Siapkan Agen Identitas EKS Pod Amazon - Amazon EKS
PertimbanganMembuat Agen Identitas Amazon EKS Pod

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan Agen Identitas EKS Pod Amazon

Asosiasi Amazon EKS Pod Identity menyediakan kemampuan untuk mengelola kredensional untuk aplikasi Anda, mirip dengan cara profil EC2 instans Amazon memberikan kredensional ke instans Amazon. EC2

Amazon EKS Pod Identity menyediakan kredensi ke beban kerja Anda dengan EKSAuth tambahan API dan pod agen yang berjalan di setiap node.

Pertimbangan

  • Secara default, EKS Pod Identity Agent mendengarkan sebuah IPv4 dan IPv6 alamat untuk Pod untuk meminta kredensialnya. Agen menggunakan alamat IP loopback (localhost) 169.254.170.23 untuk IPv4 dan alamat IP localhost untuk. [fd00:ec2::23] IPv6

  • Jika Anda menonaktifkan IPv6 alamat, atau mencegah alamat IPv6 IP localhost, agen tidak dapat memulai. Untuk memulai agen pada node yang tidak dapat digunakanIPv6, ikuti langkah-langkah Nonaktifkan IPv6 di Agen Identitas EKS Pod untuk menonaktifkan IPv6 konfigurasi.

Membuat Agen Identitas Amazon EKS Pod

Prasyarat agen

  • EKSCluster Amazon yang ada. Untuk menyebarkan satu, lihatMemulai dengan Amazon EKS. Versi cluster dan versi platform harus sama atau lebih lambat dari versi yang tercantum dalam versi cluster EKSVersi cluster Pod Identity EKS Pod Identity.

  • Peran node memiliki izin bagi agen untuk melakukan AssumeRoleForPodIdentity tindakan di EKS AuthAPI. Anda dapat menggunakan kebijakan AWS kebijakan terkelola: A mazonEKSWorker NodePolicy AWS terkelola: A mazonEKSWorker NodePolicy atau menambahkan kebijakan khusus yang serupa dengan berikut ini:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Tindakan ini dapat dibatasi oleh tag untuk membatasi peran mana yang dapat diasumsikan oleh pod yang menggunakan agen.

  • Node dapat menjangkau dan mengunduh gambar dari AmazonECR. Gambar kontainer untuk add-on ada di pendaftar yang tercantum di Lihat pendaftar gambar kontainer Lihat pendaftar gambar kontainer Amazon untuk add-on Amazon EKS Amazon untuk add-on Amazon. EKS

    Perhatikan bahwa Anda dapat mengubah lokasi gambar dan imagePullSecrets menyediakan EKS add-on di pengaturan konfigurasi Opsional di AWS Management Console, dan di --configuration-values AWS CLI dalam.

  • Node dapat mencapai Amazon EKS AuthAPI. Untuk cluster pribadi, eks-auth titik akhir di AWS PrivateLink diperlukan.

Agen penyiapan dengan AWS konsol

  1. Buka EKSkonsol Amazon.

  2. Di panel navigasi kiri, pilih Clusters, lalu pilih nama cluster yang ingin Anda konfigurasikan add-on EKS Pod Identity Agent.

  3. Pilih tab Add-ons.

  4. Pilih Get more add-ons

  5. Pilih kotak di kanan atas kotak add-on untuk EKS Pod Identity Agent dan kemudian pilih Next.

  6. Pada halaman Konfigurasi pengaturan add-on yang dipilih, pilih versi apa pun di daftar dropdown Versi.

  7. (Opsional) Perluas pengaturan konfigurasi opsional untuk memasukkan konfigurasi tambahan. Misalnya, Anda dapat memberikan lokasi gambar kontainer alternatif danImagePullSecrets. Bagian JSON Schema dengan kunci yang diterima ditampilkan dalam skema konfigurasi Add-on.

    Masukkan tombol konfigurasi dan nilai dalam nilai Konfigurasi.

  8. Pilih Berikutnya.

  9. Konfirmasikan bahwa EKS pod Pod Identity Agent berjalan di klaster Anda.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Contoh output adalah sebagai berikut.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Anda sekarang dapat menggunakan asosiasi EKS Pod Identity di klaster Anda. Untuk informasi selengkapnya, lihat Menetapkan IAM peran untuk Kubernetes akun layanan.

Agen penyiapan dengan AWS CLI

  1. Jalankan AWS CLI perintah berikut. Ganti my-cluster dengan nama klaster Anda.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    catatan

    Agen Identitas EKS Pod tidak menggunakan IAMperan service-account-role-arn for untuk akun layanan. Anda harus memberikan izin kepada Agen Identitas EKS Pod dalam peran node.

  2. Konfirmasikan bahwa EKS pod Pod Identity Agent berjalan di klaster Anda.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Contoh output adalah sebagai berikut.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Anda sekarang dapat menggunakan asosiasi EKS Pod Identity di klaster Anda. Untuk informasi selengkapnya, lihat Menetapkan IAM peran untuk Kubernetes akun layanan.