Installa l' CloudWatch agente con il EKS componente aggiuntivo Amazon CloudWatch Observability o il grafico Helm - Amazon CloudWatch
Opzione 1: installazione con IAM autorizzazioni sui nodi di lavoro Opzione 2: installazione utilizzando il ruolo dell'account IAM di servizio (si applica solo all'utilizzo del componente aggiuntivo)(Facoltativo) Configurazione aggiuntivaRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Installa l' CloudWatch agente con il EKS componente aggiuntivo Amazon CloudWatch Observability o il grafico Helm

Puoi utilizzare il EKS componente aggiuntivo Amazon CloudWatch Observability o il grafico Amazon CloudWatch Observability Helm per installare l' CloudWatch agente e l'agente Fluent-bit su un cluster Amazon. EKS Puoi anche utilizzare il grafico Helm per installare l' CloudWatch agente e l'agente Fluent-bit su un cluster Kubernetes che non è ospitato su Amazon. EKS

L'utilizzo di entrambi i metodi su un EKS cluster Amazon abilita sia Container Insights con osservabilità migliorata per Amazon EKS che CloudWatch Application Signals per impostazione predefinita. Entrambe le funzionalità consentono di raccogliere i parametri dell'infrastruttura, la telemetria delle prestazioni delle applicazioni e i log dei container dal cluster.

Con Container Insights con osservabilità migliorata per AmazonEKS, i parametri di Container Insights vengono addebitati per osservazione anziché per metrica archiviata o log importata. Per Application Signals, la fatturazione si basa sulle richieste in entrata alle applicazioni, sulle richieste in uscita dalle applicazioni e su ciascun obiettivo del livello di servizio configurato (). SLO Ogni richiesta in entrata ricevuta e ogni richiesta in uscita effettuata genera un segnale di applicazione. Every SLO crea due segnali applicativi per periodo di misurazione. Per ulteriori informazioni sui CloudWatch prezzi, consulta la pagina CloudWatch dei prezzi di Amazon.

Entrambi i metodi abilitano Container Insights su nodi di lavoro Linux e Windows nel EKS cluster Amazon. Per abilitare Container Insights su Windows, devi utilizzare la versione 1.5.0 o successiva del EKS componente aggiuntivo Amazon o del grafico Helm. Attualmente, Application Signals non è supportato su Windows nei EKS cluster Amazon.

Il EKS componente aggiuntivo Amazon CloudWatch Observability è supportato sui EKS cluster Amazon in esecuzione con Kubernetes versione 1.23 o successiva.

Quando installi il componente aggiuntivo o il grafico Helm, devi inoltre concedere le IAM autorizzazioni per consentire all' CloudWatch agente di inviare metriche, log e tracce a. CloudWatch Ci sono due modi per effettuare questa operazione:

  • Allega una policy al IAM ruolo dei tuoi nodi di lavoro. Questa opzione concede ai nodi di lavoro le autorizzazioni a cui inviare telemetria. CloudWatch

  • Utilizzate un IAM ruolo per gli account di servizio per i pod degli agenti e allegate la policy a questo ruolo. Funziona solo per i EKS cluster Amazon. Questa opzione consente l' CloudWatch accesso solo ai pod degli agenti appropriati.

Opzione 1: installazione con IAM autorizzazioni sui nodi di lavoro

Per utilizzare questo metodo, è necessario innanzitutto collegare la CloudWatchAgentServerPolicyIAMpolicy ai nodi di lavoro immettendo il seguente comando. In questo comando, sostituisci my-worker-node-role con il IAM ruolo utilizzato dai nodi di lavoro Kubernetes.

aws iam attach-role-policy \
--role-name my-worker-node-role \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Quindi installa il EKS componente aggiuntivo Amazon CloudWatch Observability. Per installare il componente aggiuntivo, puoi utilizzare la AWS CLI console o Terraform AWS CloudFormation.

