Cómo instalar ASCP para Amazon EKS
En esta sección, se explica cómo instalar el Proveedor de secretos y configuración (ASCP) de AWS para Amazon EKS. Con ASCP, puede montar secretos de Secrets Manager como parámetro desde AWS Systems Manager como archivos en los pods de Amazon EKS.
Requisitos previos
-
Un clúster de Amazon EKS
-
Versión 1.24 o posterior de Pod Identity
-
Versión 1.17 o posterior de IRSA
-
-
La AWS CLI debe estar instalada y configurada
-
Kubectl debe estar instalado y configurado para su clúster de Amazon EKS
-
Helm (versión 3.0 o posterior)
Cómo instalar y configurar el ASCP
El ASCP está disponible en GitHub en el repositorio secres-store-csi-proveedor-aws
Durante la instalación, puede configurar el ASCP para que utilice un punto de conexión FIPS. Para obtener una lista de puntos de conexión de , consulte AWS Secrets ManagerPuntos de conexión de .
Cómo instalar el ASCP mediante Helm
-
Para asegurarse de que el repositorio apunte al gráfico más reciente, utilice .
helm repo update. -
Instale el gráfico. A continuación, se muestra un ejemplo del comando
helm install:helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws-
Para utilizar un punto de conexión FIPS, agregue el siguiente indicador: .:
--set useFipsEndpoint=true -
Para configurar la limitación, agregue el siguiente indicador: .:
--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}' -
Si el controlador CSI del almacén de secretos ya está instalado en su clúster, agregue el siguiente indicador:
--set secrets-store-csi-driver.install=false. Esto omitirá la instalación del controlador CSI del almacén de secretos como dependencia.
-
Cómo instalarlo mediante el YAML del repositorio
-
Use los siguientes comandos.
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
Cómo verificar las instalaciones
Para verificar las instalaciones del clúster de EKS, el controlador CSI de Secrets Store y el complemento ASCP, siga estos pasos:
-
Verifique el clúster de EKS:
eksctl get cluster --nameclusterNameEste comando debería devolver información sobre el clúster.
-
Verifique la instalación del controlador CSI de Secrets Store:
kubectl get pods -n kube-system -l app=secrets-store-csi-driverDebería ver los pods en ejecución con nombres como
csi-secrets-store-secrets-store-csi-driver-xxx. -
Verifique la instalación del complemento ASCP:
Debería ver los pods con el estado
Running.
Después de ejecutar estos comandos, si todo está configurado correctamente, debería ver que todos los componentes se están ejecutando sin errores. Si encuentra algún problema, es posible que deba consultar los registros de los pods que contienen dicho problema para solucionarlo.
Solución de problemas
-
Para verificar los registros del proveedor del ASCP, ejecute:
kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws -
Verifique el estado de todos los pods en el espacio de nombres
kube-system:kubectl -n kube-system get podskubectl -n kube-system logs pod/PODIDTodos los pods relacionados con el controlador CSI y el ASCP deben tener el estado “En ejecución”.
-
Verifique la versión del controlador CSI:
kubectl get csidriver secrets-store.csi.k8s.io -o yamlEste comando debería devolver información sobre el controlador CSI instalado.
Recursos adicionales
Para obtener más información sobre el uso del ASCP con Amazon EKS, consulte los siguientes recursos:
