本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
以容器為基礎的產品需求
AWS Marketplace 對於上的所有容器型產品和供應項目,皆維持下列需求。 AWS Marketplace這些要求有助於為我們的客戶推廣安全、可靠且值得信賴的目錄。我們也鼓勵賣家檢閱適用的其他控制和協議的實施情況,以滿足其特定產品的需求。
所有產品及其相關中繼資料會在提交時進行審核,以確保產品符合或超過目前的 AWS Marketplace 需求。我們審查並調整這些政策,以滿足我們不斷變化的安全性和其他使用要求。 AWS Marketplace 持續驗證現有產品是否符合這些需求的任何變更。如果產品不合規, AWS Marketplace 將與您聯繫以更新您的產品。在某些情況下,新訂閱者可能暫時無法使用您的產品,直到問題得到解決為止。
安全要求
所有以容器為基礎的產品都必須遵守下列安全性要求:
-
Docker 容器映像檔必須沒有任何已知的惡意軟體、病毒或漏洞。當您將新版本新增至容器產品時,會掃描該版本中包含的容器映像檔。
-
如果以容器為基礎的產品需要存取管理 AWS 資源,則必須透過服務帳戶的 IAM 角色 (如果透過 Amazon Elastic Kubernetes Service (Amazon EKS) 執行) 或任務的 IAM 角色 (如果透過 Amazon 彈性容器服務 (Amazon ECS) 執行) 來存取,而不是向使用者請求存取金鑰。
-
根據預設,應將容器映像設定為以非 root 權限執行。
存取要求
所有以容器為基礎的產品都必須遵守以下存取要求:
-
容器型產品必須使用初始隨機密碼。以容器為基礎的產品不得使用初始的固定密碼或空白密碼進行外部管理存取 (例如,透過 Web 介面登入應用程式)。必須先提示買家輸入此隨機密碼,才能設定或變更自己的憑證。
-
客戶必須明確同意並啟用應用程式的任何外部存取權。
客戶信息要求
所有以容器為基礎的產品都必須遵守以下客戶資訊要求:
-
除非 BYOL (自攜授權) 要求,否則軟體不得在未經客戶知情並明確同意的情況下收集或匯出客戶資料。收集或匯出客戶資料的應用程式必須遵循下列準則:
-
客戶數據的收集必須是自助服務,自動化和安全的。買家不需要等待賣家批准部署軟件。
-
客戶數據的要求必須在列表的描述或使用說明中清楚說明。這包括收集的內容,客戶數據的存儲位置以及將如何使用它們。例如,本產品會收集您的姓名和電子郵件地址。此資訊會傳送至並儲存<company name>。此資料只會用來聯絡買家。 <product name>
-
不得收集付款資訊。
-
產品使用要求
所有以容器為基礎的產品都必須遵守下列產品使用要求:
-
賣家只能列出功能齊全的產品。不允許用於試用或評估用途的 Beta 版或售前發布產品。如果賣方在提供免費版的 90 天 AWS Marketplace 內提供同等的付費版本,則支援商業軟體的開發人員、社群和 BYOL 版本。
-
容器型產品的所有使用指示都必須包含部署容器型產品的所有步驟。使用指示必須提供指向相應容器映像的指令和部署資源 AWS Marketplace。
-
容器型產品必須包含訂閱者使用軟體所需的所有容器映像檔。此外,以容器為基礎的產品不得要求使用者使用任何外部影像 AWS Marketplace (例如,來自協力廠商儲存庫的容器映像檔) 來啟動產品。
-
容器及其軟體必須以自助服務的方式部署,且不需要額外的付款方式或費用。在部署上需要外部相依性的應用程式必須遵循下列準則:
-
有關要求必須在列表的描述或使用說明中披露。例如,本產品需要網際網路連線才能正確部署。下列套件會在部署時下載:。 <list of package>
-
賣方負責使用並確保所有外部依賴項的可用性和安全性。
-
如果外部相依性不再可用,也必須將產品從中 AWS Marketplace 移除。
-
外部依賴項不得需要額外的付款方式或費用。
-
-
需要持續連線至不受買家直接控制的外部資源 (例如外部 API 或由賣方或第三方 AWS 服務 管理) 的容器必須遵循下列準則:
-
有關要求必須在列表的描述或使用說明中披露。例如,本產品需要持續的互聯網連接。需要以下持續的外部服務才能正常運作:。 <list of resources>
-
賣方負責使用並確保所有外部資源的可用性和安全性。