AWS CLI
Per utilizzare il componente aggiuntivo Amazon Observability AWS CLI per installare il componente aggiuntivo Amazon CloudWatch Observability EKS

Inserire il seguente comando. Sostituisci my-cluster-name con il nome del cluster.

aws eks create-addon --addon-name amazon-cloudwatch-observability --cluster-name my-cluster-name
Amazon EKS console
Per utilizzare la EKS console Amazon per aggiungere il componente aggiuntivo Amazon CloudWatch Observability EKS

  1. Apri la EKS console Amazon a https://console.aws.amazon.com/eks/home#/clusters.

  2. Nel pannello di navigazione a sinistra, seleziona Cluster.

  3. Scegli il nome del cluster per cui desideri configurare il EKS componente aggiuntivo Amazon CloudWatch Observability.

  4. Seleziona la scheda Componenti aggiuntivi.

  5. Scegli Ottieni altri componenti aggiuntivi.

  6. Nella pagina Seleziona componenti aggiuntivi, procedi come segue:

    1. Nella sezione Amazon EKS -addons, seleziona la casella di controllo Amazon CloudWatch Observability.

    2. Scegli Next (Successivo).

  7. Nella pagina Configura le impostazioni dei componenti aggiuntivi selezionati, procedi come segue:

    1. Seleziona la Versione che desideri utilizzare.

    2. Per Seleziona IAM ruolo, seleziona Inherit from node

    3. (Facoltativo) È possibile espandere le Impostazioni di configurazione facoltative. Se selezioni Override per il metodo di risoluzione dei conflitti, una o più impostazioni del componente aggiuntivo esistente possono essere sovrascritte con le impostazioni del componente aggiuntivo AmazonEKS. Se rimuovi questa opzione e c'è un conflitto con le impostazioni esistenti, l'operazione non va a buon fine e viene visualizzato un messaggio di errore per aiutarti a risolvere il conflitto. Prima di selezionare questa opzione, assicurati che il EKS componente aggiuntivo Amazon non gestisca le impostazioni che devi gestire automaticamente.

    4. Scegli Next (Successivo).

  8. Nella pagina Rivedi e aggiungi, scegli Crea. Una volta completata l'installazione, viene visualizzato il componente aggiuntivo.

AWS CloudFormation
Da utilizzare AWS CloudFormation per installare il componente aggiuntivo Amazon CloudWatch Observability EKS

Sostituisci my-cluster-name con il nome del cluster. Per ulteriori informazioni, consulta. AWS::EKS::Addon

{
    "Resources": {
        "EKSAddOn": {
            "Type": "AWS::EKS::Addon",
            "Properties": {
                "AddonName": "amazon-cloudwatch-observability",
                "ClusterName": "my-cluster-name"
            }
        }
    }
}
Helm chart
Per utilizzare la tabella amazon-cloudwatch-observability Helm

  1. È necessario che Helm sia installato per utilizzare questo grafico. Per ulteriori informazioni sull'installazione di Helm, consulta la documentazione di Helm.

  2. Dopo aver installato Helm, inserisci i seguenti comandi. Replace (Sostituisci) my-cluster-name con il nome del cluster e sostituisci my-cluster-region con la regione in cui viene eseguito il cluster.

    helm repo add aws-observability https://aws-observability.github.io/helm-charts
helm repo update aws-observability
helm install --wait --create-namespace --namespace amazon-cloudwatch amazon-cloudwatch-observability aws-observability/amazon-cloudwatch-observability --set clusterName=my-cluster-name --set region=my-cluster-region
Terraform
Per utilizzare Terraform per installare il componente aggiuntivo Amazon CloudWatch Observability EKS

Sostituisci my-cluster-name con il nome del cluster. Per ulteriori informazioni, consulta la sezione Risorsa: aws_eks_addon.

resource "aws_eks_addon" "example" {
  addon_name   = "amazon-cloudwatch-observability"
  cluster_name = "my-cluster-name"
}

Opzione 2: installazione utilizzando il ruolo dell'account IAM di servizio (si applica solo all'utilizzo del componente aggiuntivo)

Questo metodo è valido solo se utilizzi il EKS componente aggiuntivo Amazon CloudWatch Observability. Prima di utilizzare questo metodo, verifica di soddisfare i seguenti prerequisiti:

  • Hai un EKS cluster Amazon funzionante con nodi collegati in uno dei quali Regioni AWS supporta Container Insights. Per l'elenco delle regioni supportate, consulta Container Insights.

