Vérifiez les conditions préalables

Avant d'installer Container Insights sur Amazon EKS ou Kubernetes, vérifiez les points suivants. Ces prérequis s'appliquent que vous utilisiez l' CloudWatch agent ou AWS Distro pour OpenTelemetry configurer Container Insights sur les clusters AmazonEKS.

Vous disposez d'un cluster Amazon EKS ou Kubernetes fonctionnel avec des nœuds attachés dans l'une des régions qui prend en charge Container Insights for Amazon EKS et Kubernetes. Pour obtenir la liste des régions prises en charge, consultez Container Insights.
kubectl est installé et en cours d'exécution. Pour plus d'informations, consultez la section Installation kubectl dans le guide de EKS l'utilisateur Amazon.
Si vous utilisez Kubernetes en cours d'exécution au AWS lieu d'AmazonEKS, les conditions préalables suivantes sont également nécessaires :
- Assurez-vous que votre cluster Kubernetes a activé le contrôle d'accès basé sur les rôles (). RBAC Pour plus d'informations, consultez la section Utilisation de l'RBACautorisation dans la référence Kubernetes.
- Votre Kubelet a activé le mode d'autorisation Webhook. Pour plus d'informations, consultez Kubelet authentication/authorization (Authentification/autorisation Kubelet) dans la documentation Reference de Kubernetes.

Vous devez également accorder IAM des autorisations pour permettre à vos nœuds de EKS travail Amazon d'envoyer des métriques et des journaux à CloudWatch. Il existe deux façons de procéder :

Associez une politique au IAM rôle de vos nœuds de travail. Cela fonctionne à la fois pour les EKS clusters Amazon et les autres clusters Kubernetes.
Utilisez un IAM rôle pour les comptes de service du cluster et associez la politique à ce rôle. Cela ne fonctionne que pour les EKS clusters Amazon.

La première option accorde des autorisations CloudWatch pour l'ensemble du nœud, tandis que l'utilisation d'un IAM rôle pour le compte de service donne CloudWatch accès uniquement aux pods daemonset appropriés.

Attacher une politique au IAM rôle de vos nœuds de travail

Suivez ces étapes pour associer la politique au IAM rôle de vos nœuds de travail. Cela fonctionne à la fois pour les EKS clusters Amazon et les clusters Kubernetes en dehors d'Amazon. EKS

Pour associer la politique nécessaire au IAM rôle de vos nœuds de travail

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Sélectionnez l'une des instances du nœud de travail et choisissez le IAM rôle dans la description.
Sur la page du IAM rôle, choisissez Attacher des politiques.
Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver cette politique.
Choisissez Attach Policies (Attacher des politiques).

Si vous utilisez un cluster Kubernetes en dehors d'AmazonEKS, il se peut que vous n'ayez pas encore de IAM rôle associé à vos nœuds de travail. Si ce n'est pas le cas, vous devez d'abord associer un IAM rôle à l'instance, puis ajouter la politique comme expliqué dans les étapes précédentes. Pour plus d'informations sur l'attachement d'un rôle à une instance, consultez Attacher un IAM rôle à une instance dans le guide de EC2 l'utilisateur Amazon.

Si vous utilisez un cluster Kubernetes en dehors d'Amazon EKS et que vous souhaitez collecter EBS du volume IDs dans les métriques, vous devez ajouter une autre politique au IAM rôle attaché à l'instance. Ajoutez les éléments suivants en tant que politique en ligne. Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de IAM l'utilisateur.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Utilisation d'un rôle de compte de service IAM

Cette méthode ne fonctionne que sur les EKS clusters Amazon.

Pour autoriser l' CloudWatch utilisation d'un rôle IAM de compte de service

Si ce n'est pas déjà fait, activez IAM les rôles pour les comptes de service sur votre cluster. Pour plus d'informations, consultez la section Activation IAM des rôles pour les comptes de service sur votre cluster.
Si ce n'est pas déjà fait, configurez le compte de service pour utiliser un IAM rôle. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour qu'il assume un rôle. IAM

Lorsque vous créez le rôle, associez la CloudWatchAgentServerPolicyIAMpolitique au rôle en plus de la stratégie que vous créez pour le rôle. En outre, le compte de service Kubernetes associé associé à ce rôle doit être créé dans l'espace de amazon-cloudwatch noms, où les daemonsets CloudWatch et Fluent Bit seront déployés dans les prochaines étapes
Si ce n'est pas déjà fait, associez le IAM rôle à un compte de service dans votre cluster. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour qu'il assume un rôle. IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration de Container Insights sur Amazon EKS et Kubernetes

Utilisation de l' CloudWatch agent avec l'observabilité améliorée de Container Insights activée