Verifica dei prerequisiti di

Prima di installare Container Insights su Amazon EKS o Kubernetes, verifica quanto segue. Questi prerequisiti si applicano indipendentemente dal fatto che tu stia utilizzando l' CloudWatch agente o AWS Distro OpenTelemetry per configurare Container Insights sui cluster Amazon EKS.

Disponi di un cluster Amazon EKS o Kubernetes funzionale con nodi collegati in una delle regioni che supporta Container Insights per Amazon EKS e Kubernetes. Per l'elenco delle regioni supportate, consulta Container Insights.
Disponi di kubectl installato e in esecuzione. Per ulteriori informazioni, consulta la pagina relativa all'installazione di kubectl nella Guida per l'utente di Amazon EKS.
Se utilizzi Kubernetes in esecuzione AWS anziché Amazon EKS, sono necessari anche i seguenti prerequisiti:
- Assicurati che il cluster Kubernetes abbia abilitato il controllo degli accessi basato su ruoli (RBAC). Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di riferimento di Kubernetes.
- Il kubelet ha abilitato la modalità di autorizzazione Webhook. Per ulteriori informazioni, consulta Autenticazione/autorizzazione Kubelet nella documentazione di riferimento di Kubernetes.

È inoltre necessario concedere le autorizzazioni IAM per consentire ai nodi di lavoro Amazon EKS di inviare parametri e log. CloudWatch Ci sono due modi per effettuare questa operazione:

Collega una policy al ruolo IAM dei nodi di lavoro. Questo metodo funziona sia per i cluster Amazon EKS che per altri cluster Kubernetes.
Utilizza un ruolo IAM per gli account di servizio per il cluster e collega la policy a questo ruolo. Questo metodo funziona solo per i cluster Amazon EKS.

La prima opzione concede le autorizzazioni CloudWatch per l'intero nodo, mentre l'utilizzo di un ruolo IAM per l'account di servizio consente di CloudWatch accedere solo ai pod daemonset appropriati.

Collegamento di una policy al ruolo IAM dei nodi di lavoro

Attieniti alla seguente procedura per collegare la policy al ruolo IAM dei nodi di lavoro. Questa procedura funziona sia per i cluster Amazon EKS che per i cluster Kubernetes esterni ad Amazon EKS.

Per collegare la policy necessaria al ruolo IAM per i nodi worker

Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Seleziona una delle istanze dei nodi worker e scegli il ruolo IAM nella descrizione.
Nella pagina del ruolo IAM, scegli Attach policies (Collega policy).
Nell'elenco delle politiche, seleziona la casella di controllo accanto a. CloudWatchAgentServerPolicy Se necessario, utilizzare la casella di ricerca per trovare questa policy.
Scegli Collega policy.

Se stai eseguendo un cluster Kubernetes all'esterno di Amazon EKS, è possibile che tu non disponga già di un ruolo IAM associato ai nodi worker. In questo caso, occorre innanzitutto collegare un ruolo IAM all'istanza e quindi aggiungere la policy come illustrato nelle fasi precedenti. Per ulteriori informazioni sull'associazione di un ruolo a un'istanza, consulta Attaching an IAM Role to an Instance nella Amazon EC2 User Guide.

Se stai eseguendo un cluster Kubernetes all'esterno di Amazon EKS e desideri raccogliere ID volume EBS nei parametri, devi aggiungere un'altra policy al ruolo IAM collegato all'istanza. Aggiungi quanto segue come una policy inline. Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Utilizzo di un ruolo dell'account del servizio IAM

Questo metodo funziona solo nei cluster Amazon EKS.

Per concedere l'autorizzazione all' CloudWatch utilizzo di un ruolo di account di servizio IAM

Se non l'hai già fatto, abilita i ruoli IAM per gli account del servizio nel cluster. Per ulteriori informazioni, consulta Abilitazione dei ruoli IAM per gli account di servizio nel cluster.
Se non l'hai già fatto, configura l'account del servizio per utilizzare il ruolo IAM. Per ulteriori informazioni, consulta la pagina Configurazione di un account di servizio Kubernetes per assumere un ruolo IAM.

Quando crei il ruolo, collega la policy CloudWatchAgentServerPolicyIAM al ruolo oltre alla policy che crei per il ruolo. Inoltre, l'account di servizio Kubernetes associato collegato a questo ruolo deve essere creato nello spazio dei amazon-cloudwatch nomi, dove i daemonset CloudWatch e Fluent Bit verranno distribuiti nei passaggi successivi
In caso contrario, collega il ruolo IAM a un account del servizio nel cluster. Per ulteriori informazioni, consulta la pagina Configurazione di un account di servizio Kubernetes per assumere un ruolo IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione di Container Insights su Amazon EKS e Kubernetes

CloudWatch Utilizzo dell'agente con l'osservabilità avanzata di Container Insights abilitata