  • kubectl deve essere installato e configurato per il cluster. Per ulteriori informazioni, consulta Installazione kubectl nella Amazon EKS User Guide.

  • eksctl deve essere installato. Per ulteriori informazioni, consulta Installazione o aggiornamento eksctl nella Amazon EKS User Guide.

Per installare il EKS componente aggiuntivo Amazon CloudWatch Observability utilizzando il ruolo dell'account IAM di servizio

  1. Immettete il seguente comando per creare un provider OpenID Connect (OIDC), se il cluster non ne ha già uno. Per ulteriori informazioni, consulta Configurazione di un account di servizio Kubernetes per assumere un ruolo IAM nella Amazon User Guide. EKS

    eksctl utils associate-iam-oidc-provider --cluster my-cluster-name --approve

  2. Immetti il seguente comando per creare il IAM ruolo con la CloudWatchAgentServerPolicypolicy allegata e configura l'account del servizio agente in modo che assuma quel ruolo utilizzando. OIDC Replace (Sostituisci) my-cluster-name con il nome del cluster e sostituisci my-service-account-role con il nome del ruolo a cui si desidera associare l'account di servizio. Se il ruolo non esiste ancora, eksctl lo crea per tuo conto. 

    eksctl create iamserviceaccount \
  --name cloudwatch-agent \
  --namespace amazon-cloudwatch --cluster my-cluster-name \
  --role-name my-service-account-role \
  --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
  --role-only \
  --approve

  3. Installa il componente aggiuntivo immettendo il seguente comando. Replace (Sostituisci) my-cluster-name con il nome del cluster, sostituisci 111122223333 con l'ID del tuo account e sostituisci my-service-account-role con il IAM ruolo creato nel passaggio precedente.

    aws eks create-addon --addon-name amazon-cloudwatch-observability --cluster-name my-cluster-name --service-account-role-arn arn:aws:iam::111122223333:role/my-service-account-role

(Facoltativo) Configurazione aggiuntiva

Disattiva la raccolta dei registri dei container

Per impostazione predefinita, il componente aggiuntivo utilizza Fluent Bit per raccogliere i log dei contenitori da tutti i pod e quindi invia i log a Logs. CloudWatch Per informazioni su quali log vengono raccolti, consulta la pagina Configurazione di Fluent Bit.

Nota

Né il componente aggiuntivo né il grafico Helm gestiscono le risorse Fluentd o Fluent Bit esistenti in un cluster. È possibile eliminare le risorse Fluentd o Fluent Bit esistenti prima di installare il componente aggiuntivo o il grafico Helm. In alternativa, per mantenere la configurazione esistente ed evitare che il componente aggiuntivo o il diagramma Helm installino anche Fluent Bit, puoi disabilitarla seguendo le istruzioni in questa sezione.

Per disattivare la raccolta dei log dei container se utilizzi il EKS componente aggiuntivo Amazon CloudWatch Observability, utilizza la seguente opzione quando crei o aggiorni il componente aggiuntivo:

--configuration-values '{ "containerLogs": { "enabled": false } }'

Per disattivare la raccolta dei log dei contenitori se utilizzi il grafico Helm, utilizza la seguente opzione quando crei o aggiorni il componente aggiuntivo:

