Installieren von ASCP für Amazon EKS - AWS Systems Manager
VoraussetzungenInstallieren und Konfigurieren von ASCPÜberprüfen der InstallationenFehlersucheWeitere Ressourcen

• AWS Systems ManagerChange Manager steht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

 

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Installieren von ASCP für Amazon EKS

In diesem Abschnitt wird erklärt, wie Sie AWS Secrets and Configuration Provider für Amazon EKS installieren. Mit ASCP können Sie Parameter aus Parameter Store und Secrets aus AWS Secrets Manager als Dateien in Amazon-EKS-Pods mounten.

Voraussetzungen

  • Ein Amazon-EKS-Cluster

    • Version 1.24 oder höher für Pod Identity

    • Version 1.17 oder höher für IRSA

  • Die AWS CLI, installiert und konfiguriert

  • kubectl, für Ihren Amazon-EKS-Cluster installiert und konfiguriert

  • Helm (Version 3.0 oder höher)

Installieren und Konfigurieren von ASCP

Der ASCP ist auf GitHub im Repository secrets-store-csi-provider-aws verfügbar. Das Repository enthält auch YAML-Beispieldateien zum Erstellen und Mounten eines Secrets durch das Ändern des objectType-Werts von secretsmanager zu ssmparameter.

Während der Installation können Sie festlegen, dass ASCP einen FIPS-Endpunkt verwenden soll. Eine Liste von Systems-Manager-Endpunkten finden Sie im Allgemeine Amazon Web Services-Referenz unter Systems-Manager-Serviceendpunkte.

Installieren Sie ASCP mit Helm wie folgt:

  1. Um sicherzustellen, dass das Repository auf die neuesten Diagramme verweist, verwenden Sie helm repo update..

  2. Fügen Sie das Diagramm zum Secrets-Store-CSI-Treiber hinzu. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Installieren Sie das Diagramm. Um die Drosselung zu konfigurieren, fügen Sie das folgende Flag hinzu: --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'.

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Fügen Sie das ASCP-Diagramm hinzu.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Installieren Sie das Diagramm. Um einen FIPS-Endpunkt zu verwenden, fügen Sie das folgende Flag hinzu: --set useFipsEndpoint=true.

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Installieren Sie ASCP mit YAML im Repository wie folgt:

  • Verwenden Sie die folgenden Befehle.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Überprüfen der Installationen

Gehen Sie folgendermaßen vor, um die Installationen Ihres EKS-Clusters, des Secrets Store CSI-Treibers und des ASCP-Plug-ins zu überprüfen:

  1. Den EKS-Cluster überprüfen:

    eksctl get cluster --name clusterName

    Dieser Befehl muss Informationen zu Ihrem Cluster zurückgeben.

  2. Die Secrets-Store-CSI-Treiberinstallation überprüfen:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Sie sollten ausgeführte Pods mit Namen wie csi-secrets-store-secrets-store-csi-driver-xxx sehen.

  3. Die ASCP-Plugin-Installation überprüfen:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Beispielausgabe:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Beispielausgabe:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Sie sollten Pods im Status Running sehen.

Wenn nach dem Ausführen dieser Befehle alles korrekt eingerichtet ist, sollten alle Komponenten fehlerfrei ausgeführt werden. Wenn Sie auf Probleme stoßen, müssen Sie diese möglicherweise beheben, indem Sie die Protokolle der jeweiligen Pods überprüfen, bei denen Probleme auftreten.

Fehlersuche

  1. Führen Sie folgenden Befehl aus, um die Protokolle des ASCP-Anbieters zu überprüfen:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Überprüfen Sie den Status aller Pods im kube-system Namespace.

    Ersetzen Sie den Standard-Platzhaltertext durch Ihre eigene Pod-ID:

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Alle Pods, die sich auf den CSI-Treiber und ASCP beziehen, sollten sich im Status „In Ausführung“ befinden.

  3. Die Version des CSI-Treibers überprüfen:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Dieser Befehl muss Informationen zu dem installierten CSI-Treiber zurückgeben.

Weitere Ressourcen

Weitere Informationen zur Verwendung von ASCP mit Amazon EKS finden Sie in den folgenden Ressourcen: