Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vérification des conditions requises pour Container Insights dans CloudWatch
Avant d'installer Container Insights sur Amazon EKS ou Kubernetes, vérifiez les points suivants. Ces prérequis s'appliquent que vous utilisiez l' CloudWatch agent ou AWS Distro pour OpenTelemetry configurer Container Insights sur des clusters Amazon EKS.
-
Vous disposez d'un cluster Amazon EKS ou Kubernetes fonctionnel avec des nœuds attachés dans l'une des régions prenant en charge Container Insights pour Amazon EKS et Kubernetes. Pour obtenir la liste des régions prises en charge, consultez Container Insights.
-
kubectlest installé et en cours d'exécution. Pour plus d'informations, consultez Installation dekubectldans le Guide de l'utilisateur Amazon EKS. -
Si vous utilisez Kubernetes en cours d'exécution au AWS lieu d'Amazon EKS, les conditions préalables suivantes sont également nécessaires :
-
Assurez-vous que votre cluster Kubernetes a activé le contrôle d'accès basé sur les rôles (RBAC). Pour plus d'informations, consultez Using RBAC Authorization (Utilisation des autorisations de contrôle d'accès basé sur les rôle)
dans la documentation Reference de Kubernetes. -
Votre Kubelet a activé le mode d'autorisation Webhook. Pour plus d'informations, consultez Kubelet authentication/authorization (Authentification/autorisation Kubelet)
dans la documentation Reference de Kubernetes.
-
Vous devez également accorder des autorisations IAM pour permettre à vos nœuds de travail Amazon EKS d'envoyer des métriques et des journaux à CloudWatch. Il existe deux façons de procéder :
-
Attachez une politique au rôle IAM de vos composants master. Cela fonctionne pour les clusters Amazon EKS et autres clusters Kubernetes.
-
Utilisez un rôle IAM pour les comptes de service pour le cluster et attachez la politique à ce rôle. Cela ne fonctionne que pour les clusters Amazon EKS.
La première option accorde des autorisations CloudWatch pour l'ensemble du nœud, tandis que l'utilisation d'un rôle IAM pour le compte de service donne CloudWatch accès uniquement aux pods daemonset appropriés.
Attacher une politique au rôle IAM de vos composants master
Procédez comme suit pour attacher la politique au rôle IAM de vos composants master. Cela fonctionne à la fois pour les clusters Amazon EKS et les clusters Kubernetes en dehors d'Amazon EKS.
Pour ajouter la politique nécessaire au rôle IAM pour vos composants master
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/
. -
Sélectionnez l'une des instances de composant master, puis choisissez le rôle IAM dans la description.
-
Sur la page du rôle IAM, choisissez Attach policies (Attacher des politiques).
-
Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver cette politique.
-
Choisissez Attach Policies (Attacher des politiques).
Si vous exécutez un cluster Kubernetes à l'extérieur d'Amazon EKS, il est possible que vous n'ayez pas encore de rôle IAM attaché à vos composants master. Si tel est le cas, vous devez d'abord attacher le rôle IAM à l'instance, puis ajouter la politique comme expliqué dans les étapes précédentes. Pour plus d'informations sur l'attachement d'un rôle à une instance, consultez Attacher un rôle IAM à une instance dans le guide de l' EC2 utilisateur Amazon.
Si vous exécutez un cluster Kubernetes en dehors d'Amazon EKS et que vous souhaitez collecter le volume EBS IDs dans les métriques, vous devez ajouter une autre politique au rôle IAM attaché à l'instance. Ajoutez les éléments suivants en tant que politique en ligne. Pour plus d'informations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] }
Utilisation d'un rôle de compte de service IAM
Cette méthode fonctionne uniquement sur les clusters Amazon EKS.
Pour autoriser l' CloudWatch utilisation d'un rôle de compte de service IAM
-
Si vous ne l'avez pas déjà fait, activez les rôles IAM pour les comptes de service sur votre cluster. Pour plus d'informations, consultez Activation des rôles IAM pour les comptes de service sur votre cluster.
-
Si vous ne l'avez pas encore fait, configurez le compte de service pour utiliser un rôle IAM. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour assumer un rôle IAM.
Lorsque vous créez le rôle, associez la stratégie CloudWatchAgentServerPolicyIAM au rôle en plus de la stratégie que vous créez pour le rôle. En outre, le compte de service Kubernetes associé associé à ce rôle doit être créé dans l'espace de
amazon-cloudwatchnoms, où les daemonsets CloudWatch et Fluent Bit seront déployés dans les prochaines étapes -
Si vous ne l'avez pas déjà fait, associez le rôle IAM à un compte de service de votre cluster. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour assumer un rôle IAM.