--set containerLogs.enabled=false

Usa una configurazione Fluent Bit personalizzata

A partire dalla versione 1.7.0 del EKS componente aggiuntivo Amazon CloudWatch Observability, puoi modificare la configurazione Fluent Bit quando crei o aggiorni il componente aggiuntivo o il grafico Helm. Fornisci la configurazione Fluent Bit personalizzata nella sezione di livello containerLogs principale della configurazione avanzata del componente aggiuntivo o sostituisci i valori nel grafico Helm. All'interno di questa sezione, si fornisce la configurazione Fluent Bit personalizzata nella config sezione (per Linux) o configWindows nella sezione (per Windows). configÈ ulteriormente suddiviso nelle seguenti sottosezioni:

  • service— Questa sezione rappresenta la SERVICE configurazione per definire il comportamento globale del motore Fluent Bit.

  • customParsers— Questa sezione rappresenta tutti PARSER i messaggi globali che si desidera includere in grado di prendere voci di registro non strutturate e fornire loro una struttura per facilitarne l'elaborazione e l'ulteriore filtraggio.

  • extraFiles— Questa sezione può essere utilizzata per fornire conf file Fluent Bit aggiuntivi da includere. Per impostazione predefinita, sono inclusi i seguenti 3 conf file:.

    • application-log.conf— Un conf file per inviare i log delle applicazioni dal cluster al gruppo di log /aws/containerinsights/my-cluster-name/application in CloudWatch Logs.

    • dataplane-log.conf— Un conf file per inviare i log corrispondenti ai componenti del piano dati del cluster, inclusi i log, i CRI log kubelet, i log kube-proxy e i log Amazon, al gruppo di log in Logs. VPC CNI /aws/containerinsights/my-cluster-name/dataplane CloudWatch

    • host-log.conf— Un conf per inviare i log da e /var/log/secure su Linux e /var/log/dmesg System /var/log/messages su Windows al gruppo di accesso. winlogs /aws/containerinsights/my-cluster-name/host CloudWatch

Nota

Fornisci la configurazione completa per ciascuna di queste singole sezioni anche se stai modificando solo un campo all'interno di una sottosezione. Ti consigliamo di utilizzare la configurazione predefinita fornita di seguito come base e di modificarla di conseguenza in modo da non disabilitare la funzionalità abilitata di default. Puoi utilizzare la seguente YAML configurazione quando modifichi la configurazione avanzata per il EKS componente aggiuntivo Amazon o quando fornisci sostituzioni di valore per il grafico Helm.

Per trovare la config sezione relativa al tuo cluster, consulta aws-observability/helm-charts su GitHub e trova la versione corrispondente alla versione del componente aggiuntivo o del grafico Helm che stai installando. Quindi vai /charts/amazon-cloudwatch-observability/values.yaml a trovare la config sezione (per Linux) e la sezione (per Windows) all'interno configWindows della sezione sottostante. fluentBit containerLogs

Ad esempio, la configurazione predefinita di Fluent Bit per la versione 1.7.0 è disponibile qui.

Ti consigliamo di fornire l'configas YAML quando lo fornisci utilizzando la configurazione avanzata del EKS componente aggiuntivo Amazon o quando lo fornisci come sostituzioni di valore per l'installazione di Helm. Assicurati che sia YAML conforme alla seguente struttura.

containerLogs:
  fluentBit:
    config:
      service: |
        ...
      customParsers: |
        ...
      extraFiles:
        application-log.conf: |
          ...
        dataplane-log.conf: |
          ...
        host-log.conf: |
          ...

L'esempio seguente config modifica l'impostazione globale per l'intervallo di lavaggio in modo che sia di 45 secondi. Anche se l'unica modifica riguarda il Flush campo, è comunque necessario fornire la SERVICE definizione completa per la sottosezione del servizio. Poiché questo esempio non ha specificato le sostituzioni per le altre sottosezioni, per esse vengono utilizzate le impostazioni predefinite.

containerLogs:
  fluentBit:
    config:
      service: |
        [SERVICE]
          Flush                     45
          Grace                     30
          Log_Level                 error
          Daemon                    off
          Parsers_File              parsers.conf
          storage.path              /var/fluent-bit/state/flb-storage/
          storage.sync              normal
          storage.checksum          off
          storage.backlog.mem_limit 5M

