Richten Sie den Amazon EKS Pod Identity Agent ein - Amazon EKS
ÜberlegungenAdd-on vom Typ Amazon EKS erstellenAktualisieren des Amazon-EKS-Add-onsKonfiguration des Agenten

Helfen Sie mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie den Amazon EKS Pod Identity Agent ein

Amazon-EKS-Pod-Identity-Zuordnungen bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen.

Amazon EKS Pod Identity bietet Anmeldeinformationen für Ihre Workloads mit einer zusätzlichen EKS-Auth-API und einem Agent-Pod, der auf jedem Knoten ausgeführt wird.

Überlegungen

  • IPv6

    Standardmäßig überwacht der EKS Pod Identity Agent eine IPv4 IPv6 AND-Adresse für Pods, um Anmeldeinformationen anzufordern. Der Agent verwendet die Loopback-IP-Adresse (localhost) 169.254.170.23 für IPv4 und die Localhost-IP-Adresse für. [fd00:ec2::23] IPv6

    Wenn Sie IPv6 Adressen deaktivieren oder auf andere Weise IPv6 Localhost-IP-Adressen verhindern, kann der Agent nicht gestartet werden. Um den Agenten auf Knoten zu starten, die nicht verwendet werden könnenIPv6, folgen Sie den Schritten unter IPv6Im EKS Pod Identity Agent deaktivieren So deaktivieren Sie die IPv6 Konfiguration.

Erstellen des Amazon EKS Pod Identity Agent

Voraussetzungen für den Agent

  • Ein vorhandener Amazon-EKS-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS. Die Cluster- und Plattformversion müssen den unter Cluster-Versionen von EKS Pod Identity aufgeführten Versionen entsprechen oder neuer sein.

  • Die Knotenrolle verfügt über Berechtigungen für den Agent, um die AssumeRoleForPodIdentity-Aktion in der EKS-Auth-API auszuführen. Sie können AWS verwaltete Richtlinie: AmazonEKS WorkerNodePolicy verwenden oder eine benutzerdefinierten Richtlinie ähnlich dem Folgenden hinzufügen:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Diese Aktion kann durch Tags beschränkt werden, um einzuschränken, welche Rollen von Pods übernommen werden können, die den Agent verwenden.

  • Die Knoten können auf Amazon ECR zugreifen und Images von Amazon ECR herunterladen. Das Container-Image für das Add-on befindet sich in den Registrierungen, die unter Registrierungen für Amazon-Container-Images aufgeführt sind.

    Beachten Sie, dass Sie den Speicherort des Images ändern und EKS-Add-Ons in den AWS Management Console optionalen Konfigurationseinstellungen in und --configuration-values in der angeben imagePullSecrets können AWS CLI.

  • Die Knoten können die Amazon-EKS-Auth-API erreichen. Für private Cluster ist der eks-auth Endpunkt-In AWS PrivateLink erforderlich.

AWS Management Console

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie im linken Navigationsbereich Cluster aus. Wählen Sie anschließend den Namen des Clusters aus, für den Sie das Add-on „EKS Pod Identity Agent“ konfigurieren möchten.

  3. Wählen Sie die Registerkarte Add-ons.

  4. Wählen Sie Weitere Add-Ons erhalten.

  5. Wählen Sie das Kästchen oben rechts im Add-on-Bereich für EKS Pod Identity Agent aus und gehen Sie dann auf Bearbeiten.

  6. Wählen Sie auf der Seite Konfigurieren ausgewählter Add-on-Einstellungen eine beliebige Version in der Dropdown-Liste Version aus.

  7. (Optional) Erweitern Sie Optionale Konfigurationseinstellungen, um eine zusätzliche Konfiguration einzugeben. Sie können beispielsweise einen alternativen Speicherort für das Container-Image und ImagePullSecrets angeben. Das JSON Schema mit den akzeptierten Schlüsseln wird im Add-on-Konfigurationsschema angezeigt.

    Geben Sie die Konfigurationsschlüssel und Werte in das Feld Konfigurationswerte ein

  8. Wählen Sie Weiter aus.

  9. Vergewissern Sie sich, dass die EKS-Pod-Identity-Pods auf Ihrem Cluster ausgeführt werden.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Eine Beispielausgabe sieht wie folgt aus.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Sie können jetzt EKS-Pod-Identity-Zuordnungen in Ihrem Cluster verwenden. Weitere Informationen finden Sie unter Konfigurieren Sie ein Kubernetes Dienstkonto, um eine IAM-Rolle mit EKS Pod Identity anzunehmen.

AWS CLI

  1. Führen Sie den folgenden AWS CLI Befehl aus. Ersetzen Sie my-cluster mit dem Namen Ihres Clusters.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    Anmerkung

    Der EKS Pod Identity Agent verwendet den service-account-role-arn nicht für IAM-Rollen für Servicekonten. Sie müssen dem EKS Pod Identity Agent Berechtigungen für die Knotenrolle gewähren.