-
如果外部資源不再可用,則也必須將產品從中 AWS Marketplace 移除。
-
外部資源不得需要額外的付款方式或費用,連接的設置必須自動化。
-
-
產品軟體和中繼資料不得包含會將使用者重新導向至其他雲端平台、其他產品或追加銷售服務的語言。 AWS Marketplace
-
如果您的產品是其他產品或其他 ISV 產品的附加元件,您的產品說明必須指出其他產品的功能已擴充,如果沒有產品,則您的產品的效用程式非常有限。例如, 該產品擴展的功能和沒有它, 該產品具有非常有限的效用. <product name> 請注意,此清單可能需要自己的授權才能使用完整功能。 <product name>
架構需求
所有以容器為基礎的產品都必須符合下列架構需求:
-
的來源容器映像 AWS Marketplace 必須推送至擁有的 Amazon Elastic Container Registry (Amazon ECR) 儲存庫。 AWS Marketplace您可以在每個容器產品清單的 AWS Marketplace 管理入口網站 下方伺服器產品中建立這些儲存庫。
-
容器映像檔必須以 Linux 為基礎。
-
付費容器型產品必須能夠部署在 Amazon ECS、Amazon E KS 或. AWS Fargate
-
具有合約定價和與整合的付費容器型產品 AWS License Manager 應部署在 Amazon EKS、Amazon ECS、Amazon EKS Anywhere AWS Fargate、Amazon ECS Anywhere、紅帽 OpenShift 服務 AWS (ROSA)、自我管理 Kubernetes 叢集內部部署或 Amazon 彈性運算雲上。
容器產品使用說明
為您的容器產品建立使用指示時,請遵循中的步驟和指引AMI 和容器產品使用說明。
Amazon EKS 附加產品的要求
Amazon EKS 附加元件是為應用程式提供操作功能,但不是Kubernetes應用程式專用的軟體。例如,Amazon EKS 附加元件包含可觀察性代理程式或Kubernetes驅動程式,可讓叢集與網路、運算和儲存的基礎 AWS 資源互動。
身為容器產品的銷售商,您可以選擇包括 Amazon EKS 在內的多種部署選項。您可以將產品版本作為附加元件發佈到 Amazon EKS AWS Marketplace 附加元件目錄中。您的附加元件會出現在 Amazon EKS 主控台中,旁邊是由 AWS 和其他廠商維護的附加元件。您的買家可以將您的軟件部署為附加組件,就像他們做其他附加組件一樣容易。
如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的 Amazon EKS 附加元件。
準備您的容器產品作為 AWS Marketplace 附加元件
若要以 AWS Marketplace 附加元件的形式發佈容器產品,它必須符合下列需求:
-
您的容器產品必須在中發佈 AWS Marketplace。
-
您的容器產品必須與 AMD64 和 ARM64 架構相容。
-
您的容器產品不得使用自攜授權 (BYOL) 定價模式。
注意
Amazon EKS 附加元件交付不支援 BYOL。
-
您必須遵守所有容器型產品需求,包括將所有容器映像和Helm圖表推送到 AWS Marketplace 受管 Amazon ECR 儲存庫。此需求包括開放原始碼映像檔,例如,
nginx. 圖像和圖表不能託管在其他外部存儲庫中,包括但不限於 Amazon ECR 公共圖庫和Quay. Docker Hub -
Helm圖表-準備要通過圖Helm表部署的軟件。Amazon EKS 附加元件架構會將圖表轉Helm換為資訊清單。某些Helm功能在 Amazon EKS 系統中不受支援。下列清單說明上線前必須符合的需求。在此列表中,所有Helm命令都使用 3.8.1 Helm 版本:
-
支援所有
Capabilities物件,但的例外.APIVersions。.APIVersionsnon-built-in自訂 Kubernetes API 不支援。 -
僅支援
Release.Name和Release.Namespace物件。 -
Helm掛鉤和
lookup功能不受支持。 -
