Paso 1: creación de un rol de capacidad de IAM Paso 2: creación de la capacidad de ACK Paso 3: comprobación de la activación de la capacidad Paso 4: comprobación de la disponibilidad de los recursos personalizados Siguientes pasos

Creación de una capacidad de ACK mediante eksctl

Cree una capacidad de ACK en su clúster de Amazon EKS mediante eksctl.

nota

Los siguientes pasos requieren la versión 0.215.0 o posterior de eksctl. Para comprobar la versión, ejecute eksctl version.

Paso 1: creación de un rol de capacidad de IAM

Cree un archivo de política de confianza:


cat > ack-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF

Cree el rol de IAM:


aws iam create-role \
  --role-name ACKCapabilityRole \
  --assume-role-policy-document file://ack-trust-policy.json

Adjunte la política administrada de AdministratorAccess al rol:


aws iam attach-role-policy \
  --role-name ACKCapabilityRole \
  --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

importante

La política AdministratorAccess sugerida otorga amplios permisos y tiene por objeto simplificar el inicio. Para uso en producción, reemplácela por una política personalizada que otorgue solo los permisos necesarios para los servicios de AWS específicos que tiene previsto administrar con ACK. Para obtener orientación sobre la creación de políticas de privilegio mínimo, consulte Configuración de los permisos de ACK y Consideraciones sobre la seguridad para las capacidades de EKS.

Paso 2: creación de la capacidad de ACK

Cree la capacidad de ACK mediante eksctl Reemplace region-code por la región de AWS donde creó el clúster y my-cluster por el nombre de su clúster.


eksctl create capability \
  --cluster my-cluster \
  --region region-code \
  --name ack \
  --type ACK \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
  --ack-service-controllers s3

nota

La etiqueta --ack-service-controllers es opcional. Si se omite, ACK activa todos los controladores disponibles. Para mejorar el rendimiento y la seguridad, considere la posibilidad de activar solo los controladores que necesite. Puede especificar varios controladores: --ack-service-controllers s3,rds,dynamodb

El comando vuelve inmediatamente, pero la capacidad tarda algún tiempo en activarse.

Paso 3: comprobación de la activación de la capacidad

Compruebe el estado de la capacidad:


eksctl get capability \
  --cluster my-cluster \
  --region region-code \
  --name ack

La capacidad estará lista cuando aparezca el estado ACTIVE.

Paso 4: comprobación de la disponibilidad de los recursos personalizados

Una vez que la capacidad esté activa, compruebe que los recursos personalizados de ACK estén disponibles en el clúster:


kubectl api-resources | grep services.k8s.aws

Deberías ver varias API en la lista de recursos de AWS.

nota

La capacidad de Controladores de AWS para Kubernetes permite instalar varios CRD para distintos recursos de AWS.

Siguientes pasos

Conceptos de ACK: descripción de los conceptos de ACK e introducción
Configuración de los permisos de ACK: configuración de los permisos de IAM para otros servicios de AWS
Uso de recursos de capacidades: administración del recurso de la capacidad de ACK

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS CLI

Conceptos de ACK