本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS EKS 访问权限设置
您可以通过对公有集群和私有集群运行只读kubectl命令来让 AWS DevOps 代理调查您的 Amazon EKS 集群中的问题。您可以将任意数量的 EKS 集群连接到同一个代理空间。
连接后,代理可以帮助诊断集群中的操作问题——描述资源、检索 Pod 日志、检查集群事件、检查节点运行状况等。代理无法在您的集群中创建、修改或删除任何资源。
先决条件
在设置 EKS 访问权限之前,请确保您的 EKS 集群的身份验证模式包含 EKS API。您可以在 Amazon EKS 控制台
设置
对于要为其创建访问条目的每个集群,都需要从 Amazon EKS 控制台
转到 “访问权限” 选项卡。如果身份验证模式已经显示 EKS API,则可以添加访问条目。否则,请选择包含 EKS API 的模式。
在 “访问权限” 选项卡中,创建一个新的 IAM 访问权限条目。复制您的主云源 IAM 角色 ARN,并将其作为访问条目的 IAM 委托人输入。选择下一步。
选择 AWS 托管AmazonAIOpsAssistantPolicy访问策略,然后选择集群作为访问范围。(或者,如果您希望代理仅访问某些命名空间,请选择所需的 Kuber netes 命名空间)。选择 “添加策略”,然后选择 “下一步”。
查看更改并确认选择了正确的访问权限入口策略和 IAM 角色,然后选择 “创建” 来创建您的访问条目。
要验证 EKS 访问权限配置是否正确,请导航到 Operator 应用程序并开始新的调查,向代理询问有关您的集群的问题,例如 “列出默认命名空间中的所有 pod” 或 “向我显示我的集群中的最近事件”。
问题排查
如果代理无法访问您的集群,请验证访问条目是否使用了设置对话框中显示的正确 IAM 角色 ARN 以及AmazonAIOpsAssistantPolicy访问策略是否已附加。