Configuration du plug-in Amazon VPC CNI pour utiliser IRSA - Amazon EKS
Étape 1 : créer le rôle IAM du plug-in Amazon VPC CNI pour KubernetesÉtape 2 : redéployer les pods du plug-in Amazon VPC CNI pour KubernetesÉtape 3 : suppression de la politique CNI du rôle IAM de nœudCréer une politique IAM pour les clusters qui utilisent la famille IPv6

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du plug-in Amazon VPC CNI pour utiliser IRSA

Le plug-in Amazon VPC CNI pour Kubernetes est le plug-in de mise en réseau des pods dans les clusters Amazon EKS. Le plug-in est chargé d’attribuer des adresses IP VPC aux nœuds Kubernetes et de configurer la mise en réseau nécessaire pour les pods sur chaque nœud.

Note

Le plug-in Amazon VPC CNI prend également en charge les identités des pods Amazon EKS. Pour de plus amples informations, veuillez consulter Attribuer un rôle IAM à un compte de service Kubernetes.

Le plugin :

  • Nécessite des autorisations AWS Identity and Access Management (IAM). Si votre cluster utilise la IPv4 famille, les autorisations sont spécifiées dans la politique AmazonEKS_CNI_Policy AWS gérée. Si votre cluster utilise la famille IPv6, les autorisations doivent être ajoutées à une politique IAM que vous créez. Pour les instructions, consultez Créer une politique IAM pour les clusters qui utilisent la famille IPv6. Vous pouvez attacher cette politique au rôle IAM de nœud Amazon EKS ou à un rôle IAM distinct. Pour savoir comment attacher la politique au rôle IAM du nœud Amazon EKS, consultez Rôle IAM de nœud Amazon EKS. Nous vous recommandons de l'affecter à un rôle séparé, comme détaillé dans cette rubrique.

  • Lors de son déploiement, le plug-in crée et est configuré pour utiliser un compte de service Kubernetes nommé aws-node. Le compte de service est lié à un clusterrole Kubernetes nommé aws-node, qui reçoit les autorisations Kubernetes requises.

Note

Les pods du plug-in Amazon VPC CNI pour Kubernetes héritent des autorisations du rôle IAM du nœud Amazon EKS, sauf si l’accès à IMDS est bloqué. Pour plus d'informations, consultez Restreindre l'accès au profil d'instance affecté au composant master.

Étape 1 : créer le rôle IAM du plug-in Amazon VPC CNI pour Kubernetes

  1. Déterminez la famille d'adresses IP de votre cluster.

    aws eks describe-cluster --name my-cluster | grep ipFamily

    L'exemple qui suit illustre un résultat.

    "ipFamily": "ipv4"

    La sortie peut renvoyer ipv6 à la place.

  2. Créez le rôle IAM. Vous pouvez utiliser eksctl ou kubectl et la AWS CLI pour créer votre rôle IAM.

    eksctl

    • Créez un rôle IAM et attachez la politique IAM au rôle avec la commande qui correspond à la famille d'adresses IP de votre cluster. La commande crée et déploie une AWS CloudFormation pile qui crée un rôle IAM, y attache la politique que vous spécifiez et annote le compte de aws-node service Kubernetes existant avec l'ARN du rôle IAM créé.

      • IPv4

        Remplacez my-cluster par votre propre valeur.

        eksctl create iamserviceaccount \
    --name aws-node \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKSVPCCNIRole \
    --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy \
    --override-existing-serviceaccounts \
    --approve

      • IPv6

        Remplacez my-cluster par votre propre valeur. Remplacez 111122223333 par l'ID de votre compte et remplacez AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6. Si vous ne disposez pas d’une politique IPv6, consultez Créer une politique IAM pour les clusters qui utilisent la famille IPv6 pour en créer une. Pour utiliser IPv6 avec votre cluster, ce dernier doit répondre à plusieurs exigences. Pour de plus amples informations, veuillez consulter En savoir plus sur IPv6 les adresses des clusters, des pods et des services.

        eksctl create iamserviceaccount \
    --name aws-node \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKSVPCCNIRole \
    --attach-policy-arn arn:aws: iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
    --override-existing-serviceaccounts \
    --approve
    kubectl et la CLI AWS

    1. Affichez l’URL du fournisseur OIDC de votre cluster.

      aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

      L'exemple qui suit illustre un résultat.

      https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

      Si aucune sortie n'est renvoyée, vous devez créer un fournisseur OIDC IAM pour votre cluster.

    2. Copiez le contenu suivant dans un fichier nommé vpc-cni-trust-policy.json. Remplacez 111122223333 par votre ID de compte et EXAMPLED539D4633E53DE1B71EXAMPLE par la sortie renvoyée à l'étape précédente. Remplacez region-code par la AWS région dans laquelle se trouve votre cluster.

      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
                    "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:aws-node"
                }
            }
        }
    ]
}

    3. Créez le rôle. Vous pouvez remplacer AmazonEKSVPCCNIRole par n'importe quel nom que vous choisissez.

      aws iam create-role \
  --role-name AmazonEKSVPCCNIRole \
  --assume-role-policy-document file://"vpc-cni-trust-policy.json"

    4. Attachez la politique IAM requise au rôle. Exécutez la commande qui correspond à la famille d'adresses IP de votre cluster.

