本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證容器深入解析的必要條件 CloudWatch
在 Amazon EKS 或 Kubernetes 上安裝容器深入解析之前,請先確認下列事項。無論您使用 CloudWatch 代理程式還是,這些先決條件都適用 AWS 用於在 Amazon EKS 集群上設置容器洞察的 OpenTelemetry 發行版。
-
您擁有功能強大的 Amazon EKS 或 Kubernetes 叢集,其中一個區域會連接節點,以支援適用於 Amazon EKS 和 Kubernetes 的容器見解。如需支援區域的清單,請參閱 Container Insights。
-
您已安裝和執行
kubectl
。如需詳細資訊,請參閱 Amazon EKS 使用者指南kubectl
中的安裝。 -
如果您正在使用運行的 Kubernetes AWS 而不是使用 AmazonEKS,以下先決條件也是必要的:
-
請確定您的 Kubernetes 叢集已啟用以角色為基礎的存取控制 ()。RBAC如需詳細資訊,請參閱 Kubernetes 參考資料中的使用RBAC授權
。 -
kubelet 已啟用 Webhook 授權模式。如需詳細資訊,請參閱 Kubernetes 參考中的 Kubelet authentication/authorization
。
-
您還必須授IAM予許可,才能讓 Amazon EKS 工作者節點將指標和日誌傳送到該節點 CloudWatch。有兩種方式可以進行:
-
將原則附加至工IAM作者節點的角色。這適用於 Amazon EKS 叢集和其他 Kubernetes 叢集。
-
為叢集的服務帳戶使用IAM角色,並將原則附加至此角色。這僅適用於 Amazon EKS 集群。
第一個選項會授與整個節點 CloudWatch 的權限,而使用服務帳戶的IAM角色時,只能 CloudWatch 存取適當的精靈集網繭。
將原則附加至工IAM作者節點的角色
請依照下列步驟將原則附加至 Worker 節點的IAM角色。這適用於 Amazon EKS 群集和 Amazon 以外的 Kubernetes 集群。EKS
若要將必要的原則附加至 Worker 節點的IAM角色
在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/
。 -
選取其中一個 Worker 節點執行個體,然後在說明中選擇IAM角色。
-
在IAM角色頁面上,選擇 [附加原則]。
-
在策略清單中,選取旁邊的核取方塊CloudWatchAgentServerPolicy。如有需要,請使用搜尋方塊來尋找此政策。
-
選擇連接政策。
如果您在 Amazon 以外執行 Kubernetes 叢集EKS,您可能尚未將IAM角色連接至工作者節點。否則,您必須先將IAM角色附加至執行個體,然後依照先前步驟所述新增原則。有關將角色附加到執行個體的詳細資訊,請參閱 Amazon EC2 使用者指南中的將IAM角色附加到執行個體。
如果您在 Amazon 以外執行 Kubernetes 叢集,EKS並且想要在指標中收集EBS磁碟區,則必須IDs在連接至執行個體的IAM角色中新增另一個政策。新增以下內容作為內嵌政策。如需詳細資訊,請參閱IAM使用指南中的新增和移除IAM身分識別權限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] }
使用 IAM 服務帳戶角色
此方法僅適用於 Amazon EKS 集群。
授與 CloudWatch 使用IAM服務帳戶角色的權限
-
如果您尚未啟用,請為叢集上的服務帳戶啟用IAM角色。如需詳細資訊,請參閱為叢集上的服務帳戶啟用IAM角色。
-
如果您尚未使用,請將服務帳戶設定為使用IAM角色。如需詳細資訊,請參閱將 Kubernetes 服務帳戶設定為擔任角色。IAM
建立角色時,除了為該角色建立的CloudWatchAgentServerPolicyIAM策略之外,還要將原則附加至角色。此外,應該在
amazon-cloudwatch
命名空間中建立連結至此角色的相關聯 Kubernetes 服務帳戶,並在接下來的步驟中部署 CloudWatch 和 Fluent Bit 精靈集 -
如果您還沒有,請將IAM角色與叢集中的服務帳戶建立關聯。如需詳細資訊,請參閱將 Kubernetes 服務帳戶設定為擔任角色。IAM