  2. Vergewissern Sie sich, dass die EKS-Pod-Identity-Pods auf Ihrem Cluster ausgeführt werden.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Eine Beispielausgabe sieht wie folgt aus.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Sie können jetzt EKS-Pod-Identity-Zuordnungen in Ihrem Cluster verwenden. Weitere Informationen finden Sie unter Konfigurieren Sie ein Kubernetes Dienstkonto, um eine IAM-Rolle mit EKS Pod Identity anzunehmen.

Aktualisieren des Amazon EKS Pod Identity Agent

Erstellen Sie das Add-on vom Typ Amazon EKS. Wenn Sie den Amazon-EKS-Typ des Add-ons nicht zu Ihrem Cluster hinzugefügt haben, siehe Erstellen des Amazon EKS Pod Identity Agent.

AWS Management Console

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie im linken Navigationsbereich Cluster aus. Wählen Sie anschließend den Namen des Clusters aus, für den Sie das Add-on „EKS Pod Identity Agent“ konfigurieren möchten.

  3. Wählen Sie die Registerkarte Add-ons.

  4. Wenn eine neue Version des Add-ons verfügbar ist, verfügt der EKS Pod Identity Agent über die Schaltfläche Version aktualisieren. Wählen Sie Version aktualisieren aus.

  5. Wählen Sie auf der Seite Amazon EKS Pod Identity Agent konfigurieren die neue Version in der Dropdown-Liste Version aus.

  6. Wählen Sie Änderungen speichern aus.

    Es kann einige Sekunden dauern, bis das Update abgeschlossen ist. Stellen Sie anschließend sicher, dass die Add-on-Version aktualisiert wurde, indem Sie den Status überprüfen.

AWS CLI

  1. Sehen Sie, welche Version des Container-Images derzeit auf Ihrem Cluster installiert ist. Ersetzen Sie my-cluster mit Ihrem Clusternamen.

    aws eks describe-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --query "addon.addonVersion" --output text

    Eine Beispielausgabe sieht wie folgt aus.

    v1.0.0-eksbuild.1

    Sie müssen das Add-on erstellen, bevor Sie es mit diesem Verfahren aktualisieren können.

  2. Aktualisieren Sie Ihr Add-on mit der AWS CLI. Informationen dazu, wie Sie mit AWS Management Console oder eksctl das Add-on aktualisieren, finden Sie unter Aktualisieren eines Add-Ons. Kopieren Sie den folgenden Befehl auf Ihr Gerät. Nehmen Sie bei Bedarf die folgenden Änderungen am Befehl vor, und führen Sie dann den geänderten Befehl aus.

    • Ersetzen Sie my-cluster mit dem Namen Ihres Clusters.

    • Ersetzen Sie v1.0.0-eksbuild.1 durch die gewünschte Version.

    • Ersetzen Sie 111122223333 durch Ihre Konto-ID.

    • Führen Sie den folgenden Befehl aus:

      aws eks update-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1'

      Es kann einige Sekunden dauern, bis das Update abgeschlossen ist.

  3. Vergewissern Sie sich, dass die Add-on-Version aktualisiert wurde. Ersetzen Sie my-cluster mit dem Namen Ihres Clusters.

    aws eks describe-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent

    Es kann einige Sekunden dauern, bis das Update abgeschlossen ist.

    Eine Beispielausgabe sieht wie folgt aus.

    {
    "addon": {
        "addonName": "eks-pod-identity-agent",
        "clusterName": "my-cluster",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:region:111122223333:addon/my-cluster/eks-pod-identity-agent/74c33d2f-b4dc-8718-56e7-9fdfa65d14a9",
        "createdAt": "2023-04-12T18:25:19.319000+00:00",
        "modifiedAt": "2023-04-12T18:40:28.683000+00:00",
        "tags": {}
    }
}

Konfiguration des EKS Pod Identity Agent

IPv6Im EKS Pod Identity Agent deaktivieren

AWS Management Console
Deaktivieren Sie IPv6 im AWS Management Console

  1. Fügen Sie zur Deaktivierung IPv6 im EKS Pod Identity Agent die folgende Konfiguration zu den optionalen Konfigurationseinstellungen des EKS Add-ons hinzu.

    1. Öffnen Sie die Amazon-EKS-Konsole unterhttps://console.aws.amazon.com/eks/home#/clusters.

    2. Wählen Sie im linken Navigationsbereich Clusters (Cluster) aus. Wählen Sie anschließend den Namen des Clusters aus, für den Sie das Add-On konfigurieren möchten.

