Amazon-EKS-Anschluss - Amazon EKS

Amazon-EKS-Anschluss

Amazon EKS Connector ist eine Vorversion für Amazon EKS und kann sich noch ändern.

Mit dem Amazon EKS Connector können Sie jeden konformen Kubernetes-Cluster registrieren und mit AWS verbinden und in der Amazon EKS-Konsole visualisieren. Sobald die Verbindung hergestellt ist, können Sie den Status, die Konfiguration und die Arbeitslasten Ihres Clusters in der Amazon-EKS-Konsole anzeigen. Amazon EKS zeigt verbundene Cluster in der Amazon-EKS-Konsole nur zur Visualisierung der Workload an und verwaltet sie nicht. Der Amazon EKS Connector verbindet die folgenden Typen von Kubernetes-Clustern mit Amazon EKS.

  • On-Premises-Kubernetes-Cluster

  • Selbstverwaltete Cluster, die auf Amazon EC2 ausgeführt werden

  • Verwaltete Cluster von anderen Cloud-Anbietern

Überlegungen zum Amazon EKS Connector

Beachten Sie Folgendes, wenn Sie Amazon EKS Connector verwenden.

  • Sie müssen über Administratorrechte für den Kubernetes-Cluster verfügen, bevor Sie den Cluster bei Amazon EKS registrieren können.

  • Der Amazon EKS Connector muss auf Linux 64-Bit(x86)-Workerknoten ausgeführt werden. ARM-Workerknoten werden nicht unterstützt.

  • In Ihrem Kubernetes-Cluster müssen Worker-Knoten vorhanden sein, die ausgehenden Zugriff auf die ssm.- und ssmmessages.-Systems Manager-Endpunkte haben. Weitere Informationen finden Sie unter Systems-Manager-Endpunkte im X Allgemeine AWS-Referenz.

  • Sie können bis zu 10 Cluster pro Region verbinden.

  • Für externe Kubernetes-Cluster werden nur die Amazon EKS RegisterCluster-, ListClusters-, DescribeCluster- und DeregisterCluster-APIs unterstützt.

  • Tags werden für verbundene Cluster nicht unterstützt.

Erforderliche IAM-Rollen für Amazon EKS Connector

Die Verwendung des Amazon EKS Connectors erfordert die folgenden 2 IAM-Rollen, die Sie erstellen müssen.

Um die Berechtigung zur Clusteransicht für einen anderen Benutzer zu aktivieren, folgen Sie Gewähren des Zugriffs für einen Benutzer zum Anzeigen eines Clusters.

Erstellen der serviceverknüpften IAM-Rolle für Amazon EKS Connector

Die serviceverknüpfte IAM-Rolle von Amazon EKS Connector ermöglicht Amazon EKS, eine Verbindung zu externen Kubernetes-Clustern herzustellen. Weitere Informationen finden Sie unter Amazon-EKS-Konnektor-Rolle. Sie können die Rolle mit diesem Befehl erstellen:

aws iam create-service-linked-role --aws-service-name eks-connector.amazonaws.com

Erstellen der IAM-Rolle des Amazon-EKS-Connector-Agenten

Die IAM-Rolle für den Amazon-EKS-Connector-Agenten. Sie können die Rolle mit den folgenden Schritten erstellen.

So erstellen Sie die IAM-Rolle des Amazon-EKS-Connector-Agenten

  1. Erstellen Sie eine Datei mit dem Namen eks-connector-agent-trust-policy.json, die die folgende JSON enthält, die für die IAM-Rolle verwendet werden soll.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMAccess", "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  2. Erstellen Sie eine Datei mit dem Namen eks-connector-agent-policy.json, die die folgende JSON enthält, die für die IAM-Rolle verwendet werden soll.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SsmControlChannel", "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel" ], "Resource": "arn:aws:eks:*:*:cluster/*" }, { "Sid": "ssmDataplaneOperations", "Effect": "Allow", "Action": [ "ssmmessages:CreateDataChannel", "ssmmessages:OpenDataChannel", "ssmmessages:OpenControlChannel" ], "Resource": "*" } ] }
  3. Erstellen Sie die Amazon-EKS-Connector-Agentenrolle mithilfe der Vertrauensrichtlinie und Richtlinie, die Sie in den vorherigen Schritten erstellt haben.

    aws iam create-role \ --role-name AmazonEKSConnectorAgentRole \ --assume-role-policy-document file://eks-connector-agent-trust-policy.json
  4. Hängen Sie die Richtlinie an Ihre Amazon-EKS-Connector-Agentenrolle an.

    aws iam put-role-policy \ --role-name AmazonEKSConnectorAgentRole \ --policy-name AmazonEKSConnectorAgentPolicy \ --policy-document file://eks-connector-agent-policy.json