La configurazione di esempio seguente include un file Fluent bit aggiuntivo. conf In questo esempio, stiamo aggiungendo un my-service.conf under extraFiles personalizzato che verrà incluso in aggiunta ai tre predefinitiextraFiles.

containerLogs:
  fluentBit:
    config:
      extraFiles:
        my-service.conf: |
          [INPUT]
            Name              tail
            Tag               myservice.*
            Path              /var/log/containers/*myservice*.log
            DB                /var/fluent-bit/state/flb_myservice.db
            Mem_Buf_Limit     5MB
            Skip_Long_Lines   On
            Ignore_Older      1d
            Refresh_Interval  10
          
          [OUTPUT]
            Name                cloudwatch_logs
            Match               myservice.*
            region              ${AWS_REGION}
            log_group_name      /aws/containerinsights/${CLUSTER_NAME}/myservice
            log_stream_prefix   ${HOST_NAME}-
            auto_create_group   true

Il prossimo esempio rimuove completamente un conf file esistente daextraFiles. Ciò lo esclude application-log.conf completamente sovrascrivendolo con una stringa vuota. La semplice omissione application-log.conf da extraFiles implicherebbe invece l'utilizzo del valore predefinito, che non è quello che stiamo cercando di ottenere in questo esempio. Lo stesso vale per la rimozione di qualsiasi conf file personalizzato a cui potresti aver aggiunto in precedenza. extraFiles

containerLogs:
  fluentBit:
    config:
      extraFiles:
        application-log.conf: ""

Gestisci le tolleranze di Kubernetes per i carichi di lavoro dei pod installati

A partire dalla versione 1.7.0 del componente aggiuntivo Amazon CloudWatch Observability, il EKS componente aggiuntivo e il grafico Helm impostano per impostazione predefinita le tolleranze di Kubernetes per tollerare tutte le contaminazioni sui carichi di lavoro dei pod installati dal componente aggiuntivo o dal grafico Helm. Ciò garantisce che i daemonset come l'agente e Fluent Bit possano pianificare i pod su tutti i nodi del cluster per impostazione predefinita. CloudWatch Per ulteriori informazioni su tolleranze e contaminazioni, consulta Tinte e tolleranze nella documentazione di Kubernetes.

Le tolleranze predefinite impostate dal componente aggiuntivo o dal grafico Helm sono le seguenti:

tolerations:
- operator: Exists

È possibile sovrascrivere le tolleranze predefinite impostando il tolerations campo al livello principale quando si utilizza la configurazione avanzata del componente aggiuntivo o quando si installa o si aggiorna il grafico Helm con sostituzioni di valore. Un esempio potrebbe essere il seguente:

tolerations:
- key: "key1"
  operator: "Exists"
  effect: "NoSchedule"

Per omettere completamente le tolleranze, puoi usare una configurazione simile alla seguente:

tolerations: []

Qualsiasi modifica alle tolleranze si applica a tutti i carichi di lavoro dei pod installati dal componente aggiuntivo o dal grafico Helm.

Disattiva la raccolta di metriche di calcolo accelerato

Per impostazione predefinita, Container Insights con osservabilità avanzata raccoglie metriche per il monitoraggio di Accelerated Compute, tra cui metriche, metriche AWS Neuron per AWS Trainium e Inferentia e NVIDIA GPU metriche Elastic Fabric Adapter (). AWS AWS EFA

NVIDIAGPUle metriche dei EKS carichi di lavoro di Amazon vengono raccolte per impostazione predefinita a partire dalla versione v1.3.0-eksbuild.1 del EKS componente aggiuntivo o dal grafico Helm e dalla versione 1.300034.0 dell'agente. CloudWatch Per un elenco delle metriche raccolte e dei prerequisiti, consulta. NVIDIAGPUmetriche