所有相依圖表都必須位於主圖Helm表內 (使用儲存庫路徑檔案://... 指定)。
-
Helm圖表必須成功通過 Helm Lint 和Helm模板,沒有錯誤。命令如下:
-
Helm棉絮 —
helm linthelm-chart常見問題包括父圖表中繼資料中的未宣告圖表。例如:
chart metadata is missing these dependencies: chart-base Error: 1 chart(s) linted, 1 chart(s) failed -
Helm模板-
helm templatechart-namechart-location—set k8version=Kubernetes-version—kube-versionKubernetes-version—namespaceaddon-namespace—include-crds —no-hooks —fany-overriden-values使用
—f旗標傳遞任何已覆寫的組態。
-
-
將所有容器二進位檔案儲存在 AWS Marketplace Amazon ECR 存放庫中。若要建立資訊清單,請使用先前顯示的Helm範本命令。在資訊清單中搜尋任何外部影像參照,例如
busybox或影gcr像。使用請求下拉式清單中的「新增儲存庫」選項,將所有容器映像及相依性上傳至 AWS Marketplace Amazon ECR 存放庫。
-
-
自訂組態 — 您可以在部署期間新增自訂變數。如需如何識別最終使用者體驗、命名軟體,以及使用Helm圖表將軟
aws_mp_configuration_schema.json體封裝至包裝器的詳細資訊,請參閱 Amazon EKS 附加元件:進階組態。 根據 「$ 模式」關鍵字
, $schema必須是指向有效application/schema+json資源的 URI。此檔案不得接受任何敏感資訊,例如密碼、授權金鑰和憑證。
若要處理密碼和憑證安裝,您可以向使用者提供附加後或附加前安裝步驟。產品不應依賴任何外部授權。產品應以 AWS Marketplace 權利為基礎運作。
如需有關的限制的更多資訊
aws_mp_configuration_schema.json,請參閱附加元件供應商的附加元件組態需求和最佳。 -
識別並建立將部署軟體的命名空間 — 在產品的第一個版本中,您必須新增範本化命名空間,以識別要部署軟體的命名空間。
-
建立 (
serviceAccount如果適用) — 如果軟體是付費軟體, AWS Marketplace 或必須與其他軟體連線 AWS 服務,請確定預設會建serviceAccount立Helm圖表。如果serviceAccount建立是由values.yaml檔案中的參數處理的,請將參數值設定為true。例如serviceAccount.create = true。這是必要的,因為客戶可能會選擇從已具有必要權限的基礎節點執行個體繼承權限來安裝附加元件。如果 Helm 圖表未建立serviceAccount,則權限就無法繫結至serviceAccount. -
可追蹤部署或守護程式集 — 確保您的掌舵圖有一個守護進程或部署。Amazon EKS 附加元件架構會使用這些架構來追蹤 Amazon EKS 資源的部署。如果沒有可追踪的部署或守護進程,您的插件將面臨部署錯誤。例如,如果您的插件沒有部署或守護進程集,例如,如果您的插件部署了一堆自定義資源或 Kubernetes 作業,則添加虛擬部署或守護進程對象。
-
Sup@@ port AMD 和 ARM 架構 — 目前許多 Amazon EKS 客戶都使用 ARM64 來使用 AWS 重力子執行個體。第三方軟體必須支援這兩種架構。
-
與來自的授權或計量 API 整合 AWS Marketplace— AWS Marketplace 支援多種計費模式。如需詳細資訊,請參閱 容器產品帳單、計量和授權整合。如果您想通過 PAYG 機制銷售您的產品,請參閱使用 AWS Marketplace 計量服務為容器產品自訂計量。如果您想要透過預付或合約模式銷售產品,請參閱容器產品的合約定價 AWS License Manager。
-
上傳軟體以及所有人工因素和相依性 — Helm 圖表必須是獨立的,且不得需要外部來源的相依性,GitHub例如。如果軟體需要外部相依性,則必須將相依性推送至相同 AWS Marketplace 清單下的 AWS Marketplace 私有 Amazon ECR 儲存庫。
