Memverifikasi prasyarat untuk Wawasan Kontainer di CloudWatch - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memverifikasi prasyarat untuk Wawasan Kontainer di CloudWatch

Sebelum Anda melakukan instalasi Wawasan Kontainer di Amazon EKS atau Kubernetes, Anda harus memverifikasi prasyarat-prasyarat berikut: Prasyarat ini berlaku apakah Anda menggunakan CloudWatch agen atau AWS Distro untuk menyiapkan Wawasan Kontainer di OpenTelemetry kluster Amazon EKS.

  • Anda memiliki sebuah klaster fungsional Amazon EKS atau Kubernetes dengan simpul-simpul yang dilampirkan di salah satu Wilayah yang mendukung Wawasan Kontainer untuk Amazon EKS dan Kubernetes. Untuk melihat daftar Wilayah yang didukung, silakan lihat Wawasan Kontainer.

  • Anda memiliki kubectl yang terinstal dan berjalan. Untuk informasi selengkapnya, silakan lihat Menginstal kubectl dalam Panduan Pengguna Amazon EKS.

  • Jika Anda menggunakan Kubernetes berjalan AWS alih-alih menggunakan Amazon EKS, prasyarat berikut juga diperlukan:

    • Anda harus memastikan bahwa klaster Kubernetes Anda telah mengaktifkan kontrol akses berbasis peran (RBAC). Untuk informasi selengkapnya, silakan lihat Menggunakan Otorisasi RBAC dalam Referensi Kubernetes.

    • Kubelet Anda telah mengaktifkan mode otorisasi Webhook. Untuk informasi selengkapnya, silakan lihat Otentikasi/otorisasi Kubelet dalam Referensi Kubernetes.

Anda juga harus memberikan izin IAM untuk mengaktifkan node pekerja Amazon EKS Anda untuk mengirim metrik dan log ke. CloudWatch Ada dua cara untuk melakukan hal ini:

  • Lampirkan sebuah kebijakan ke peran IAM simpul pekerja Anda. Hal ini bisa dilakukan baik untuk klaster Amazon EKS dan klaster Kubernetes lainnya.

  • Gunakan sebuah peran IAM untuk akun-akun layanan klaster, dan lampirkan kebijakan pada peran ini. Ini hanya berfungsi untuk klaster Amazon EKS.

Opsi pertama memberikan izin CloudWatch untuk seluruh node, sementara menggunakan peran IAM untuk akun layanan hanya memberikan CloudWatch akses ke pod daemonset yang sesuai.

Melampirkan sebuah kebijakan ke peran IAM simpul pekerja Anda

Ikuti langkah-langkah ini jika Anda ingin melampirkan kebijakan pada peran IAM simpul pekerja Anda. Hal ini bisa dilakukan untuk klaster Amazon EKS dan klaster Kubernetes di luar Amazon EKS.

Cara melampirkan kebijakan yang diperlukan ke peran IAM untuk simpul pekerja Anda

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pilih salah satu instans simpul pekerja dan pilih peran IAM dalam deskripsi.

  3. Di halaman peran IAM, silakan pilih Lampirkan kebijakan.

  4. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, Anda bisa menggunakan kotak pencarian untuk menemukan kebijakan ini.

  5. Pilih Lampirkan kebijakan.

Jika Anda menjalankan sebuah klaster Kubernetes di luar Amazon EKS, maka Anda mungkin belum memiliki sebuah peran IAM yang dilampirkan pada simpul pekerja Anda. Jika tidak, maka Anda harus terlebih dahulu melampirkan sebuah peran IAM ke instans tersebut dan kemudian menambahkan kebijakan sebagaimana yang dijelaskan dalam langkah sebelumnya. Untuk informasi selengkapnya tentang melampirkan peran ke instance, lihat Melampirkan Peran IAM ke Instance di Panduan Pengguna Amazon EC2 .

Jika Anda menjalankan klaster Kubernetes di luar Amazon EKS dan ingin mengumpulkan volume EBS IDs dalam metrik, Anda harus menambahkan kebijakan lain ke peran IAM yang dilampirkan pada instance. Tambahkan yang berikut sebagai kebijakan inline. Untuk informasi selengkapnya, silakan lihat Menambahkan dan Menghapus Izin Identitas IAM dalam Panduan Pengguna IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Menggunakan sebuah peran akun layanan IAM

Metode ini hanya digunakan pada klaster Amazon EKS.

Untuk memberikan izin untuk CloudWatch menggunakan peran akun layanan IAM

  1. Jika belum, Anda harus mengaktifkan peran IAM untuk akun layanan di klaster Anda. Untuk informasi selengkapnya, silakan lihat Mengaktifkan peran IAM untuk akun layanan di klaster Anda .

  2. Jika belum, Anda harus mengonfigurasi akun layanan tersebut untuk menggunakan sebuah peran IAM. Untuk informasi selengkapnya, silakan lihat Mengonfigurasi sebuah akun layanan Kubernetes untuk mengambil peran IAM.

    Saat Anda membuat peran, lampirkan CloudWatchAgentServerPolicy Kebijakan IAM untuk peran di samping kebijakan yang Anda buat untuk peran tersebut. Selain itu, Akun Layanan Kubernetes terkait yang ditautkan ke peran ini harus dibuat di amazon-cloudwatch namespace, di mana daemonset CloudWatch dan Fluent Bit akan diterapkan pada langkah-langkah mendatang

  3. Jika belum, Anda harus mengaitkan peran IAM dengan sebuah akun layanan di klaster Anda. Untuk informasi selengkapnya, silakan lihat Mengonfigurasi sebuah akun layanan Kubernetes untuk mengambil peran IAM.