AWS Le metriche Neuron per gli acceleratori AWS Trainium e AWS Inferentia vengono raccolte per impostazione predefinita a partire dalla versione v1.5.0-eksbuild.1 del EKS componente aggiuntivo o dal grafico Helm e dalla versione dell'agente. 1.300036.0 CloudWatch Per un elenco delle metriche raccolte e dei prerequisiti, consulta. AWS Metriche neuronali per Trainium e Inferentia AWSAWS

AWS Le metriche di Elastic Fabric Adapter (EFA) dei nodi Linux sui EKS cluster Amazon vengono raccolte per impostazione predefinita a partire dalla versione v1.5.2-eksbuild.1 del EKS componente aggiuntivo o dal grafico Helm e dalla versione 1.300037.0 dell'agente. CloudWatch Per un elenco delle metriche raccolte e dei prerequisiti, consulta. AWS Metriche di Elastic Fabric Adapter () EFA

Puoi scegliere di non raccogliere queste metriche impostando il accelerated_compute_metrics campo nel file di configurazione dell' CloudWatch agente su. false Questo campo si trova nella kubernetes sezione della metrics_collected sezione del file di CloudWatch configurazione. Di seguito è riportato un esempio di configurazione di opt-out. Per ulteriori informazioni su come utilizzare le configurazioni personalizzate degli CloudWatch agenti, vedere la sezione seguente,. Utilizzare una configurazione personalizzata CloudWatch dell'agente

{
  "logs": {
    "metrics_collected": {
      "kubernetes": {
        "enhanced_container_insights": true,
        "accelerated_compute_metrics": false
      }
    }
  }
}

Utilizzare una configurazione personalizzata CloudWatch dell'agente

Per raccogliere altre metriche, log o tracce utilizzando l' CloudWatch agente, puoi specificare una configurazione personalizzata mantenendo attivi Container Insights e CloudWatch Application Signals. A tale scopo, incorpora il file di configurazione dell' CloudWatch agente nella chiave di configurazione sotto la chiave dell'agente della configurazione avanzata che puoi utilizzare durante la creazione o l'aggiornamento del EKS componente aggiuntivo o del grafico Helm. Di seguito è rappresentata la configurazione predefinita dell'agente quando non si fornisce alcuna configurazione aggiuntiva.

Importante

Qualsiasi configurazione personalizzata fornita utilizzando impostazioni di configurazione aggiuntive ha la precedenza sulla configurazione predefinita utilizzata dall'agente. Fai attenzione a non disattivare involontariamente funzionalità abilitate di default, come Container Insights con osservabilità migliorata e Application Signals. CloudWatch Se è necessario fornire una configurazione personalizzata dell'agente, consigliamo di utilizzare la seguente configurazione predefinita come base e modificarla di secondo le necessità.

  • Per utilizzare il componente aggiuntivo Amazon CloudWatch Observability EKS

    --configuration-values '{
  "agent": {
    "config": {
      "logs": {
        "metrics_collected": {
          "application_signals": {},
          "kubernetes": {
            "enhanced_container_insights": true
          }
        }
      },
      "traces": {
        "traces_collected": {
          "application_signals": {}
        }
      }
    }
  
}'

  • Per utilizzare il grafico Helm

    --set agent.config='{
  "logs": {
    "metrics_collected": {
      "application_signals": {},
      "kubernetes": {
        "enhanced_container_insights": true
      }
    }
  },
  "traces": {
    "traces_collected": {
      "application_signals": {}
    }
  }
}'

L'esempio seguente mostra la configurazione predefinita dell' CloudWatch agente in Windows. L' CloudWatch agente su Windows non supporta la configurazione personalizzata.

