Configurazione di Amazon EKS Pod Identity Agent - Amazon EKS
ConsiderazioniCreare il componente aggiuntivo di Amazon EKSAggiornamento del componente aggiuntivo di Amazon EKSConfigurazione dell'agente

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Amazon EKS Pod Identity Agent

Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le applicazioni, in modo simile a come i profili di istanza di Amazon EC2 forniscono le credenziali alle istanze Amazon EC2.

Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API EKS Auth aggiuntiva e un pod di agenti che viene eseguito su ogni nodo.

Considerazioni

  • IPv6

    Per impostazione predefinita, EKS Pod Identity Agent ascolta su un IPv6 indirizzo IPv4 and i pod per richiedere le credenziali. L'agente utilizza l'indirizzo IP di loopback (localhost) IPv4 e l'indirizzo IP localhost 169.254.170.23 per. [fd00:ec2::23] IPv6

    Se IPv6 disabiliti gli indirizzi o impedisci in altro modo gli indirizzi IPv6 IP del localhost, l'agente non può avviarsi. Per avviare l'agente su nodi che non possono essere utilizzatiIPv6, segui i passaggi indicati Disabilita IPv6 nell'EKS Pod Identity Agent per disabilitare la IPv6 configurazione.

Creazione di Amazon EKS Pod Identity Agent

Prerequisiti dell'agente

  • Un cluster Amazon EKS esistente. Per implementarne uno, consulta Guida introduttiva ad Amazon EKS. La versione del cluster e la versione della piattaforma devono essere uguali o successive alle versioni elencate in Versioni del cluster EKS Pod Identity.

  • Il ruolo del nodo dispone delle autorizzazioni per consentire all'agente di eseguire l'azione AssumeRoleForPodIdentity nell'API EKS Auth. Puoi utilizzare AWS politica gestita: AmazonEks WorkerNodePolicy o aggiungere una policy personalizzata simile alla seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Questa azione può essere limitata dai tag per ridurre i ruoli che possono essere assunti dai pod che utilizzano l'agente.

  • I nodi possono raggiungere e scaricare immagini da Amazon ECR. L'immagine del container per il componente aggiuntivo si trova nei registri elencati in Registri delle immagini del container Amazon.

    Tieni presente che puoi modificare la posizione dell'immagine e fornire imagePullSecrets componenti aggiuntivi EKS nelle impostazioni di configurazione opzionali in AWS Management Console, e --configuration-values in. AWS CLI

  • I nodi possono raggiungere l'API Amazon EKS Auth. Per i cluster privati, è necessario l'ingresso dell'eks-authendpoint. AWS PrivateLink

AWS Management Console

  1. Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.

  2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi scegli il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.

  3. Seleziona la scheda Componenti aggiuntivi.

  4. Scegli Ottieni altri componenti aggiuntivi.

  5. Seleziona la casella nella parte superiore destra di quella del componente aggiuntivo relativo a EKS Pod Identity Agent e scegli Avanti.

  6. Nella pagina Configura le impostazioni dei componenti aggiuntivi selezionati, seleziona una versione qualsiasi nell'elenco a discesa Versione.

  7. (Facoltativo) Espandi Impostazioni di configurazione facoltative per inserire una configurazione aggiuntiva. Ad esempio, puoi fornire una posizione alternativa per l'immagine del container e ImagePullSecrets. Lo JSON Schema con le chiavi accettate sono mostrate in Schema di configurazione del componente aggiuntivo.

    Inserisci le chiavi e i valori di configurazione in Valori di configurazione.

  8. Seleziona Successivo.

  9. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Configura un account Kubernetes di servizio per assumere un ruolo IAM con EKS Pod Identity.

AWS CLI

  1. Esegui il comando seguente AWS CLI . Sostituisci my-cluster con il nome del cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    Nota

    EKS Pod Identity Agent non utilizza service-account-role-arn per ruoli IAM per account di servizio. È necessario fornire a EKS Pod Identity Agent le autorizzazioni nel ruolo del nodo.