-
在您的網站上提供部署說明 — 我們要求您託管部署指南,供客戶識別如何透過 create- addon 指令部署您的軟體。
-
IAM 角色 — 列出軟體運作或與其他人連線所需的所有 AWS Identity and Access Management (IAM) 政策 AWS 服務。
-
版本更新 — Amazon EKS 會在上游發行版本後的幾週內發佈新的 Kubernetes 版本。隨著新的 Amazon EKS 叢集版本正式推出,廠商有 45 天的時間來認證或更新其軟體,以便與新的 Amazon EKS 叢集版本相容。如果您目前的附加元件版本支援新的 Kubernetes 版本,請驗證並認證相同版本,以便我們可以更新版本相容性矩陣。如果需要新的附加元件版本來支援新的 Kubernetes 版本,請提交新版本以供上線。
-
合作夥伴的軟體必須屬於下列其中一種類型,或者是可增強 Kubernetes 或 Amazon EKS 的作業軟體:Gitops | 監控 | 記錄 | 憑證管理 | 政策管理 | 成本管理 | 自動擴展 | 儲存 | Kubernetes 管理 | 服務網格 | etcd-backup | 負載平衡器 | 本機註冊 | 安全性備份 | 輸入控制器 | 輸入控制器 | 輸入控制器 ingress-service-type
-
軟體不能是容器網路介面 (CNI)
。 -
針對付費產品,軟體必須透過 AWS Marketplace 授權和計量 API 銷售,並與其整合。恕不接受 BYOL 產品。
附加元件供應商的附加元件組態需求和最佳
Amazon EKS 需要設定為附加元件供應商提供的 Helm JSON 結構描述aws_mp_configuration_schema.json文件 AWS Marketplace。Amazon EKS 將使用此結構描述來驗證客戶的組態輸入,並拒絕輸入值不符合結構描述的 API 呼叫。附加元件組態通常分為兩類:
-
一般 Kubernetes 屬性的組態,例如標籤、公差、節點選擇器等。
-
特定於附加元件的組態,例如授權金鑰、功能啟用、URL 等。
本節重點介紹與一般 Kubernetes 屬性相關的第一個類別。
Amazon EKS 建議遵循有關 Amazon EKS 附加元件組態的最佳實務。
綱要需求
定義 json 結構描述時,請務必使用 Amazon EKS 附加元件支援的 jsonschema 版本。
支援的結構描述清單:
-
https://json-schema.org/draft-04/schema
-
https://json-schema.org/draft-06/schema
-
https://json-schema.org/draft-07/schema
-
https://json-schema.org/draft/2019-09/schema
使用任何其他 json 結構描述版本與 Amazon EKS 附加元件不相容,並且會導致附加元件無法釋放,直到修正此問題為止。
示例頭盔模式文件
{ "$schema": "http://json-schema.org/schema#", "type": "object", "properties": { "podAnnotations": { "description": "Pod Annotations" "type": "object" }, "podLabels": { "description": "Pod Labels" "type": "string" }, "resources": { "type": "object" "description": "Resources" }, "logLevel": { "description": "Logging Level" "type": "string", "enum": [ "info", "debug" ] }, "config": { "description": "Custom Configuration" "type": "object" } } }
- camelCase
-
配置參數必須是 camelCase,如果不遵守此格式,則將被拒絕。
- 描述是必需的
-
