Aidez à améliorer cette page
Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.
Configurer l’agent de l’identité du pod Amazon EKS
Les associations de l’identité du pod Amazon EKS offrent une capacité de gestion des informations d’identification à utiliser pour les applications, de la même façon que les profils d’instance Amazon EC2 fournissent des informations d’identification aux instances EC2.
L’identité du pod Amazon EKS fournit des informations d’identification à vos charges de travail avec une API d’authentification EKS supplémentaire et un pod d’agent qui s’exécute sur chaque nœud.
Astuce
Vous n’avez pas besoin d’installer l’agent de l’identité du pod Amazon EKS sur les clusters du mode automatique EKS. Cette fonctionnalité est créée dans le mode automatique EKS.
Considérations
-
Par défaut, l’agent de l’identité du pod Amazon EKS est préinstallé sur les clusters du mode automatique EKS. Pour en savoir plus, veuillez consulter la section Automatisation de l’infrastructure du cluster avec le mode automatique EKS.
-
Par défaut, l’agent d’identité du pod EKS écoute sur une adresse
IPv4etIPv6pour que les pods puissent demander des informations d’identification. L’agent utilise l’adresse IP de bouclage (localhost)169.254.170.23pourIPv4et l’adresse IP localhost[fd00:ec2::23]pourIPv6. -
Si vous désactivez les adresses
IPv6ou empêchez d’une autre manière les adresses IPIPv6localhost, l’agent ne peut pas démarrer. Pour démarrer l’agent sur des nœuds qui ne peuvent pas utiliserIPv6, suivez les étapes décrites dans Désactiver IPv6 dans l’agent d’identité du pod EKS pour désactiver la configurationIPv6.
Création d’un agent d’identité du pod Amazon EKS
Conditions préalables pour l’agent
-
Un cluster Amazon EKS existant. Pour en déployer un, consultez Mise en route avec Amazon EKS. La version du cluster et la version de plateforme doivent être identiques ou supérieures aux versions répertoriées dans Versions du cluster de l’identité du pod EKS.
-
Le rôle de nœud dispose d’autorisations permettant à l’agent d’effectuer l’action
AssumeRoleForPodIdentitydans l’API d’authentification EKS. Vous pouvez utiliser la politique gérée par AWS : AmazonEKSWorkerNodePolicy ou ajouter une politique personnalisée similaire à celle-ci :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }Cette action peut être limitée par des balises pour restreindre les rôles qui peuvent être assumés par les pods qui utilisent l’agent.
-
Les nœuds peuvent atteindre et télécharger des images à partir d’Amazon ECR. L’image de conteneur pour le module complémentaire se trouve dans les registres répertoriés dans Afficher les registres d’images de conteneur Amazon pour les modules complémentaires Amazon EKS.
Veuillez noter que vous pouvez modifier l’emplacement de l’image et fournir
imagePullSecretspour les modules complémentaires EKS dans les Paramètres de configuration facultatifs de la AWS Management Console et dans les--configuration-valuesde l’interface AWS CLI. -
Les nœuds peuvent accéder à l’API d’authentification Amazon EKS. Pour les clusters privés, le point de terminaison
eks-authdans AWS PrivateLink est requis.
Configurer l’agent avec la console AWS
-
Ouvrez la console Amazon EKS
. -
Dans le panneau de navigation de gauche, sélectionnez Clusters, puis sélectionnez le nom du cluster pour lequel vous souhaitez configurer le module complémentaire l’agent d’identité du pod EKS.
-
Choisissez l'onglet Modules complémentaires.
-
Choisissez Obtenez plus de modules complémentaires.
-
Cochez la case en haut à droite du module complémentaire de l’agent d’identité du pod EKS, puis sélectionnez Suivant.
-
Sur la page Configurer les paramètres de modules complémentaires sélectionnés, sélectionnez n’importe quelle Version dans la liste déroulante Version.
-
(Facultatif) Développez les Paramètres de configuration facultatifs pour entrer une configuration supplémentaire. Par exemple, vous pouvez fournir un autre emplacement d’image de conteneur et
ImagePullSecrets. Le schéma JSON avec les clés acceptées est présenté dans Schéma de configuration du module complémentaire.Saisissez les clés et les valeurs de configuration dans Valeurs de configuration.
-
Choisissez Suivant.
-
Confirmez que les pods de l’agent d’identité du pod EKS sont en cours d’exécution sur votre cluster.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'L'exemple qui suit illustre un résultat.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hVous pouvez maintenant utiliser les associations d’identité du pod EKS dans votre cluster. Pour de plus amples informations, consultez Attribuer un rôle IAM à un compte de service Kubernetes.
Configurer l’agent avec l’interface AWS CLI
-
Exécutez la commande AWS CLI suivante. Remplacez
my-clusterpar le nom de votre cluster.aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1Note
L’agent de l’identité du pod Amazon EKS n’utilise pas le
service-account-role-arnpour les rôles IAM pour les comptes de service. Vous devez fournir à l’agent d’identité du pod EKS des autorisations dans le rôle de nœud. -
Confirmez que les pods de l’agent d’identité du pod EKS sont en cours d’exécution sur votre cluster.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'L'exemple qui suit illustre un résultat.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hVous pouvez maintenant utiliser les associations d’identité du pod EKS dans votre cluster. Pour de plus amples informations, consultez Attribuer un rôle IAM à un compte de service Kubernetes.