{
  "logs": {
    "metrics_collected": {
      "kubernetes": {
        "enhanced_container_insights": true
      },
    }
  }
}

Gestisci i certificati webhook TLS di ammissione

Il EKS componente aggiuntivo Amazon CloudWatch Observability e il grafico Helm sfruttano i webhook di ammissione di Kubernetes per convalidare e modificare le richieste di risorse (CR) Instrumentation personalizzate AmazonCloudWatchAgent e, facoltativamente, le richieste pod Kubernetes sul cluster se Application Signals è abilitato. CloudWatch In Kubernetes, i webhook richiedono un certificato che il server sia configurato come affidabile per garantire una comunicazione sicura. TLS API

Per impostazione predefinita, il EKS componente aggiuntivo Amazon CloudWatch Observability e il grafico Helm generano automaticamente una CA autofirmata e un TLS certificato firmato da questa CA per proteggere la comunicazione tra il server e il server webhook. API Questo certificato generato automaticamente ha una scadenza predefinita di 10 anni e non viene rinnovato automaticamente alla scadenza. Inoltre, il pacchetto CA e il certificato vengono rigenerati ogni volta che il componente aggiuntivo o il grafico Helm vengono aggiornati o reinstallati, ripristinando così la scadenza. Se desideri modificare la scadenza predefinita del certificato generato automaticamente, puoi utilizzare le seguenti configurazioni aggiuntive durante la creazione o l'aggiornamento del componente aggiuntivo. Replace (Sostituisci) expiry-in-days con la durata di scadenza desiderata in giorni.

  • Usalo per il componente aggiuntivo Amazon CloudWatch Observability EKS

    --configuration-values '{ "admissionWebhooks": { "autoGenerateCert": { "expiryDays": expiry-in-days } } }'

  • Usalo per il grafico Helm

    --set admissionWebhooks.autoGenerateCert.expiryDays=expiry-in-days

Per una soluzione di autorità di certificazione più sicura e ricca di funzionalità, il componente aggiuntivo offre il supporto opt-in per cert-manager, una soluzione ampiamente adottata per la gestione dei certificati in Kubernetes che semplifica il processo di ottenimento, rinnovo, gestione e utilizzo di tali TLS certificati. Garantisce che i certificati siano validi e aggiornati e tenta di rinnovarli in un momento impostato prima della scadenza. cert-manager facilita anche l'emissione di certificati da una varietà di fonti supportate, tra cui AWS Certificate Manager Private Certificate Authority.

Ti consigliamo di esaminare le migliori pratiche per la gestione dei TLS certificati sui tuoi cluster e di optare per il cert-manager per gli ambienti di produzione. Tieni presente che se scegli di abilitare cert-manager per la gestione dei TLS certificati webhook di ammissione, devi preinstallare cert-manager sul tuo cluster Amazon EKS prima di installare il componente aggiuntivo Amazon Observability o il grafico Helm. CloudWatch EKS Per ulteriori informazioni sulle opzioni di installazione disponibili, consulta la documentazione di cert-manager. Dopo averlo installato, puoi scegliere di utilizzare cert-manager per la gestione dei TLS certificati webhook di ammissione utilizzando la seguente configurazione aggiuntiva.

  • Se utilizzi il componente aggiuntivo Amazon CloudWatch Observability EKS

    --configuration-values '{ "admissionWebhooks": { "certManager": { "enabled": true } } }'

  • Se utilizzi il grafico Helm

    --set admissionWebhooks.certManager.enabled=true
--configuration-values '{ "admissionWebhooks": { "certManager": { "enabled": true } } }'

La configurazione avanzata discussa in questa sezione utilizzerà per impostazione predefinita un SelfSignedemittente.

Raccogli il EBS volume Amazon IDs

Se desideri raccogliere il EBS volume Amazon IDs nei log delle prestazioni, devi aggiungere un'altra policy al IAM ruolo collegato ai nodi di lavoro o all'account di servizio. Aggiungi quanto segue come una policy inline. Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Risoluzione dei problemi relativi al EKS componente aggiuntivo Amazon CloudWatch Observability o al diagramma Helm

Utilizza le seguenti informazioni per risolvere i problemi con il EKS componente aggiuntivo Amazon CloudWatch Observability o il grafico Helm

Aggiornamento ed eliminazione del EKS componente aggiuntivo Amazon CloudWatch Observability o del grafico Helm

Per istruzioni sull'aggiornamento o l'eliminazione del componente aggiuntivo Amazon CloudWatch Observability, consulta Managing EKS Amazon Add-ons. EKS Usa amazon-cloudwatch-observability come nome del componente aggiuntivo.