始終包括架構屬性的有意義的描述。此說明將用於在 Amazon EKS 主控台中呈現每個組態參數的標籤名稱。
- 加拿大定義
-
附加元件提供者需要定義並提供 RBAC 權限,才能使用最低權限原則成功安裝附加元件。如果需要針對較新版本的附加元件變更 RBAC 許可或任何修正程式以解決 CVE,附加元件供應商將需要通知 Amazon EKS 團隊有關此變更的資訊。每個 Kubernetes 資源的必要權限應限制為物件的資源名稱。
apiGroups: ["apps"] resources: ["daemonsets"] resourceNames: ["ebs-csi-node"] verbs: ["create", "delete", "get", "list", "patch", "update", "watch"] - 秘密管理
-
本節僅適用於需要客戶設定秘密資訊的附加元件,例如應用程式金鑰、API 金鑰、密碼等。由於安全隱患,目前 Amazon EKS API 不支援以純文字傳遞秘密資訊。不過,客戶可以使用設定來傳遞 Kubernetes 密碼的名稱,該密碼包含附加元件所需的金鑰。客戶必須建立 Kubernetes Secret 物件,其中包含與先決條件步驟具有相同命名空間的金鑰,然後在建立附加元件時,使用組態 Blob 傳入密碼的名稱。我們建議附加元件提供者為結構描述屬性命名,這樣客戶就不會意外地將其誤認為實際的金鑰。例如: appSecretName connectionSecretName 等
總而言之,附加元件提供者可以利用結構描述來允許客戶傳遞秘密名稱,但不能傳遞實際保存機密本身的金鑰。
- 範例組態值
-
您可以在結構描述中包含組態範例,以協助客戶設定附加元件。以下示例來自 AWS 發行版的 OpenTelemetry 附加組件的架構。
"examples": [ { "admissionWebhooks": { "namespaceSelector": {}, "objectSelector": {} }, "affinity": {}, "collector": { "amp": { "enabled": true, "remoteWriteEndpoint": "https://aps-workspaces.us-west-2.amazonaws.com/workspaces/ws-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/api/v1/remote_write" }, "cloudwatch": { "enabled": true }, "mode": "deployment", "replicas": 1, "resources": { "limits": { "cpu": "256m", "memory": "512Mi" }, "requests": { "cpu": "64m", "memory": "128Mi" } }, "serviceAccount": { "annotations": {}, "create": true, "name": "adot-collector" }, "xray": { "enabled": true } }, "kubeRBACProxy": { "enabled": true, "resources": { "limits": { "cpu": "500m", "memory": "128Mi" }, "requests": { "cpu": "5m", "memory": "64Mi" } } }, "manager": { "env": {}, "resources": { "limits": { "cpu": "100m", "memory": "128Mi" }, "requests": { "cpu": "100m", "memory": "64Mi" } } }, "nodeSelector": {}, "replicaCount": 1, "tolerations": [] } ]
允許進行組態的一般參數
以下是客戶面對 Helm 結構描述檔案中的建議參數。
| 參數 | 描述 | 應該有一個默認值? |
|---|---|---|
| 附加所有 | 將 Kubernetes 標籤新增至附加元件管理的所有 Kubernetes 物件。 | 否 |
