Memverifikasi prasyarat - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memverifikasi prasyarat

Sebelum Anda menginstal Container Insights di Amazon EKS atau Kubernetes, verifikasi yang berikut ini. Prasyarat ini berlaku apakah Anda menggunakan CloudWatch agen atau AWS Distro untuk menyiapkan Wawasan Kontainer di OpenTelemetry klaster Amazon. EKS

  • Anda memiliki klaster Amazon EKS atau Kubernetes fungsional dengan node yang terpasang di salah satu Region yang mendukung Container Insights untuk Amazon EKS dan Kubernetes. Untuk melihat daftar Wilayah yang didukung, silakan lihat Wawasan Kontainer.

  • Anda memiliki kubectl yang terinstal dan berjalan. Untuk informasi selengkapnya, lihat Menginstal kubectl di Panduan EKS Pengguna Amazon.

  • Jika Anda menggunakan Kubernetes yang berjalan di AWS alih-alih menggunakan AmazonEKS, prasyarat berikut juga diperlukan:

    • Pastikan klaster Kubernetes Anda telah mengaktifkan kontrol akses berbasis peran (). RBAC Untuk informasi selengkapnya, lihat Menggunakan RBAC Otorisasi di Referensi Kubernetes.

    • Kubelet Anda telah mengaktifkan mode otorisasi Webhook. Untuk informasi selengkapnya, silakan lihat Otentikasi/otorisasi Kubelet dalam Referensi Kubernetes.

Anda juga harus memberikan IAM izin untuk mengaktifkan node EKS pekerja Amazon Anda untuk mengirim metrik dan log ke. CloudWatch Ada dua cara untuk melakukan hal ini:

  • Lampirkan kebijakan ke IAM peran node pekerja Anda. Ini berfungsi untuk EKS cluster Amazon dan cluster Kubernetes lainnya.

  • Gunakan IAM peran untuk akun layanan untuk klaster, dan lampirkan kebijakan ke peran ini. Ini hanya berfungsi untuk EKS cluster Amazon.

Opsi pertama memberikan izin CloudWatch untuk seluruh node, sementara menggunakan IAM peran untuk akun layanan hanya memberikan CloudWatch akses ke pod daemonset yang sesuai.

Melampirkan kebijakan ke IAM peran node pekerja Anda

Ikuti langkah-langkah berikut untuk melampirkan kebijakan ke IAM peran node pekerja Anda. Ini berfungsi untuk EKS cluster Amazon dan cluster Kubernetes di luar Amazon. EKS

Untuk melampirkan kebijakan yang diperlukan ke IAM peran node pekerja Anda

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pilih salah satu instance node pekerja dan pilih IAM peran dalam deskripsi.

  3. Pada halaman IAM peran, pilih Lampirkan kebijakan.

  4. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, Anda bisa menggunakan kotak pencarian untuk menemukan kebijakan ini.

  5. Pilih Lampirkan kebijakan.

Jika Anda menjalankan klaster Kubernetes di luar AmazonEKS, Anda mungkin belum memiliki IAM peran yang melekat pada node pekerja Anda. Jika tidak, Anda harus terlebih dahulu melampirkan IAM peran ke instance dan kemudian menambahkan kebijakan seperti yang dijelaskan pada langkah sebelumnya. Untuk informasi selengkapnya tentang melampirkan peran ke instance, lihat Melampirkan IAM Peran ke Instance di EC2Panduan Pengguna Amazon.

Jika Anda menjalankan klaster Kubernetes di luar Amazon EKS dan ingin mengumpulkan EBS volume IDs dalam metrik, Anda harus menambahkan kebijakan lain ke IAM peran yang dilampirkan pada instance. Tambahkan hal berikut sebagai kebijakan selaras. Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus IAM Izin Identitas di Panduan IAM Pengguna.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Menggunakan peran akun IAM layanan

Metode ini hanya berfungsi pada EKS cluster Amazon.

Untuk memberikan izin untuk CloudWatch menggunakan peran akun IAM layanan

  1. Jika Anda belum melakukannya, aktifkan IAM peran untuk akun layanan di klaster Anda. Untuk informasi selengkapnya, lihat Mengaktifkan IAM peran untuk akun layanan di klaster Anda.

  2. Jika Anda belum melakukannya, konfigurasikan akun layanan untuk menggunakan IAM peran. Untuk informasi selengkapnya, lihat Mengonfigurasi akun layanan Kubernetes untuk mengambil peran. IAM

    Saat Anda membuat peran, lampirkan CloudWatchAgentServerPolicyIAMkebijakan ke peran selain kebijakan yang Anda buat untuk peran tersebut. Selain itu, Akun Layanan Kubernetes terkait yang ditautkan ke peran ini harus dibuat di amazon-cloudwatch namespace, di mana daemonset CloudWatch dan Fluent Bit akan diterapkan pada langkah-langkah mendatang

  3. Jika Anda belum melakukannya, kaitkan IAM peran dengan akun layanan di klaster Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi akun layanan Kubernetes untuk mengambil peran. IAM