Per eliminare il grafico Helm in un cluster, inserisci il seguente comando.

helm delete amazon-cloudwatch-observability -n amazon-cloudwatch --wait

Verifica la versione dell' CloudWatch agente utilizzato dal EKS componente aggiuntivo Amazon CloudWatch Observability o dal grafico Helm

Il EKS componente aggiuntivo Amazon CloudWatch Observability e il grafico Helm installano una risorsa personalizzata AmazonCloudWatchAgent che controlla il comportamento del daemonset dell' CloudWatchagente sul cluster, inclusa la versione dell'agente in uso. CloudWatch È possibile ottenere un elenco di tutte le risorse AmazonCloudWatchAgent personalizzate installate sul cluster u immettendo il seguente comando:

kubectl get amazoncloudwatchagent -A

Nell'output di questo comando, dovresti essere in grado di controllare la versione dell'agente. CloudWatch In alternativa, puoi anche descrivere la risorsa amazoncloudwatchagent o uno dei pod cloudwatch-agent-* in esecuzione sul cluster per ispezionare l'immagine utilizzata.

Gestione di un ConfigurationConflict durante la gestione del componente aggiuntivo o del grafico Helm

Quando installi o aggiorni il EKS componente aggiuntivo Amazon CloudWatch Observability o il grafico Helm, se noti un errore causato dalle risorse esistenti, probabilmente è perché hai già l' CloudWatch agente e i relativi componenti associati come ServiceAccount, il ClusterRole e il ClusterRoleBinding installato nel cluster.

L'errore visualizzato dal componente aggiuntivo includerà, Conflicts found when trying to apply. Will not continue due to resolve conflicts mode

L'errore visualizzato dal grafico Helm sarà simile a. Error: INSTALLATION FAILED: Unable to continue with install and invalid ownership metadata.

Quando il componente aggiuntivo o il grafico Helm tenta di installare l' CloudWatch agente e i componenti associati, se rileva modifiche nei contenuti, per impostazione predefinita non riesce a eseguire l'installazione o l'aggiornamento per evitare di sovrascrivere lo stato delle risorse nel cluster.

Se stai tentando di effettuare l'onboarding al EKS componente aggiuntivo Amazon CloudWatch Observability e riscontri questo errore, ti consigliamo di eliminare una configurazione di CloudWatch agente esistente che avevi precedentemente installato sul cluster e quindi di installare il EKS componente aggiuntivo o Helm chart. Assicurati di eseguire il backup di tutte le personalizzazioni che potresti aver apportato alla configurazione originale dell' CloudWatch agente, ad esempio una configurazione personalizzata dell'agente, e di fornirle al componente aggiuntivo o al diagramma di Helm alla successiva installazione o aggiornamento. Se in precedenza avevi installato l' CloudWatch agente per l'onboarding su Container Insights, consulta per ulteriori informazioni. Eliminazione dell' CloudWatch agente e di Fluent Bit for Container Insights

In alternativa, il componente aggiuntivo supporta un'opzione di configurazione per la risoluzione dei conflitti che può specificare OVERWRITE. È possibile utilizzare questa opzione per procedere con l'installazione o l'aggiornamento del componente aggiuntivo sovrascrivendo i conflitti nel cluster. Se utilizzi la EKS console Amazon, troverai il metodo di risoluzione dei conflitti quando scegli le impostazioni di configurazione opzionali quando crei o aggiorni il componente aggiuntivo. Se utilizzi il AWS CLI, puoi fornire il comando --resolve-conflicts OVERWRITE per creare o aggiornare il componente aggiuntivo.