使用 eksctl 建立 kro 功能 - Amazon EKS
步驟 1:建立 IAM 功能角色步驟 2:建立 kro 功能步驟 3:確認功能處於作用中狀態步驟 4:授予管理 Kubernetes 資源的許可步驟 5:確認可用的自訂資源後續步驟

協助改進此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 eksctl 建立 kro 功能

本主題說明如何使用 eksctl 建立 kro (Kube Resource Orchestrator) 功能。

注意

下列步驟需要 eksctl 版本 0.220.0 或更新版本。若要檢查您的版本,請執行 eksctl version

步驟 1:建立 IAM 功能角色

建立信任政策檔案:

cat > kro-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF

建立 IAM 角色:

aws iam create-role \
  --role-name KROCapabilityRole \
  --assume-role-policy-document file://kro-trust-policy.json
注意

與 ACK 和 Argo CD 不同, kro 不需要信任政策以外的其他 IAM 許可。 kro 完全在您的叢集內運作,而且不會進行 AWS API 呼叫。

步驟 2:建立 kro 功能

使用 eksctl 建立 kro 功能。將 region-code 取代為您的叢集所在的 AWS 區域,並將 my-cluster 取代為您的叢集名稱。

eksctl create capability \
  --region region-code \
  --cluster my-cluster \
  --name my-kro \
  --type KRO \
  --role-arn arn:aws:iam::[.replaceable]111122223333:role/KROCapabilityRole

命令會立即傳回,但 功能需要一些時間才會變成作用中。

步驟 3:確認功能處於作用中狀態

檢查功能狀態。將 region-code 取代為您的叢集所在的 AWS 區域,並將 my-cluster 取代為您的叢集名稱。

eksctl get capability \
  --region region-code \
  --cluster my-cluster \
  --name my-kro

當狀態顯示 時,此功能已就緒ACTIVE

步驟 4:授予管理 Kubernetes 資源的許可

根據預設,kro 只能建立和管理 ResourceGraphDefinitions 及其執行個體。若要允許 kro 建立和管理 ResourceGraphDefinitions 中定義的基礎 Kubernetes 資源,請將AmazonEKSClusterAdminPolicy存取政策與功能的存取項目建立關聯。

取得功能角色 ARN:

CAPABILITY_ROLE_ARN=$(aws eks describe-capability \
  --region region-code \
  --cluster my-cluster \
  --name my-kro \
  --query 'capability.roleArn' \
  --output text)

關聯叢集管理員政策:

aws eks associate-access-policy \
  --region region-code \
  --cluster my-cluster \
  --principal-arn $CAPABILITY_ROLE_ARN \
  --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy \
  --access-scope type=cluster
重要

AmazonEKSClusterAdminPolicy 授予建立和管理所有 Kubernetes 資源的廣泛許可,旨在簡化入門。對於生產用途,請建立更嚴格的 RBAC 政策,僅授予 ResourceGraphDefinitions 將管理之特定資源所需的許可。如需設定最低權限許可的指引,請參閱 設定 kro 許可EKS 功能的安全考量

步驟 5:確認可用的自訂資源

功能處於作用中狀態後,請確認叢集中是否有可用的 kro 自訂資源:

kubectl api-resources | grep kro.run

您應該會看到列出的ResourceGraphDefinition資源類型。

後續步驟