  2. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Configura un account Kubernetes di servizio per assumere un ruolo IAM con EKS Pod Identity.

Aggiornamento di Amazon EKS Pod Identity Agent

Aggiorna il componente aggiuntivo del tipo Amazon EKS. Se non hai aggiunto il tipo di componente aggiuntivo Amazon EKS al cluster, consulta Creazione di Amazon EKS Pod Identity Agent.

AWS Management Console

  1. Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.

  2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi scegli il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.

  3. Seleziona la scheda Componenti aggiuntivi.

  4. Se è disponibile una nuova versione del componente aggiuntivo, in EKS Pod Identity Agent viene visualizzato un pulsante Aggiorna versione. Seleziona Aggiorna versione.

  5. Nella pagina Configura Amazon EKS Pod Identity Agent, seleziona la nuova versione nell'elenco a discesa Versione.

  6. Seleziona Salva modifiche.

    Il completamento dell'aggiornamento potrebbe richiedere alcuni secondi. Conferma quindi che la versione del componente aggiuntivo sia stata aggiornata controllando lo stato.

AWS CLI

  1. Scopri qual è la versione del componente aggiuntivo attualmente installata sul cluster. Sostituisci my-cluster con il nome del cluster.

    aws eks describe-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --query "addon.addonVersion" --output text

    Di seguito viene riportato un output di esempio:

    v1.0.0-eksbuild.1

    È necessario creare il componente aggiuntivo prima di poterlo aggiornare con questa procedura.

  2. Aggiorna il componente aggiuntivo utilizzando la AWS CLI. Se desideri utilizzare la AWS Management Console o il eksctl per aggiornare il componente aggiuntivo, consulta Aggiornamento di un componente aggiuntivo. Copia il comando seguente sul tuo dispositivo. Apporta le seguenti modifiche al comando, se necessario, quindi esegui il comando modificato.

    • Sostituisci my-cluster con il nome del cluster.

    • Sostituisci la versione v1.0.0-eksbuild.1 con quella desiderata.

    • Sostituire 111122223333 con l'ID account.

    • Esegui il comando seguente:

      aws eks update-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1'

      Il completamento dell'aggiornamento potrebbe richiedere alcuni secondi.

  3. Conferma che la versione del componente aggiuntivo sia stata aggiornata. Sostituisci my-cluster con il nome del cluster.

    aws eks describe-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent

    Il completamento dell'aggiornamento potrebbe richiedere alcuni secondi.

    Di seguito viene riportato un output di esempio:

    {
    "addon": {
        "addonName": "eks-pod-identity-agent",
        "clusterName": "my-cluster",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:region:111122223333:addon/my-cluster/eks-pod-identity-agent/74c33d2f-b4dc-8718-56e7-9fdfa65d14a9",
        "createdAt": "2023-04-12T18:25:19.319000+00:00",
        "modifiedAt": "2023-04-12T18:40:28.683000+00:00",
        "tags": {}
    }
}

Configurazione EKS Pod Identity Agent

Disabilita IPv6 nell'EKS Pod Identity Agent

AWS Management Console
Disabilita IPv6 in AWS Management Console

  1. Per disabilitarlo IPv6 in EKS Pod Identity Agent, aggiungi la seguente configurazione alle impostazioni di configurazione opzionali del componente aggiuntivo EKS.

    1. Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.

    2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi seleziona il nome del cluster per cui configurare il componente aggiuntivo.

    3. Seleziona la scheda Componenti aggiuntivi.

    4. Seleziona la casella in alto a destra del componente aggiuntivo EKS Pod Identity Agent, quindi scegli Modifica.

    5. Nella pagina Configura EKS Pod Identity Agent:

      1. seleziona la Version (Versione) da utilizzare. Ti consigliamo di mantenere la stessa versione del passaggio precedente e di aggiornare la versione e la configurazione con azioni separate.

