Verificación de los requisitos previos de

Antes de instalar Información de contenedores en Amazon EKS o Kubernetes, verifique lo siguiente: Estos prerrequisitos se aplican tanto si utiliza el agente de CloudWatch como AWS Distro para OpenTelemetry a fin de configurar Información de contenedores en clústeres de Amazon EKS.

Cuenta con un clúster funcional de Amazon EKS o de Kubernetes con nodos asociados en una de las Regiones que admite Información de contenedores para Amazon EKS y Kubernetes. Para obtener las lista de las regiones admitidas, consulte Información de contenedores.
Tiene kubectl instalado y se está ejecutando. Para obtener más información, consulte Installing kubectl en la Guía del usuario de Amazon EKS.
Si utiliza Kubernetes con AWS en lugar de utilizar Amazon EKS, los siguientes prerrequisitos también son necesarios:
- Asegúrese de que el clúster de Kubernetes tiene activado el control de acceso basado en roles (RBAC). Para obtener más información, consulte Using RBAC Authorization en la documentación de Kubernetes.
- El kubelet ha habilitado el modo de autorización de Webhook. Para obtener más información, consulte Kubelet authentication/authorization en la documentación de Kubernetes.

También debe conceder permisos de IAM para permitir que los nodos de trabajo de Amazon EKS envíen métricas y registros a CloudWatch. Hay dos formas de hacer esto:

Adjunte una política al rol de IAM de los nodos de trabajo. Esto funciona tanto para clústeres de Amazon EKS como para otros clústeres de Kubernetes.
Utilice un rol de IAM para las cuentas de servicio para el clúster y adjunte la política a este rol. Esto solo funciona para clústeres de Amazon EKS.

La primera opción concede permisos a CloudWatch para todo el nodo, mientras que el uso de un rol de IAM para la cuenta de servicio da acceso a CloudWatch sólo a los pods adecuados de DaemonSet .

Asociación de una política al rol de IAM de los nodos de trabajo

Siga estos pasos para adjuntar la política al rol de IAM de los nodos de trabajo. Esto funciona tanto para los clústeres de Amazon EKS como para clústeres de Kubernetes fuera de Amazon EKS.

Para adjuntar la política necesaria al rol de IAM de los nodos de trabajo

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
Seleccione una de las instancias de nodo de trabajo y elija el rol de IAM en la descripción.
En la página del rol de IAM, elija Attach policies (Adjuntar políticas).
En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.
Seleccione Asociar políticas.

Si está ejecutando un clúster de Kubernetes fuera de Amazon EKS, es posible que no tenga adjunto un rol de IAM a los nodos de trabajo. En ese caso, primero debe adjuntar un rol de IAM a la instancia y, a continuación, agregar la política tal y como se explica en los pasos anteriores. Para obtener más información sobre cómo se asocia un rol a una instancia, consulte Attaching an IAM Role to an Instance (Adjuntar un rol de IAM a una instancia) en la Guía del usuario de Amazon EC2.

Si ejecuta un clúster de Kubernetes fuera de Amazon EKS y desea que se recopilen las id. de volumen de EBS en las métricas, debe agregar otra política al rol de IAM asociado a la instancia. Añada lo siguiente como política insertada. Para obtener más información consulte Adding and Removing IAM Identity Permissions (Incorporación y eliminación de permisos de identidad de IAM) en la Guía del usuario de IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Uso de un rol de cuenta de servicio de IAM

Este método solo funciona en clústeres de Amazon EKS.

Para conceder permiso a CloudWatch con un rol de cuenta de servicio IAM

Si aún no lo ha hecho, debe habilitar los roles de IAM para las cuentas de servicio en el clúster. Para obtener más información, consulte Habilitación de roles de IAM para cuentas de servicio en el clúster.
Si aún no lo ha hecho, debe configurar la cuenta de servicio para usar un rol de IAM. Para obtener más información, consulte Configuración de una cuenta de servicio de Kubernetes para asumir un rol de IAM.

Cuando cree el rol, adjunte la política de IAM CloudWatchAgentServerPolicy al rol además de la política que cree para el rol. Además, la cuenta de servicio de Kubernetes asociada que está vinculada a este rol debe crearse en el espacio de nombres de amazon-cloudwatch, donde se implementarán los daemonsets CloudWatch y Fluent Bit en los próximos pasos
Si aún no lo ha hecho, debe adjuntar el rol de IAM con una cuenta de servicio en el clúster. Para obtener más información, consulte Configuración de una cuenta de servicio de Kubernetes para asumir un rol de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de Información de contenedores en Amazon EKS y Kubernetes

Uso del agente CloudWatch con observabilidad mejorada de Información de contenedores habilitada