Vorbereitung des Cluster-Zugriffs für Hybridknoten - Amazon EKS
Verwendung von Amazon-EKS-Zugriffseinträgen für die IAM-Rolle für HybridknotenVerwendung von aws-auth ConfigMap für die IAM-Rolle für Hybridknoten

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Vorbereitung des Cluster-Zugriffs für Hybridknoten

Bevor Sie Hybridknoten mit Ihrem Amazon-EKS-Cluster verbinden, müssen Sie Ihre Hybridknoten-IAM-Rolle mit Kubernetes-Berechtigungen aktivieren, um dem Cluster beitreten zu können. Informationen zum Erstellen der IAM-Rolle Hybridknoten finden Sie unter Vorbereitung der Anmeldeinformationen für Hybridknoten. Amazon EKS unterstützt zwei Möglichkeiten, IAM-Prinzipale der rollenbasierten Zugriffskontrolle (RBAC) von Kubernetes zuzuordnen: Amazon-EKS-Zugriffseinträge und die aws-auth ConfigMap. Weitere Informationen zur Amazon-EKS-Zugriffsverwaltung finden Sie unter Gewähren von Zugriff auf Kubernetes-APIs für IAM-Benutzer und Rollen.

Verwenden Sie die folgenden Verfahren, um Ihre IAM-Rolle für Hybridknoten den Kubernetes-Berechtigungen zuzuordnen. Um Amazon-EKS-Zugriffseinträge verwenden zu können, muss Ihr Cluster mit den Authentifizierungsmodi API oder API_AND_CONFIG_MAP erstellt worden sein. Um die aws-auth ConfigMap verwenden zu können, muss Ihr Cluster mit dem Authentifizierungsmodus API_AND_CONFIG_MAP erstellt worden sei Der CONFIG_MAP-eigene-Authentifizierungsmodus wird für Amazon-EKS-Cluster mit aktivierten Hybridknoten nicht unterstützt.

Verwendung von Amazon-EKS-Zugriffseinträgen für die IAM-Rolle für Hybridknoten

Es gibt einen Amazon-EKS-Zugriffseintragstyp für Hybridknoten mit dem Namen HYBRID_LINUX, der mit einer IAM-Rolle verwendet werden kann. Bei diesem Zugriffseintragstyp wird der Benutzername automatisch auf system:node:{{SessionName}} gesetzt. Weitere Informationen zum Erstellen von Zugriffseinträgen finden Sie unter Zugriffseinträge erstellen.

AWS-CLI

  1. Sie müssen die neueste Version der AWS-CLI auf Ihrem Gerät installiert und konfiguriert haben. Um Ihre aktuelle Version zu überprüfen, verwenden Sie aws --version. Paket-Manager wie yum, apt-get oder Homebrew für macOS liegen oft mehrere Versionen hinter der neuesten Version der AWS-CLI zurück. Um die neueste Version zu installieren, lesen Sie Installation und Schnellkonfiguration mit aws configure im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle.

  2. Erstellen Sie Ihren Zugriffseintrag mit dem folgenden Befehl. Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters und HYBRID_NODES_ROLE_ARN durch die ARN der Rolle, die Sie in den Schritten für Vorbereitung der Anmeldeinformationen für Hybridknoten erstellt haben.

    aws eks create-access-entry --cluster-name CLUSTER_NAME \
    --principal-arn HYBRID_NODES_ROLE_ARN \
    --type HYBRID_LINUX

AWS-Managementkonsole

  1. Öffnen Sie die Amazon-EKS-Konsole unter Amazon-EKS-Konsole.

  2. Wählen Sie den Namen Ihres Clusters mit aktivierten Hybridknoten.

  3. Wählen Sie die Registerkarte Zugriff aus.

  4. Wählen Sie Zugriffseintrag erstellen aus.

  5. Wählen Sie für IAM-Prinzipal die IAM-Rolle für Hybridknoten aus, die Sie in den Schritten für Vorbereitung der Anmeldeinformationen für Hybridknoten erstellt haben.

  6. Wählen Sie für Typ die Option Hybrid Linux aus.

  7. (Optional) Weisen Sie dem Zugriffseintrag unter Tags Beschriftungen zu. So können Sie beispielsweise ganz einfach nach allen Ressourcen mit dem gleichen Tag suchen.

  8. Wählen Sie „Überspringen“, um die Überprüfung und Erstellung fortzusetzen. Sie können dem Hybrid-Linux-Zugriffseintrag keine Richtlinien hinzufügen oder seinen Zugriffsbereich ändern.

  9. Überprüfen Sie die Konfiguration für Ihren Zugriffseintrag. Sollten Sie einen Fehler entdecken, wählen Sie Zurück aus, um schrittweise zurück zu navigieren und den Fehler zu korrigieren. Ist die Konfiguration korrekt, wählen Sie Erstellen aus.

Verwendung von aws-auth ConfigMap für die IAM-Rolle für Hybridknoten

In den folgenden Schritten erstellen oder aktualisieren Sie die aws-auth ConfigMap mit der ARN der IAM-Rolle für Hybridknoten, die Sie in den Schritten für Vorbereitung der Anmeldeinformationen für Hybridknoten erstellt haben.

  1. Überprüfen Sie, ob Sie über eine vorhandene aws-auth ConfigMap für Ihren Cluster verfügen Beachten Sie, dass Sie bei Verwendung einer bestimmten kubeconfig-Datei das --kubeconfig-Flag verwenden sollten.

    kubectl describe configmap -n kube-system aws-auth

  2. Wenn Ihnen eine aws-auth ConfigMap angezeigt wird, aktualisieren Sie diese nach Bedarf.

    1. Öffnen Sie die ConfigMap zur Bearbeitung.

      kubectl edit -n kube-system configmap/aws-auth

    2. Fügen Sie nach Bedarf einen neuen mapRoles-Eintrag hinzu. Ersetzen Sie HYBRID_NODES_ROLE_ARN durch die ARN Ihrer IAM-Rolle für Hybridknoten. Beachten Sie, dass {{SessionName}} ​​das richtige Vorlagenformat zum Speichern in der ConfigMap ist. Ersetzen Sie es nicht durch andere Werte.

      data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}

    3. Speichern Sie die Datei und beenden Sie den Text-Editor.

  3. Wenn für Ihren Cluster keine aws-auth ConfigMap vorhanden ist, erstellen Sie diese mit dem folgenden Befehl. Ersetzen Sie HYBRID_NODES_ROLE_ARN durch die ARN Ihrer IAM-Rolle für Hybridknoten. Beachten Sie, dass {{SessionName}} das richtige Vorlagenformat zum Speichern in der ConfigMap ist. Ersetzen Sie es nicht durch andere Werte.

    kubectl apply -f=/dev/stdin <<-EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}
EOF