Vérification des conditions requises pour Container Insights dans CloudWatch - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérification des conditions requises pour Container Insights dans CloudWatch

Avant d'installer Container Insights sur Amazon EKS ou Kubernetes, vérifiez les points suivants. Ces prérequis s'appliquent que vous utilisiez l' CloudWatch agent ou AWS Distro pour OpenTelemetry configurer Container Insights sur des clusters Amazon EKS.

Vous devez également accorder des autorisations IAM pour permettre à vos nœuds de travail Amazon EKS d'envoyer des métriques et des journaux à CloudWatch. Il existe deux façons de procéder :

  • Attachez une politique au rôle IAM de vos composants master. Cela fonctionne pour les clusters Amazon EKS et autres clusters Kubernetes.

  • Utilisez un rôle IAM pour les comptes de service pour le cluster et attachez la politique à ce rôle. Cela ne fonctionne que pour les clusters Amazon EKS.

La première option accorde des autorisations CloudWatch pour l'ensemble du nœud, tandis que l'utilisation d'un rôle IAM pour le compte de service donne CloudWatch accès uniquement aux pods daemonset appropriés.

Attacher une politique au rôle IAM de vos composants master

Procédez comme suit pour attacher la politique au rôle IAM de vos composants master. Cela fonctionne à la fois pour les clusters Amazon EKS et les clusters Kubernetes en dehors d'Amazon EKS.

Pour ajouter la politique nécessaire au rôle IAM pour vos composants master
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Sélectionnez l'une des instances de composant master, puis choisissez le rôle IAM dans la description.

  3. Sur la page du rôle IAM, choisissez Attach policies (Attacher des politiques).

  4. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver cette politique.

  5. Choisissez Attach Policies (Attacher des politiques).

Si vous exécutez un cluster Kubernetes à l'extérieur d'Amazon EKS, il est possible que vous n'ayez pas encore de rôle IAM attaché à vos composants master. Si tel est le cas, vous devez d'abord attacher le rôle IAM à l'instance, puis ajouter la politique comme expliqué dans les étapes précédentes. Pour plus d'informations sur l'attachement d'un rôle à une instance, consultez Attacher un rôle IAM à une instance dans le guide de l' EC2 utilisateur Amazon.

Si vous exécutez un cluster Kubernetes en dehors d'Amazon EKS et que vous souhaitez collecter le volume EBS IDs dans les métriques, vous devez ajouter une autre politique au rôle IAM attaché à l'instance. Ajoutez les éléments suivants en tant que politique en ligne. Pour plus d'informations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide de l'utilisateur IAM.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] }

Utilisation d'un rôle de compte de service IAM

Cette méthode fonctionne uniquement sur les clusters Amazon EKS.

Pour autoriser l' CloudWatch utilisation d'un rôle de compte de service IAM
  1. Si vous ne l'avez pas déjà fait, activez les rôles IAM pour les comptes de service sur votre cluster. Pour plus d'informations, consultez Activation des rôles IAM pour les comptes de service sur votre cluster.

  2. Si vous ne l'avez pas encore fait, configurez le compte de service pour utiliser un rôle IAM. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour assumer un rôle IAM.

    Lorsque vous créez le rôle, associez la stratégie CloudWatchAgentServerPolicyIAM au rôle en plus de la stratégie que vous créez pour le rôle. En outre, le compte de service Kubernetes associé associé à ce rôle doit être créé dans l'espace de amazon-cloudwatch noms, où les daemonsets CloudWatch et Fluent Bit seront déployés dans les prochaines étapes

  3. Si vous ne l'avez pas déjà fait, associez le rôle IAM à un compte de service de votre cluster. Pour plus d'informations, consultez Configuration d'un compte de service Kubernetes pour assumer un rôle IAM.