      2. Scegli Impostazioni di configurazione facoltative.

      3. Inserisci la chiave JSON "agent": e il valore di un oggetto JSON annidato con una chiave "additionalArgs": in Valori di configurazione. Il testo risultante deve essere un oggetto JSON valido. Se questa chiave e questo valore sono gli unici dati nella casella di testo, racchiudi la chiave e il valore tra parentesi graffe {}. L'esempio seguente mostra che la politica di rete è abilitata:

        {
    "agent": {
        "additionalArgs": {
            "-b": "169.254.170.23"
        }
    }
}

        Questa configurazione imposta l'IPv4indirizzo come unico indirizzo utilizzato dall'agente.

    6. Per applicare la nuova configurazione sostituendo i pod EKS Pod Identity Agent, scegli Salva modifiche.

      Amazon EKS applica le modifiche ai componenti aggiuntivi EKS utilizzando un'implementazione di EKS Pod Identity Agent. Kubernetes DaemonSet Puoi tenere traccia dello stato dell'implementazione nella cronologia degli aggiornamenti del componente aggiuntivo in e con. AWS Management Console kubectl rollout status daemonset/eks-pod-identity-agent --namespace kube-system

      kubectl rolloutha i seguenti comandi:

      $ kubectl rollout
                            
history  -- View rollout history
pause    -- Mark the provided resource as paused
restart  -- Restart a resource
resume   -- Resume a paused resource
status   -- Show the status of the rollout
undo     -- Undo a previous rollout

      Se l'implementazione richiede troppo tempo, Amazon EKS annullerà l'implementazione e un messaggio con il tipo di Addon Update e lo stato Failed verrà aggiunto alla cronologia degli aggiornamenti del componente aggiuntivo. Per esaminare eventuali problemi, inizia dalla cronologia dell'implementazione ed esegui kubectl logs su un pod EKS Pod Identity Agent per visualizzare i log di EKS Pod Identity Agent.

  2. Se la nuova voce nella cronologia degli aggiornamenti ha lo stato Riuscito, l'implementazione è stata completata e il componente aggiuntivo utilizza la nuova configurazione in tutti i pod EKS Pod Identity Agent.

AWS CLI
Disabilita in IPv6AWS CLI

  • Per disabilitarlo IPv6 in EKS Pod Identity Agent, aggiungi la seguente configurazione ai valori di configurazione del componente aggiuntivo EKS.

    Eseguite il AWS CLI comando seguente. Sostituisci my-cluster con il nome del cluster e l'ARN del ruolo IAM con il ruolo che stai utilizzando.

    aws eks update-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent \
    --resolve-conflicts PRESERVE --configuration-values '{"agent":{"additionalArgs": { "-b": "169.254.170.23"}}}'

    Questa configurazione imposta l'IPv4indirizzo come unico indirizzo utilizzato dall'agente.

    Amazon EKS applica le modifiche ai componenti aggiuntivi EKS utilizzando un'implementazione di EKS Pod Identity Agent. Kubernetes DaemonSet Puoi tenere traccia dello stato dell'implementazione nella cronologia degli aggiornamenti del componente aggiuntivo in e con. AWS Management Console kubectl rollout status daemonset/eks-pod-identity-agent --namespace kube-system

    kubectl rolloutha i seguenti comandi:

    kubectl rollout
                            
history  -- View rollout history
pause    -- Mark the provided resource as paused
restart  -- Restart a resource
resume   -- Resume a paused resource
status   -- Show the status of the rollout
undo     -- Undo a previous rollout

    Se l'implementazione richiede troppo tempo, Amazon EKS annullerà l'implementazione e un messaggio con il tipo di Addon Update e lo stato Failed verrà aggiunto alla cronologia degli aggiornamenti del componente aggiuntivo. Per esaminare eventuali problemi, inizia dalla cronologia dell'implementazione ed esegui kubectl logs su un pod EKS Pod Identity Agent per visualizzare i log di EKS Pod Identity Agent.