Preguntas frecuentes sobre Amazon EKS AWS Fargate en AWS Managed Services

Utilice AMS SSP para aprovisionar Amazon EKS AWS Fargate en su cuenta de AMS

Utilice el modo de aprovisionamiento de autoservicio (SSP) de AMS para acceder a las AWS Fargate funciones de Amazon EKS directamente en su cuenta gestionada por AMS. AWS Fargate es una tecnología que proporciona una capacidad informática a pedido y del tamaño adecuado para los contenedores (para entender los contenedores, consulte ¿Qué son los contenedores? ). Con AWS Fargate ello, ya no tendrá que aprovisionar, configurar ni escalar grupos de máquinas virtuales para ejecutar contenedores. De esta manera, se elimina la necesidad de elegir tipos de servidores, decidir cuándo escalar los grupos de nodos u optimizar conjuntos de clústeres.

Amazon Elastic Kubernetes Service (Amazon EKS) integra AWS Fargate Kubernetes mediante controladores que se crean AWS con el modelo extensible y ascendente que proporciona Kubernetes. Estos controladores se ejecutan como parte del plano de control de Kubernetes administrado por Amazon EKS y son responsables de programar los pods nativos de Kubernetes en Fargate. Los controladores de Fargate incluyen un nuevo programador que se ejecuta junto con el programador predeterminado de Kubernetes, además de varios controladores de admisión de mutación y validación. Cuando inicia un pod que cumple los criterios para ejecutarse en Fargate, los controladores de Fargate que se ejecutan en el clúster reconocen, actualizan y programan el pod en Fargate.

Para obtener más información, consulte Amazon EKS AWS Fargate ya disponible para todos y la Guía de mejores prácticas de seguridad de Amazon EKS (incluye «recomendaciones» como «Revisar y revocar el acceso anónimo innecesario» y más).

sugerencia

AMS tiene un tipo de cambio, Deployment | Advanced stack components | Identity and Access Managment (IAM) | Create OpenID Connect provider (ct-30ecvfi3tq4k3), que puede utilizar con Amazon EKS. Para ver un ejemplo, consulte Identity and Access Management (IAM) | Create OpenID Connect Provider.

Preguntas frecuentes sobre Amazon EKS AWS Fargate en AWS Managed Services

P: ¿Cómo solicito acceso a Amazon EKS en Fargate desde mi cuenta de AMS?

Solicite el acceso enviando un formulario de administración | AWS servicio | Servicio autoaprovisionado | Añada (es necesario revisar) (ct-3qe6io8t6jtny) el tipo de cambio. Este RFC asigna la siguiente función de IAM a su cuenta.

customer_eks_fargate_console_role.

Una vez aprovisionado en tu cuenta, debes incorporar el rol en tu solución de federación.
Estas funciones de servicio permiten a Amazon EKS on Fargate llamar a otros AWS servicios en su nombre:
- customer_eks_pod_execution_role
- customer_eks_cluster_service_role

P: ¿Cuáles son las restricciones para usar Amazon EKS en Fargate en mi cuenta de AMS?