| 其他註釋 | 將 Kubernetes 註解新增至附加元件所管理的所有 Kubernetes 物件。 | 否 |
| 網德標籤 | 將 Kubernetes 標籤新增至附加元件所管理的網繭。 | 否 |
| 播客註釋 | 將 Kubernetes 註解新增至附加元件所管理的網繭。 | 否 |
| logLevel | 由附加元件管理之元件的記錄層級。 | 是 |
| 節點選擇器 | 節點選擇限制的最簡單建議形式。您可以將節點選取器欄位新增至您的網繭規格,並指定您希望目標節點具有的節點標籤。 | 例如,可能只有 Linux 節點 |
| 容差 | 公差會套用至網繭。允許排程器可讓排程器排程具有相符污點的網繭。容差允許排程,但不保證排程。 | 也許,更常見的守護進程 |
| 親和力 | 相似性功能包含兩種類型的相似性:節點相似性函數 (例如 NodesElector 欄位),但更具表現力並可讓您指定軟規則,網繭間親和性/反相似性可讓您將 Pod 限制在其他 Pod 上的標籤。 | 也許可以 |
| 拓撲 SpreadConstraints | 您可以使用拓撲分攤條件約束來控制 Pod 在您的叢集中分散的方式,例如區域、區域、節點和其他使用者定義的拓撲網域。這有助於實現高可用性以及有效的資源使用率。 | 也許可以 |
| 資源請求/限制 | 指定每個容器需要多少 CPU /記憶體。強烈建議您設定要求。限制是可選的。 | 是 |
| 副本 | 附加元件所管理之網繭的複本數目。不適用於守護程序集。 | 是 |
注意
對於工作負載排程組態參數,您可能需要視需要分離綱要中的頂層元件。例如,Amazon EBS CSI 驅動程式包含兩個主要元件:控制器和節點代理程式-客戶需要針對每個元件使用不同的節點選擇器/容差。
注意
JSON 結構描述中定義的預設值純粹是用於使用者說明文件的目的,並不會取代values.yaml檔案中具有合法預設值的需求。如果使用預設屬性,請確定每當對 Helm Chart 進行變更時,結構描述中的預設值values.schema.json與兩個成品 (和values.yaml) 中的預設值都會保持同步。values.yaml
"affinity": { "default": { "affinity": { "nodeAffinity": { "preferredDuringSchedulingIgnoredDuringExecution": [ { "preference": { "matchExpressions": [ { "key": "eks.amazonaws.com/compute-type", "operator": "NotIn", "values": [ "fargate" ] } ] }, "weight": 1 } ] }, "podAntiAffinity": { "preferredDuringSchedulingIgnoredDuringExecution": [ { "podAffinityTerm": { "labelSelector": { "matchExpressions": [ { "key": "app", "operator": "In", "values": [ "ebs-csi-controller" ] } ] }, "topologyKey": "kubernetes.io/hostname" }, "weight": 100 } ] } } }, "description": "Affinity of the controller pod", "type": [ "object", "null" ] }
不允許進行配置的常見參數
各種附加元件(例如 clusterName region vpcIdaccountId,Elastic Load Balancing 控制器)可能需要叢集中繼資料參數,例如、、和其他參數。Amazon EKS 服務已知的任何與這些類似的參數都會由 Amazon EKS 附加元件自動插入,而不需負責將使用者指定為組態選項。這些參數包括:
-
AWS 地區
-
Amazon EKS 群集名稱
-
叢集的 VPC 識別碼
-
容器登錄,專門用於建置生產帳戶,網路附加元件使用
-
DNS 群集 IP,專門用於內核附加元件
-
