Verwenden Sie AMS SSP, um Amazon EKS AWS Fargate in Ihrem AMS-Konto bereitzustellen - AMS-Benutzerhandbuch für Fortgeschrittene
Häufig gestellte Fragen zu Amazon EKS on AWS Fargate in AWS Managed Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AMS SSP, um Amazon EKS AWS Fargate in Ihrem AMS-Konto bereitzustellen

Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf AWS Fargate Funktionen von Amazon EKS zuzugreifen. AWS Fargate ist eine Technologie, die bedarfsgerecht dimensionierte Rechenkapazität für Container bereitstellt (Informationen zu Containern finden Sie unter Was sind Container? ). Mit AWS Fargate müssen Sie keine Gruppen von virtuellen Maschinen mehr bereitstellen, konfigurieren oder skalieren, um Container auszuführen. Auf diese Weise müssen keine Servertypen mehr ausgewählt werden, es muss nicht entschieden werden, wann die Knotengruppen skaliert werden oder das Cluster-Packing optimiert werden.

Amazon Elastic Kubernetes Service (Amazon EKS) integriert Kubernetes mithilfe AWS Fargate von Controllern, die mithilfe des erweiterbaren AWS Upstream-Modells von Kubernetes erstellt wurden. Diese Controller werden als Teil der von Amazon EKS verwalteten Kubernetes-Steuerebene ausgeführt und sind für die Planung nativer Kubernetes-Pods auf Fargate verantwortlich. Die Fargate-Controller enthalten einen neuen Scheduler, der neben dem Standard-Kubernetes-Scheduler und zusätzlich zu mehreren mutierenden und validierenden Zugangscontrollern ausgeführt wird. Wenn Sie einen Pod starten, der die Kriterien für die Ausführung auf Fargate erfüllt, erkennen, aktualisieren und planen die im Cluster ausgeführten Fargate-Controller den Pod auf Fargate.

Weitere Informationen finden Sie unter Amazon EKS ab AWS Fargate sofort allgemein verfügbar und im Amazon EKS Best Practices Guide for Security (enthält „Empfehlungen“ wie „Unnötigen anonymen Zugriff überprüfen und widerrufen“ und mehr).

Tipp

AMS hat einen Änderungstyp, Deployment | Advanced Stack Components | Identity and Access Management (IAM) | OpenID Connect-Anbieter erstellen (ct-30ecvfi3tq4k3), den Sie mit Amazon EKS verwenden können. Ein Beispiel finden Sie unter Identity and Access Management (IAM) | OpenID Connect Provider erstellen.

Häufig gestellte Fragen zu Amazon EKS on AWS Fargate in AWS Managed Services

F: Wie beantrage ich Zugriff auf Amazon EKS on Fargate in meinem AMS-Konto?

Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung | AWS Service | Selbst bereitgestellter Service | Hinzufügen (Überprüfung erforderlich) (ct-3qe6io8t6jtny) angeben. Dieser RFC stellt Ihrem Konto die folgende IAM-Rolle zur Verfügung.

  • customer_eks_fargate_console_role.

    Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.

  • Diese Servicerollen geben Amazon EKS on Fargate die Erlaubnis, andere AWS Dienste in Ihrem Namen anzurufen:

    • customer_eks_pod_execution_role

    • customer_eks_cluster_service_role

F: Welche Einschränkungen gelten für die Nutzung von Amazon EKS auf Fargate in meinem AMS-Konto?

  • Das Erstellen von verwalteten oder EC2 selbstverwalteten Knotengruppen wird in AMS nicht unterstützt. Wenn Sie EC2 Worker Nodes verwenden möchten, wenden Sie sich an Ihren AMS Cloud Service Delivery Manager (CSDM) oder Cloud Architect (CA).

  • AMS enthält keine Trend Micro- oder vorkonfigurierten Netzwerksicherheitskomponenten für Container-Images. Es wird von Ihnen erwartet, dass Sie vor der Verteilung Ihre eigenen Image-Suchdienste verwalten, um bösartige Container-Images zu erkennen.

