Siapkan Agen Identitas EKS Pod Amazon - Amazon EKS
PertimbanganMembuat EKS add-on Amazon

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan Agen Identitas EKS Pod Amazon

Asosiasi Amazon EKS Pod Identity menyediakan kemampuan untuk mengelola kredensional untuk aplikasi Anda, mirip dengan cara profil EC2 instans Amazon memberikan kredensional ke instans Amazon. EC2

Amazon EKS Pod Identity menyediakan kredensi ke beban kerja Anda dengan EKSAuth tambahan API dan pod agen yang berjalan di setiap node.

Pertimbangan

  • IPv6

    Secara default, EKS Pod Identity Agent mendengarkan sebuah IPv4 dan IPv6 alamat untuk Pod untuk meminta kredensialnya. Agen menggunakan alamat IP loopback (localhost) 169.254.170.23 untuk IPv4 dan alamat IP localhost untuk. [fd00:ec2::23] IPv6

    Jika Anda menonaktifkan IPv6 alamat, atau mencegah alamat IPv6 IP localhost, agen tidak dapat memulai. Untuk memulai agen pada node yang tidak dapat digunakanIPv6, ikuti langkah-langkah Nonaktifkan IPv6 di Agen Identitas EKS Pod untuk menonaktifkan IPv6 konfigurasi.

Membuat Agen Identitas Amazon EKS Pod

Prasyarat agen

  • EKSCluster Amazon yang ada. Untuk menyebarkan satu, lihatMemulai dengan Amazon EKS. Versi cluster dan versi platform harus sama atau lebih lambat dari versi yang tercantum diEKSVersi cluster Pod Identity.

  • Peran node memiliki izin bagi agen untuk melakukan AssumeRoleForPodIdentity tindakan di EKS AuthAPI. Anda dapat menggunakan AWS kebijakan terkelola: AmazonEks WorkerNodePolicy atau menambahkan kebijakan khusus yang serupa dengan berikut ini:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Tindakan ini dapat dibatasi oleh tag untuk membatasi peran mana yang dapat diasumsikan oleh pod yang menggunakan agen.

  • Node dapat menjangkau dan mengunduh gambar dari AmazonECR. Gambar kontainer untuk add-on ada di registri yang tercantum di. Lihat pendaftar gambar kontainer Amazon untuk add-on Amazon EKS

    Perhatikan bahwa Anda dapat mengubah lokasi gambar dan imagePullSecrets menyediakan EKS add-on di pengaturan konfigurasi Opsional di AWS Management Console, dan di --configuration-values AWS CLI dalam.

  • Node dapat mencapai Amazon EKS AuthAPI. Untuk cluster pribadi, eks-auth titik akhir di AWS PrivateLink diperlukan.

AWS Management Console

  1. Buka EKS konsol Amazon di https://console.aws.amazon.com/eks/rumah#/cluster.

  2. Di panel navigasi kiri, pilih Clusters, lalu pilih nama cluster yang ingin Anda konfigurasikan add-on EKS Pod Identity Agent.

  3. Pilih tab Add-ons.

  4. Pilih Get more add-ons

  5. Pilih kotak di kanan atas kotak add-on untuk EKS Pod Identity Agent dan kemudian pilih Next.

  6. Pada halaman Konfigurasi pengaturan add-on yang dipilih, pilih versi apa pun di daftar dropdown Versi.

  7. (Opsional) Perluas pengaturan konfigurasi opsional untuk memasukkan konfigurasi tambahan. Misalnya, Anda dapat memberikan lokasi gambar kontainer alternatif danImagePullSecrets. Kunci JSON Schema dengan diterima ditampilkan dalam skema konfigurasi Add-on.

    Masukkan tombol konfigurasi dan nilai dalam nilai Konfigurasi.

  8. Pilih Berikutnya.

  9. Konfirmasikan bahwa EKS pod Pod Identity Agent berjalan di klaster Anda.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Contoh output adalah sebagai berikut.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Anda sekarang dapat menggunakan asosiasi EKS Pod Identity di klaster Anda. Untuk informasi selengkapnya, lihat Menetapkan IAM peran ke akun Kubernetes layanan.

AWS CLI

  1. Jalankan AWS CLI perintah berikut. Ganti my-cluster dengan nama klaster Anda.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    catatan

    Agen Identitas EKS Pod tidak menggunakan IAMperan service-account-role-arn for untuk akun layanan. Anda harus memberikan izin kepada Agen Identitas EKS Pod dalam peran node.

  2. Konfirmasikan bahwa EKS pod Pod Identity Agent berjalan di klaster Anda.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Contoh output adalah sebagai berikut.

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Anda sekarang dapat menggunakan asosiasi EKS Pod Identity di klaster Anda. Untuk informasi selengkapnya, lihat Menetapkan IAM peran ke akun Kubernetes layanan.