Préparation de l’accès au cluster pour les nœuds hybrides - Amazon EKS
Utilisation des entrées d’accès Amazon EKS pour le rôle IAM des nœuds hybridesUtilisation d’aws-auth ConfigMap pour le rôle IAM des nœuds hybrides

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Préparation de l’accès au cluster pour les nœuds hybrides

Avant de connecter des nœuds hybrides à votre cluster Amazon EKS, vous devez activer votre rôle IAM pour les nœuds hybrides avec les autorisations Kubernetes afin de rejoindre le cluster. Pour plus d’informations sur la création du rôle IAM de nœuds hybrides, consultez Préparer les informations d’identification pour les nœuds hybrides. Amazon EKS prend en charge deux méthodes pour associer les principaux IAM au contrôle d’accès basé sur les rôles (RBAC) Kubernetes, aux entrées d’accès Amazon EKS et à la aws-auth ConfigMap. Pour plus d’informations sur la gestion des accès Amazon EKS, consultez Autoriser les utilisateurs et les rôles IAM à accéder aux API Kubernetes.

Suivez les procédures ci-dessous pour associer votre rôle IAM des nœuds hybrides aux autorisations Kubernetes. Pour utiliser les entrées d’accès Amazon EKS, votre cluster doit avoir été créé avec les modes d’authentification API ou API_AND_CONFIG_MAP. Pour utiliser aws-auth ConfigMap, votre cluster doit avoir été créé avec le mode d’authentification API_AND_CONFIG_MAP. Le mode d’authentification CONFIG_MAP-uniquement n’est pas pris en charge pour les clusters Amazon EKS compatibles avec les nœuds hybrides.

Utilisation des entrées d’accès Amazon EKS pour le rôle IAM des nœuds hybrides

Il existe un type d’entrée d’accès Amazon EKS pour les nœuds hybrides nommé HYBRID_LINUX qui peut être utilisé avec un rôle IAM. Avec ce type d’entrée d’accès, le nom d’utilisateur est automatiquement défini sur system:node:{{SessionName}}. Pour plus d’informations sur la création d’entrées d’accès, voir Créer des entrées d’accès.

AWS CLI

  1. Vous devez disposer de la dernière version de l’interface AWS CLI installée et configurée sur votre appareil. Pour vérifier votre version actuelle, utilisez aws --version. Les gestionnaires de paquets tels que yum, apt-get ou Homebrew pour macOS ont souvent plusieurs versions de retard par rapport à la dernière version de l’interface CLI AWS. Pour installer la dernière version, consultez les sections Installation et Configuration rapide avec aws configure du Guide de l’utilisateur de l’interface de la ligne de commande AWS.

  2. Créez votre entrée d’accès à l’aide de la commande suivante. Remplacez CLUSTER_NAME par le nom de votre cluster et HYBRID_NODES_ROLE_ARN par l’ARN du rôle que vous avez créé dans les étapes précédentes pour Préparer les informations d’identification pour les nœuds hybrides.

    aws eks create-access-entry --cluster-name CLUSTER_NAME \
    --principal-arn HYBRID_NODES_ROLE_ARN \
    --type HYBRID_LINUX

AWS Management Console

  1. Ouvrez la console Amazon EKS à l’adresse Amazon EKS console.

  2. Choisissez le nom de votre cluster compatible avec les nœuds hybrides.

  3. Choisissez l'onglet Access.

  4. Choisissez Créer une entrée d'accès.

  5. Pour le principal IAM, sélectionnez le rôle IAM des nœuds hybrides que vous avez créé dans les étapes pour Préparer les informations d’identification pour les nœuds hybrides.

  6. Pour Type, sélectionnez Linux hybride.

  7. (Facultatif) Pour Balises, attribuez des étiquettes à l'entrée d'accès. Par exemple, pour faciliter la recherche de toutes les ressources portant la même balise.

  8. Choisissez Passer à la révision et à la création. Vous ne pouvez pas ajouter de stratégies à l’entrée d’accès Linux hybride ni modifier sa portée d’accès.

  9. Vérifiez la configuration de votre entrée d'accès. Si quelque chose semble incorrect, choisissez Précédent pour revenir en arrière et corriger l'erreur. Si la configuration est correcte, choisissez Créer.

Utilisation d’aws-auth ConfigMap pour le rôle IAM des nœuds hybrides

Dans les étapes suivantes, vous allez créer ou mettre à jour la ConfigMap aws-auth avec l’ARN du rôle IAM des nœuds hybrides que vous avez créé dans les étapes pour Préparer les informations d’identification pour les nœuds hybrides.

  1. Vérifier si vous disposez d’un aws-auth ConfigMap existant pour votre cluster. Notez que si vous utilisez un fichier kubeconfig spécifique, utilisez le drapeau --kubeconfig.

    kubectl describe configmap -n kube-system aws-auth

  2. Si une ConfigMap aws-auth s’affiche, mettez-la à jour si nécessaire.

    1. Ouvrez la ConfigMap pour la modifier.

      kubectl edit -n kube-system configmap/aws-auth

    2. Ajoutez une nouvelle entrée mapRoles si nécessaire. Remplacez HYBRID_NODES_ROLE_ARN par l’ARN de votre rôle IAM des nœuds hybrides. Remarque : {{SessionName}} est le format de modèle correct à enregistrer dans la ConfigMap. Ne le remplacez pas par d’autres valeurs.

      data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}

    3. Enregistrez le fichier et quittez votre éditeur de texte.

  3. S’il n’existe pas encore de ConfigMap aws-auth pour votre cluster, créez-en une à l’aide de la commande suivante. Remplacez HYBRID_NODES_ROLE_ARN par l’ARN de votre rôle IAM des nœuds hybrides. Remarque : {{SessionName}} est le format de modèle correct à enregistrer dans la ConfigMap. Ne le remplacez pas par d’autres valeurs.

    kubectl apply -f=/dev/stdin <<-EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}
EOF