  • EKSCTL wird aufgrund von Interdependenzen nicht unterstützt. CloudFormation

  • Während der Clustererstellung sind Sie berechtigt, die Protokollierung der Cluster-Steuerungsebene zu deaktivieren. Weitere Informationen finden Sie unter Amazon-EKS-Steuerebenen-Protokollierung. Wir empfehlen Ihnen, alle wichtigen API-, Authentifizierungs- und Audit-Logging bei der Clustererstellung zu aktivieren.

  • Während der Cluster-Erstellung ist der Cluster-Endpunktzugriff für Amazon EKS-Cluster standardmäßig öffentlich. Weitere Informationen finden Sie unter Amazon EKS-Cluster-Endpunktzugriffskontrolle. Wir empfehlen, Amazon EKS-Endpunkte auf privat zu setzen. Wenn Endgeräte für den öffentlichen Zugriff erforderlich sind, empfiehlt es sich, sie nur für bestimmte CIDR-Bereiche auf öffentlich zu setzen.

  • AMS verfügt nicht über eine Methode, um Bilder, die für die Bereitstellung in Containern auf Amazon EKS Fargate verwendet werden, zu erzwingen oder einzuschränken. Sie können Images aus Amazon ECR, Docker Hub oder einem anderen privaten Image-Repository bereitstellen. Daher besteht das Risiko, dass ein öffentliches Image bereitgestellt wird, das böswillige Aktivitäten auf dem Konto ausführen könnte.

  • Die Bereitstellung von EKS-Clustern über das Cloud Development Kit (CDK) oder CloudFormation Ingest wird in AMS nicht unterstützt.

  • Sie müssen die erforderliche Sicherheitsgruppe mithilfe von ct-3pc215bnwb6p7 Deployment | Advanced Stack Components | Security Group | Create erstellen und in der Manifestdatei für die Erstellung von Ingresses referenzieren. Das liegt daran, dass die Rolle nicht autorisiert ist, Sicherheitsgruppen zu erstellen. customer-eks-alb-ingress-controller-role

F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon EKS auf Fargate in meinem AMS-Konto?

Um den Service nutzen zu können, müssen die folgenden Abhängigkeiten konfiguriert werden:

  • Für die Authentifizierung gegenüber dem Dienst aws-iam-authenticator müssen sowohl KUBECTL als auch installiert sein. Weitere Informationen finden Sie unter Clusterauthentifizierung verwalten.

  • Kubernetes basiert auf einem Konzept, das als „Dienstkonten“ bezeichnet wird. Um die Funktionalität der Dienstkonten innerhalb eines Kubernetes-Clusters auf EKS nutzen zu können, ist ein RFC Management | Other | Other | Update mit den folgenden Eingaben erforderlich:

  • Wir empfehlen, dass Config-Regeln konfiguriert und überwacht werden

    • Öffentliche Cluster-Endpunkte

    • API-Protokollierung deaktiviert

    Es liegt in Ihrer Verantwortung, diese Konfigurationsregeln zu überwachen und zu korrigieren.

Wenn Sie einen ALB-Ingress-Controller bereitstellen möchten, reichen Sie einen RFC für das Update Management | Other | Other ein, um die erforderliche IAM-Rolle für die Verwendung mit dem ALB Ingress Controller-Pod bereitzustellen. Die folgenden Eingaben sind erforderlich, um IAM-Ressourcen zu erstellen, die dem ALB Ingress Controller zugeordnet werden sollen (schließen Sie diese in Ihren RFC ein):

  • [Erforderlich] Name des Amazon EKS-Clusters

  • [Optional] URL des OpenID Connect-Anbieters

  • [Optional] Amazon EKS-Cluster-Namespace, in dem der Application Load Balancer (ALB) -Ingress Controller-Service bereitgestellt wird. [Standard: Kube-System]

  • [Optional] Name des Amazon EKS-Cluster-Servicekontos (SA). [Standard: aws-load-balancer-controller]

Wenn Sie die Verschlüsselung von Envelope Secrets in Ihrem Cluster aktivieren möchten (was wir empfehlen), geben Sie den KMS-Schlüssel, den IDs Sie verwenden möchten, im Beschreibungsfeld des RFC an, um den Dienst hinzuzufügen (Management | Service | Self-provisioned AWS service | Add (ct-1w8z66n899dct)). Weitere Informationen zur Umschlagverschlüsselung finden Sie unter Amazon EKS fügt Umschlagverschlüsselung für geheime Daten mit AWS KMS hinzu.