Requisitos previos Paso 1: creación de un rol de capacidad de IAM Paso 2: creación de la capacidad de kro Paso 3: comprobación de la activación de la capacidad Paso 4: concesión de permisos para administrar los recursos de Kubernetes Paso 5: comprobación de la disponibilidad de los recursos personalizados Siguientes pasos

Creación de una capacidad de kro mediante la AWS CLI

En este tema, se describe cómo crear una capacidad de kro (Kube Resource Orchestrator) mediante la AWS CLI.

Requisitos previos

AWS CLI: versión 2.12.3 o posterior. Para comprobar la versión, ejecute aws --version. Para obtener más información, consulte Instalación en la Guía del usuario de la interfaz de la línea de comandos de AWS.
kubectl – una herramienta de línea de comandos para trabajar con clústeres de Kubernetes. Para obtener más información, consulte Configuración de kubectl y eksctl.

Paso 1: creación de un rol de capacidad de IAM

Cree un archivo de política de confianza:


cat > kro-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF

Cree el rol de IAM:


aws iam create-role \
  --role-name KROCapabilityRole \
  --assume-role-policy-document file://kro-trust-policy.json

nota

A diferencia de ACK y Argo CD, kro no necesita permisos de IAM adicionales. kro opera completamente dentro de su clúster y no hace llamadas a la API de AWS. El rol solo es necesario para establecer una relación de confianza con el servicio de capacidades de EKS.

Paso 2: creación de la capacidad de kro

Cree el recurso de la capacidad de kro en su clúster. Reemplace region-code por la región de AWS en la que se encuentra el clúster (como us-west-2) y my-cluster por el nombre del clúster.


aws eks create-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --type KRO \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/KROCapabilityRole \
  --delete-propagation-policy RETAIN

El comando devuelve una respuesta inmediatamente, pero la capacidad tarda algún tiempo en activarse mientras EKS crea la infraestructura y los componentes de la capacidad necesarios. EKS instalará las definiciones de recursos personalizados de Kubernetes relacionadas con esta capacidad en el clúster según se vaya creando.

nota

Si recibe un error que indica que el clúster no existe o que no tiene permisos, compruebe lo siguiente:

El nombre del clúster es correcto
La AWS CLI está configurada para la región correcta
Dispone de los permisos de IAM necesarios

Paso 3: comprobación de la activación de la capacidad

Espere a que se active la capacidad. Reemplace region-code por la región de AWS donde creó el clúster y my-cluster por el nombre de su clúster.


aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --query 'capability.status' \
  --output text

La capacidad estará lista cuando aparezca el estado ACTIVE.

También puede ver todos los detalles de la capacidad:


aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro

Paso 4: concesión de permisos para administrar los recursos de Kubernetes

De forma predeterminada, kro solo puede crear y administrar ResourceGraphDefinitions y sus instancias. Para permitir que kro cree y administre los recursos de Kubernetes subyacentes definidos en su ResourceGraphDefinitions, asocie la política de acceso AmazonEKSClusterAdminPolicy a la entrada de acceso de la capacidad.

Obtenga el ARN del rol de capacidad:


CAPABILITY_ROLE_ARN=$(aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --query 'capability.roleArn' \
  --output text)

Asocie la política de administración del clúster:


aws eks associate-access-policy \
  --region region-code \
  --cluster-name my-cluster \
  --principal-arn $CAPABILITY_ROLE_ARN \
  --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy \
  --access-scope type=cluster

importante

La AmazonEKSClusterAdminPolicy otorga amplios permisos para crear y administrar todos los recursos de Kubernetes y su objetivo es simplificar la puesta en marcha. Para su uso en producción, cree políticas de RBAC más restrictivas que otorguen solo los permisos necesarios para los recursos específicos que administrará su ResourceGraphDefinitions. Para obtener orientación sobre cómo configurar los permisos de privilegio mínimo, consulte Configuración de permisos de kro y Consideraciones sobre la seguridad para las capacidades de EKS.

Paso 5: comprobación de la disponibilidad de los recursos personalizados

Una vez que la capacidad esté activa, compruebe que los recursos personalizados de kro estén disponibles en el clúster:


kubectl api-resources | grep kro.run

Debería ver el tipo de recursos ResourceGraphDefinition en la lista.

Siguientes pasos

Conceptos de kro: descripción de los conceptos de kro y la composición de recursos
Conceptos de kro: más información sobre SimpleSchema, las expresiones de CEL y los patrones de composición
Uso de recursos de capacidades: administración del recurso de la capacidad de kro

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Consola

eksctl