      • IPv4 

        aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy \
  --role-name AmazonEKSVPCCNIRole

      • IPv6

        Remplacez 111122223333 par l'ID de votre compte et AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6. Si vous ne disposez pas d’une politique IPv6, consultez Créer une politique IAM pour les clusters qui utilisent la famille IPv6 pour en créer une. Pour utiliser IPv6 avec votre cluster, ce dernier doit répondre à plusieurs exigences. Pour de plus amples informations, veuillez consulter En savoir plus sur IPv6 les adresses des clusters, des pods et des services.

        aws iam attach-role-policy \
  --policy-arn arn:aws: iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
  --role-name AmazonEKSVPCCNIRole

    5. Exécutez la commande suivante pour annoter le compte de service aws-node avec l'ARN du rôle IAM que vous avez créé précédemment. Remplacez les exemples de valeurs par vos propres valeurs.

      kubectl annotate serviceaccount \
    -n kube-system aws-node \
    eks.amazonaws.com/role-arn=arn:aws: iam::111122223333:role/AmazonEKSVPCCNIRole

  3. (Facultatif) Configurez le type de point de terminaison du service AWS Security Token utilisé par votre compte de service Kubernetes. Pour de plus amples informations, veuillez consulter Configurer le point de terminaison du service de jetons de sécurité AWS pour un compte de service.

Étape 2 : redéployer les pods du plug-in Amazon VPC CNI pour Kubernetes

  1. Supprimez et recréez tous les pods existants associés au compte de service pour appliquer les variables d’environnement des informations d’identification. L’annotation n’est pas appliquée aux pods qui sont actuellement en cours d’exécution sans annotation. La commande suivante supprime les aws-node DaemonSet pods existants et les déploie avec l'annotation du compte de service.

    kubectl delete Pods -n kube-system -l k8s-app=aws-node

  2. Vérifiez que tous les pods ont redémarré.

    kubectl get pods -n kube-system -l k8s-app=aws-node

  3. Décrivez l’un des pods et confirmez la présence des variables d’environnement AWS_WEB_IDENTITY_TOKEN_FILE et AWS_ROLE_ARN. cpjw7Remplacez-le par le nom de l'un de vos pods renvoyé dans le résultat de l'étape précédente.

    kubectl describe pod -n kube-system aws-node-cpjw7 | grep 'AWS_ROLE_ARN:\|AWS_WEB_IDENTITY_TOKEN_FILE:'

    L'exemple qui suit illustre un résultat.

    AWS_ROLE_ARN: arn:aws: iam::111122223333:role/AmazonEKSVPCCNIRole
      AWS_WEB_IDENTITY_TOKEN_FILE:  /var/run/secrets/eks.amazonaws.com/serviceaccount/token
      AWS_ROLE_ARN: arn:aws: iam::111122223333:role/AmazonEKSVPCCNIRole
      AWS_WEB_IDENTITY_TOKEN_FILE:            /var/run/secrets/eks.amazonaws.com/serviceaccount/token

    Deux ensembles de résultats dupliqués sont renvoyés, car le pod comprend deux conteneurs. Les deux exemples présentent les mêmes valeurs.

    Si votre Pod utilise le point de terminaison AWS régional, la ligne suivante est également renvoyée dans la sortie précédente.

    AWS_STS_REGIONAL_ENDPOINTS=regional

Étape 3 : suppression de la politique CNI du rôle IAM de nœud

Si le rôle IAM de votre nœud Amazon EKS est actuellement associé à la politique AmazonEKS_CNI_Policy IAM (IPv4) ou à une IPv6 politique, et que vous avez créé un rôle IAM distinct, que vous lui avez attaché la politique et que vous l'avez attribué au compte de service aws-node Kubernetes, nous vous recommandons de supprimer la politique de votre rôle de nœud à l'aide de la commande AWS CLI correspondant à la famille d'adresses IP de votre cluster. Remplacez AmazonEKSNodeRole par le nom de votre rôle de nœud.

  • IPv4 

    aws iam detach-role-policy --role-name AmazonEKSNodeRole --policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy

  • IPv6

    Remplacez 111122223333 par l'ID de votre compte et AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6.

    aws iam detach-role-policy --role-name AmazonEKSNodeRole --policy-arn arn:aws: iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy

Créer une politique IAM pour les clusters qui utilisent la famille IPv6

Si vous avez créé un cluster utilisant la famille IPv6 et que celui-ci utilise la version 1.10.1 ou ultérieure du module complémentaire plug-in Amazon VPC CNI pour Kubernetes, vous devez créer une politique IAM destinée à être attribuée à un rôle IAM. Si vous disposez d’un cluster existant qui n’a pas été configuré avec la famille IPv6 lors de sa création, alors, pour utiliser IPv6, vous devez créer un nouveau cluster. Pour plus d'informations sur l'utilisation de IPv6 avec votre cluster, veuillez consulter En savoir plus sur IPv6 les adresses des clusters, des pods et des services.

  1. Copiez la politique suivante et enregistrez-la dans un fichier appelé vpc-cni-ipv6-policy.json.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeInstances",
                "ec2:DescribeTags",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstanceTypes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

  2. Créez la politique IAM.

    aws iam create-policy --policy-name AmazonEKS_CNI_IPv6_Policy --policy-document file://vpc-cni-ipv6-policy.json