    3. Wählen Sie die Registerkarte Add-ons.

    4. Wählen Sie das Feld oben rechts im EKS Pod Identity Agent-Add-On-Feld aus und wählen Sie dann Bearbeiten.

    5. Gehen Sie auf der Seite EKS Pod Identity Agent konfigurieren wie folgt vor:

      1. Wählen Sie die Version aus, die Sie verwenden möchten. Wir empfehlen, dieselbe Version wie im vorherigen Schritt beizubehalten und die Version und Konfiguration in separaten Aktionen zu aktualisieren.

      2. Erweitern Sie Optionale Konfigurationseinstellungen.

      3. Geben Sie den JSON-Schlüssel "agent": und den JSON-Wert eines verschachtelten JSON-Objekts mit einem Schlüssel "additionalArgs": im Feld Konfigurationswerte ein. Der resultierende Text muss ein gültiges JSON-Objekt sein. Wenn dieser Schlüssel und dieser Wert die einzigen Daten im Textfeld sind, setzen Sie den Schlüssel und den Wert in geschweifte Klammern {}. Das folgende Beispiel zeigt, dass die Netzwerkrichtlinie aktiviert ist:

        {
    "agent": {
        "additionalArgs": {
            "-b": "169.254.170.23"
        }
    }
}

        Diese Konfiguration legt fest, dass die IPv4 Adresse die einzige Adresse ist, die vom Agenten verwendet wird.

    6. Um die neue Konfiguration anzuwenden, indem die EKS Pod Identity Agent-Pods ersetzt werden, wählen Sie Änderungen speichern.

      Amazon EKS wendet Änderungen an den EKS-Add-Ons mithilfe eines Rollouts des Kubernetes DaemonSet for EKS Pod Identity Agent an. Sie können den Status des Rollouts im Update-Verlauf des Add-ons in AWS Management Console und mit verfolgen. kubectl rollout status daemonset/eks-pod-identity-agent --namespace kube-system

      kubectl rollouthat die folgenden Befehle:

      $ kubectl rollout
                            
history  -- View rollout history
pause    -- Mark the provided resource as paused
restart  -- Restart a resource
resume   -- Resume a paused resource
status   -- Show the status of the rollout
undo     -- Undo a previous rollout

      Wenn der Rollout zu lange dauert, macht Amazon EKS den Rollout rückgängig und eine Meldung mit dem Typ Addon-Update und dem Status Fehlgeschlagen wird zum Update-Verlauf des Add-ons hinzugefügt. Um Probleme zu untersuchen, beginnen Sie mit dem Verlauf des Rollouts und führen Sie ihn kubectl logs auf einem EKS Pod Identity Agent-Pod aus, um die Protokolle von EKS Pod Identity Agent einzusehen.

  2. Wenn der neue Eintrag im Update-Verlauf den Status Erfolgreich hat, ist der Rollout abgeschlossen und das Add-on verwendet die neue Konfiguration in allen EKS Pod Identity Agent-Pods.

AWS CLI
Deaktivieren Sie IPv6 im AWS CLI

  • Fügen Sie zur Deaktivierung IPv6 im EKS Pod Identity Agent die folgende Konfiguration zu den Konfigurationswerten des EKS Add-ons hinzu.

    Führen Sie den folgenden AWS CLI Befehl aus. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und den IAM-Rollen-ARN durch die Rolle, die Sie verwenden.

    aws eks update-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent \
    --resolve-conflicts PRESERVE --configuration-values '{"agent":{"additionalArgs": { "-b": "169.254.170.23"}}}'

    Diese Konfiguration legt fest, dass die IPv4 Adresse die einzige Adresse ist, die vom Agenten verwendet wird.

    Amazon EKS wendet Änderungen an den EKS-Add-Ons mithilfe eines Rollouts des Kubernetes DaemonSet for EKS Pod Identity Agent an. Sie können den Status des Rollouts im Update-Verlauf des Add-ons in AWS Management Console und mit verfolgen. kubectl rollout status daemonset/eks-pod-identity-agent --namespace kube-system

    kubectl rollouthat die folgenden Befehle:

    kubectl rollout
                            
history  -- View rollout history
pause    -- Mark the provided resource as paused
restart  -- Restart a resource
resume   -- Resume a paused resource
status   -- Show the status of the rollout
undo     -- Undo a previous rollout

    Wenn der Rollout zu lange dauert, macht Amazon EKS den Rollout rückgängig und eine Meldung mit dem Typ Addon-Update und dem Status Fehlgeschlagen wird zum Update-Verlauf des Add-ons hinzugefügt. Um Probleme zu untersuchen, beginnen Sie mit dem Verlauf des Rollouts und führen Sie ihn kubectl logs auf einem EKS Pod Identity Agent-Pod aus, um die Protokolle von EKS Pod Identity Agent einzusehen.