Amazon EKS 群集 API 端點
-
已在叢集上啟用 IPv4
-
已在叢集上啟用 IPv6
-
在叢集上啟用 IPv6 的前置碼委派
附加元件提供者必須確保您已針對此類適用參數定義範本。上述每個參數都將具有 Amazon EKS 定義的預先定義parameterType屬性。發行中繼資料將指定範本中參數名稱/路徑之間的對應。parameterType如此一來,Amazon EKS 就可以動態傳輸這些值,而不需要客戶透過組態指定這些值,也可讓附加元件提供者彈性定義自己的範本名稱/路徑。應從結構描述檔案中排除 Amazon EKS 需要動態插入的上述參數。
從發行中繼資料對應範例
"defaultConfiguration": [ { "key": "image.containerRegistry", "parameterType": "CONTAINER_REGISTRY" } ]
以下是不建議在客戶面對 Helm 結構描述檔案中進行設定的參數。參數應該具有不可修改的默認值,或者根本不包含在附加模板中。
| 參數 | 描述 | 應該有一個默認值? |
|---|---|---|
| image | 將部署在 Kubernetes 叢集上的容器映像檔。 | 否,透過附加元件定義管理 |
| 形象 PullSecrets | 將網繭設定為使用密碼從私人登錄提取。 | N/A |
| 活力探测器 | Kubelet 處理程序會使用活性探測來知道何時重新啟動容器。例如,活性探查可能會 catch 應用程序正在運行的死鎖,但無法取得進展。在這種狀態下重新啟動容器可以幫助儘管出現錯誤,使應用程序更可用。 | 是 |
| 就緒探針 | 重要的是,您必須為容器準備好探頭。如此一來,在資料平面上執行的 Kubelet 處理序就會知道容器何時準備好為流量提供服務。當 Pod 的所有容器都準備就緒時,即視為已準備就緒。此訊號的其中一個用途是控制哪些 Pod 用作服務的後端。當網繭尚未就緒時,會將其從服務負載平衡器中移除。 | 是 |
| 啟動探針 | kubelet 會使用啟動探查來知道容器應用程式何時啟動。如果配置了這樣的探查,它會禁用活動性和準備檢查,直到它成功,確保這些探測不會干擾應用程序啟動。這可以用來對緩慢啟動的容器採用活性檢查,避免它們在啟動和運行之前被 kubelet 殺死。 | 選用 |
| 吊艙 DisruptionBudget | 定義網繭解除預算 (PDB),以確保在自願中斷期間保持最少數量的 POD 持續執行。PDB 會限制複寫應用程式的 Pod 數目,這些 Pod 數目會因自願中斷而同時關閉。例如,以法定值為基礎的應用程式希望確保執行中的複本數目永遠不會低於法定數目。Web 前端可能想要確保提供負載的複本數量永遠不會低於總數的特定百分比。 | 是,如果預設為兩個以上的複本 |
| 服務帳戶(名稱) | 將在下執行的服務帳戶網繭名稱。 | 是 |
| 服務帳戶(註釋) | 套用至服務帳戶的註釋。通常用於服務帳戶的 IAM 角色功能 | 否,IAM 服務帳戶角色 ARN 是在頂層 Amazon EKS 附加元件 API 中設定的。此規則的例外情況是,如果您的附加元件具有多個部署/控制器(例如 Flux),並且需要單獨的 IRSA 角色 ARN。 |
| 優先權 ClassName | 優先順序表示 Pod 相對於其他 Pod 的重要性。如果無法排定網繭,排程器會嘗試預佔 (收回) 較低優先順序的網繭,以便排程擱置的網繭成為可能。 | 是。大多數附加元件對叢集功能至關重要,而且預設情況下應該設定優先順序類別。 |
| 吊艙 SecurityContext | 安全性內容會定義網繭或容器的權限和存取控制設定。通常用於設定 FSGroup-這是 v1.19 和較低叢集中 IRSA 所需的。 | 不太可能,鑑於 Amazon EKS 不再支持庫伯尼特斯 v1.19 |
| 安全性上下文 | 安全性內容會定義網繭或容器的權限和存取控制設定。 | 是 |
| 更新策略 | 指定用於以新 Pod 取代舊 Pod 的策略。 | 是 |
| 名稱取代 | 覆寫網繭的名稱。 | 否 |
| 吊艙 SecurityPolicy |
對參數強制執行限制。 |
否-PSP 已淘汰 |
| 額VolumeMounts外/外卷 |
用於非 Amazon EKS 集群中的 IRSA。 |
否 |
