預設,EKS Pod Identity Agent 會監聽 IPv4IPv6地址,讓 Pod 請求登入資料。代理程式使用 的迴路 (localhost) IP 地址169.254.170.23IPv4[fd00:ec2::23]的 localhost IP 地址IPv6

  • 如果您停用IPv6地址,或防止 localhost IPv6 IP 地址,則代理程式無法啟動。若要在無法使用 的節點上啟動代理程式IPv6,請依照中的步驟在 EKS Pod Identity Agent IPv6中停用停用IPv6組態。

建立 Amazon EKS Pod 身分識別代理程式

代理程式先決條件

  • 現有 Amazon EKS 叢集。若要部署叢集,請參閱 開始使用 Amazon EKS。叢集版本和平台版本必須與 EKS Pod Identity 叢集版本中列出的版本相同或更新版本。

  • 節點角色具有代理程式在 EKS 驗證 API 中執行 AssumeRoleForPodIdentity 動作的許可。您可以使用 AWS 受管政策:AmazonEKSWorkerNodePolicy 或新增類似以下的自訂政策:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    此動作可能會受到標籤的限制,以限制使用代理程式的 Pod 可以擔任哪些角色。

  • 這些節點可以從 Amazon ECR 連上和下載映像。附加元件的容器映像位於檢視 Amazon EKS 附加元件的 Amazon 容器映像登錄檔中列出的登錄檔中。

    請注意,您可以在 的選用組態設定中變更映像位置並提供 imagePullSecrets EKS 附加元件 AWS Management Console,並在 CLI 的 AWS --configuration-values中提供。

  • 這些節點可以連上 Amazon EKS 驗證 API。對於私有叢集,eks-auth端點 in AWS PrivateLink 是必要的。

使用 AWS 主控台設定代理程式

  1. 開啟 Amazon EKS 主控台

  2. 在左側導覽窗格中,選取叢集,然後選取您要為其設定 EKS Pod 身分識別代理程式附加元件之叢集的名稱。

  3. 選擇附加元件索引標籤。

  4. 選擇取得更多附加元件

  5. 選取 EKS Pod 身分識別代理程式之附加元件方塊右上方的方塊,然後選擇下一步

  6. 設定選取的附加元件設定頁面上,選取版本下拉式清單中的任何版本。

  7. (選用) 展開選用組態設定以輸入其他組態。例如,您可以提供替代容器映像位置和 ImagePullSecrets。包含已接受金鑰的 JSON 結構描述會顯示在附加元件組態結構描述中。

    組態值中輸入組態金鑰和值。

  8. 選擇 Next (下一步)

  9. 確認 EKS Pod 身分識別代理程式 Pod 正在您的叢集上執行。

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    範例輸出如下。

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    您現在可以在叢集中使用 EKS Pod 身分識別關聯。如需詳細資訊,請參閱將 IAM 角色指派給 Kubernetes 服務帳戶

使用 CLI AWS 設定代理程式

  1. 執行下列 AWS CLI 命令。使用您叢集的名稱取代 my-cluster

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    注意

    EKS Pod Identity Agent 不會service-account-role-arn針對服務帳戶的 IAM 角色使用 。您必須為 EKS Pod 身分識別代理程式提供節點角色的許可。

  2. 確認 EKS Pod 身分識別代理程式 Pod 正在您的叢集上執行。

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    範例輸出如下。

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    您現在可以在叢集中使用 EKS Pod 身分識別關聯。如需詳細資訊,請參閱將 IAM 角色指派給 Kubernetes 服務帳戶

在本頁面

下一個主題:

指派 IAM 角色

上一個主題:

運作方式

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。