AMS no admite la creación de EC2 grupos de nodos gestionados o autogestionados. Si necesita utilizar EC2 nodos de trabajo, póngase en contacto con su administrador de entrega de servicios en la nube (CSDM) o Cloud Architect (CA) de AMS.
AMS no incluye Trend Micro ni componentes de seguridad de red preconfigurados para las imágenes de contenedores. Se espera que gestione sus propios servicios de digitalización de imágenes para detectar imágenes de contenedores malintencionadas antes de su despliegue.
El EKSCTL no es compatible debido a CloudFormation las interdependencias.
Durante la creación del clúster, tiene permisos para deshabilitar el registro del plano de control del clúster. Para obtener más información, consulte Registro del plano de control de Amazon EKS. Le recomendamos que habilite todos los registros importantes de API, autenticación y auditoría al crear el clúster.
Durante la creación del clúster, el acceso al punto final del clúster para los clústeres de Amazon EKS se establece de forma predeterminada en público; para obtener más información, consulte Control de acceso al punto final del clúster de Amazon EKS. Recomendamos que los puntos de enlace de Amazon EKS se configuren como privados. Si se requieren puntos de enlace para el acceso público, se recomienda configurarlos como públicos solo para rangos de CIDR específicos.
AMS no tiene un método para forzar ni restringir las imágenes utilizadas para desplegarlas en contenedores de Amazon EKS Fargate. Puede implementar imágenes desde Amazon ECR, Docker Hub o cualquier otro repositorio de imágenes privado. Por lo tanto, existe el riesgo de implementar una imagen pública que pueda realizar actividades maliciosas en la cuenta.
AMS no admite la implementación de clústeres de EKS mediante el kit de desarrollo en la nube (CDK) o mediante CloudFormation Ingest.
Debe crear el grupo de seguridad necesario mediante ct-3pc215bnwb6p7 Deployment | Componentes de pila avanzados | Grupo de seguridad | Crear y hacer referencia a él en el archivo de manifiesto para crear el ingreso. Esto se debe a que el rol no está autorizado a crear grupos de seguridad. customer-eks-alb-ingress-controller-role

P: ¿Cuáles son los requisitos previos o las dependencias para usar Amazon EKS en Fargate en mi cuenta de AMS?

Para poder utilizar el servicio, se deben configurar las siguientes dependencias:

Para autenticarse con el servicio, aws-iam-authenticator deben estar instalados tanto KUBECTL como yo; para obtener más información, consulte Administrar la autenticación de clústeres.
Kubernetes se basa en un concepto denominado «cuentas de servicio». Para utilizar la funcionalidad de cuentas de servicio dentro de un clúster de kubernetes en EKS, se necesita un RFC de administración | Otros | Otros | Actualización con las siguientes entradas:
- [Obligatorio] Nombre del clúster de Amazon EKS
- [Obligatorio] Espacio de nombres del clúster Amazon EKS donde se implementará la cuenta de servicio (SA).
- [Obligatorio] Nombre de Amazon EKS Cluster SA.
- [Obligatorio] Nombre de la política de IAM y permissions/document datos a asociar.
- [Obligatorio] Se solicita el nombre del rol de IAM.
- [Opcional] URL del proveedor de OpenID Connect. Para obtener más información, consulte
  - Habilitar las funciones de IAM para las cuentas de servicio de su clúster
  - Presentamos funciones de IAM detalladas para las cuentas de servicio
Recomendamos que las reglas de Config se configuren y supervisen para
- Puntos finales de clústeres públicos
- El registro de API está deshabilitado
Es su responsabilidad supervisar y corregir estas reglas de Config.

Si desea implementar un controlador de entrada de ALB, envíe un RFC de administración | Otros | Otras actualizaciones para asignar la función de IAM necesaria para utilizarla con el módulo de controlador de entrada de ALB. Se requieren las siguientes entradas para crear los recursos de IAM que se asociarán al controlador de ingreso de ALB (inclúyalos en su RFC):

[Obligatorio] Nombre del clúster de Amazon EKS
[Opcional] URL del proveedor de OpenID Connect
[Opcional] Espacio de nombres de Amazon EKS Cluster donde se implementará el servicio de controlador de ingreso del balanceador de carga de aplicaciones (ALB). [predeterminado: kube-system]
[Opcional] Nombre de la cuenta de servicio (SA) de Amazon EKS Cluster. [predeterminado: aws-load-balancer-controller]

Si desea habilitar el cifrado de los secretos de los sobres en su clúster (lo cual recomendamos), proporcione la clave de KMS que IDs piensa usar en el campo de descripción de la RFC para agregar el servicio (Management | service | Self-provisioned AWS service | Add (ct-1w8z66n899dct). Para obtener más información sobre el cifrado de sobres, consulte Amazon EKS añade el cifrado de sobres para los secretos con AWS KMS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon ECS en AWS Fargate

Amazon EMR