Kubernetes リソースを表示する
クラスターにデプロイされた Kubernetes リソースを AWS Management Console で表示できます。Kubernetes リソースは、AWS CLI または eksctl
前提条件
AWS Management Console の [リソース] タブと [コンピューティング] タブの [ノード] セクションを表示するには、使用している IAM プリンシパルに特定の IAM と Kubernetes 許可が必要です。詳細については、「必要なアクセス許可」を参照してください。
Kubernetes リソースを AWS Management Console で表示する
Amazon EKS コンソールを https://console.aws.amazon.com/eks/home#/clusters
で開きます。 -
[クラスター] のリストで、表示したい Kubernetes リソースを含んでいるクラスターを選択します。
-
[リソース] タブを選択します。
-
リソースを表示したい [リソースタイプ] グループを選択します。例えば、[ワークロード] などです。そのグループ内のリソースタイプのリストが表示されます。
-
リソースタイプを選択します。つまり、[ワークロード] グループ内の [デプロイ] などです。リソースタイプの説明、リソースタイプの詳細な説明の Kubernetes ドキュメントへのリンク、およびクラスターにデプロイされていてそのタイプのリソースのリストが表示されます。リストが空の場合、そのタイプのリソースはクラスターにデプロイされていません。
-
詳細情報を表示するには、そのリソースを選択します。次の例を試してください。
-
[ワークロード] グループを選択し、[デプロイメント] のリソースタイプを選択し、次に [CoreDNS] リソースを選択します。リソースを選択すると、デフォルトで [構造化ビュー] が表示されます。リソースタイプによっては、[構造化ビュー] に [ポッド] セクションが表示されます。このセクションでは、ワークロードによって管理される Pods が一覧表示されます。一覧表示されている任意の Pod を選択し、Pod の情報を表示できます。すべてのリソースタイプについて、[構造化ビュー] で情報が表示されるわけではありません。リソース表示画面で右上隅にある [raw ビュー] を選択すると、そのリソースについて Kubernetes API からの完全な JSON レスポンスが表示されます。
-
[クラスター] グループを選択してから、[ノード] リソースタイプを選択します。クラスター内のすべてのノードのリストが表示されます。ノードは、任意の Amazon EKS ノードタイプとなります。これはクラスターの [コンピューティング] () タブを選択したときに [ノード] セクションに表示されるのと同じリストです。リストからノードリソースを選択します。[構造化ビュー] では、[ポッド] セクションも表示されます。このセクションでは、ノード上で実行中のすべての Pods が表示されます。
-
必要なアクセス許可
AWS Management Console の [リソース] タブと [コンピューティング] タブの [ノード] セクションを表示するには、使用している IAM プリンシパルに特定の最小限の IAM と Kubernetes 許可が必要です。次のステップを実行して、IAM プリンシパルに必要な許可を割り当てます。
-
eks:AccessKubernetesApi、および Kubernetes リソースを表示するために必要なその他の IAM アクセス許可が、使用している IAM プリンシパルに割り当てられていることを確認してください。IAM プリンシパルの許可を編集する方法の詳細については、「IAM ユーザーガイド」の「プリンシパルへのアクセスの制御」を参照してください。ロールのアクセス許可を編集する方法の詳細については、IAM ユーザーガイドの「ロールのアクセス許可ポリシーの変更 (コンソール)」を参照してください。次のポリシーの例には、アカウント内のすべてのクラスター内にある Kubernetes リソースを表示するために必要な、プリンシパルへの許可が含まれています。
111122223333{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:ListFargateProfiles", "eks:DescribeNodegroup", "eks:ListNodegroups", "eks:ListUpdates", "eks:AccessKubernetesApi", "eks:ListAddons", "eks:DescribeCluster", "eks:DescribeAddonVersions", "eks:ListClusters", "eks:ListIdentityProviderConfigs", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:*:111122223333:parameter/*" } ] }接続されたクラスター内のノードを表示するには、Amazon EKS コネクタの IAM ロールがクラスター内のプリンシパルを偽装できる必要があります。これは、Amazon EKS Connector がプリンシパルを Kubernetes ユーザーにマッピングすることを許可します。
-
Kubernetes リソースを表示するのに必要なアクセス許可を持つ Kubernetes
roleまたはclusterroleにバインドされている Kubernetesrolebindingまたはclusterrolebindingを作成します。Kubernetes のロールとロールバインドの詳細については、「Kubernetes ドキュメント」の「RBAC 認可を使用する」を参照してください。次のマニフェストのいずれかをクラスターに適用して、必要な Kubernetes アクセス許可を持つ roleおよびrolebindingまたはclusterroleおよびclusterrolebindingを作成できます。- すべての名前空間の Kubernetes リソースを表示する
-
ファイル内のグループ名は
eks-console-dashboard-full-access-groupです。次のコマンドを使用して、クラスターにマニフェストを適用します。kubectl apply -f https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-full-access.yaml - 特定の名前空間の Kubernetes リソースを表示する
-
このファイルの名前空間は
defaultです。ファイル内のグループ名はeks-console-dashboard-restricted-access-groupです。次のコマンドを使用して、クラスターにマニフェストを適用します。kubectl apply -f https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-restricted-access.yaml
ファイル内の Kubernetes グループ名、名前空間、アクセス許可、またはその他の設定を変更する必要がある場合は、ファイルをダウンロードして編集してからクラスターに適用します。
-
次のいずれかのコマンドを使って、ファイルをダウンロードします。
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-full-access.yamlcurl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-restricted-access.yaml -
必要に応じてファイルを編集します。
-
次のコマンドのいずれかを使用して、クラスターにマニフェストを適用します。
kubectl apply -f eks-console-full-access.yamlkubectl apply -f eks-console-restricted-access.yaml
-
aws-authConfigMapの Kubernetes ユーザーまたはグループに IAM プリンシパルをマッピングします。eksctlのようなツールによりConfigMapを更新することができます。あるいは、手動で編集しての更新も可能です。重要
ConfigMapの編集には、eksctlや、その他のツールを使用することをお勧めします。使用できる他のツールについては、Amazon EKS ベストプラクティスガイドの「ツールを使用してaws-authConfigMapを変更する」を参照してください。 aws-authConfigMapの形式が不適切な場合、クラスターへのアクセスが失われる場合があります。
