FAQ sur Amazon EKS sur AWS Fargate AWS Managed Services

Utilisez AMS SSP pour activer Amazon EKS sur AWS Fargate votre compte AMS

Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Fargate fonctionnalités d'Amazon EKS directement depuis votre compte géré AMS. AWS Fargate est une technologie qui fournit une capacité de calcul adaptée à la demande pour les conteneurs (pour comprendre les conteneurs, voir Que sont les conteneurs ? ). Ainsi AWS Fargate, vous n'avez plus besoin de provisionner, de configurer ou de dimensionner des groupes de machines virtuelles pour exécuter des conteneurs. Vous n'avez plus à choisir de types de serveurs, à décider quand vos clusters doivent être mis à l'échelle, ni à optimiser les packs de clusters.

Amazon Elastic Kubernetes Service (Amazon EKS) intègre AWS Fargate Kubernetes à l'aide de contrôleurs AWS conçus à l'aide du modèle extensible en amont fourni par Kubernetes. Ces contrôleurs s'exécutent dans le cadre du plan de contrôle Kubernetes géré par Amazon EKS et sont chargés de planifier les pods Kubernetes natifs sur Fargate. Les contrôleurs Fargate comprennent un nouveau planificateur qui s'exécute parallèlement au planificateur Kubernetes par défaut, en plus de plusieurs contrôleurs d'admission mutants et validants. Lorsque vous démarrez un pod qui répond aux critères d'exécution sur Fargate, les contrôleurs Fargate exécutés dans le cluster reconnaissent, mettent à jour et programment le pod sur Fargate.

Pour en savoir plus, consultez Amazon EKS on AWS Fargate Now Generally Available et le Guide des meilleures pratiques d'Amazon EKS en matière de sécurité (qui inclut des « recommandations » telles que « Vérifier et révoquer les accès anonymes inutiles », etc.).

Astuce

AMS propose un type de modification, Deployment | Advanced stack components | Identity and Access Managment (IAM) | Create OpenID Connect provider (ct-30ecvfi3tq4k3), que vous pouvez utiliser avec Amazon EKS. Pour un exemple, voir Identity and Access Management (IAM) | Create OpenID Connect Provider.

FAQ sur Amazon EKS sur AWS Fargate AWS Managed Services

Q : Comment puis-je demander l'accès à Amazon EKS sur Fargate depuis mon compte AMS ?

Demandez l'accès en soumettant un type de modification Gestion | AWS service | Service auto-approvisionné | Ajouter (révision requise) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte.

customer_eks_fargate_console_role.

Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Ces rôles de service autorisent Amazon EKS on Fargate à appeler d' AWS autres services en votre nom :
- customer_eks_pod_execution_role
- customer_eks_cluster_service_role

Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon EKS sur Fargate dans mon compte AMS ?

La création de EC2 groupes de nœuds gérés ou autogérés n'est pas prise en charge dans AMS. Si vous devez utiliser des nœuds de EC2 travail, contactez votre responsable de prestation de services cloud (CSDM) ou votre architecte cloud (CA) AMS.
AMS n'inclut pas Trend Micro ni les composants de sécurité réseau préconfigurés pour les images de conteneur. Vous devez gérer vos propres services de numérisation d'images afin de détecter les images de conteneur malveillantes avant le déploiement.
EKSCTL n'est pas pris en charge en raison des interdépendances. CloudFormation
Lors de la création du cluster, vous êtes autorisé à désactiver la journalisation du plan de contrôle du cluster. Pour plus d'informations, consultez Journalisation du plan de contrôle Amazon EKS. Nous vous conseillons d'activer toutes les API, l'authentification et la journalisation d'audit importantes lors de la création du cluster.
Lors de la création du cluster, l'accès aux points de terminaison du cluster pour les clusters Amazon EKS est défini par défaut sur public ; pour plus d'informations, consultez la section Contrôle d'accès aux points de terminaison du cluster Amazon EKS. Nous recommandons que les points de terminaison Amazon EKS soient définis comme privés. Si des points de terminaison sont requis pour un accès public, il est recommandé de les définir comme publics uniquement pour des plages d'adresses CIDR spécifiques.
AMS ne dispose d'aucune méthode pour forcer et restreindre les images utilisées pour le déploiement dans des conteneurs sur Amazon EKS Fargate. Vous pouvez déployer des images depuis Amazon ECR, Docker Hub ou tout autre référentiel d'images privé. Par conséquent, il existe un risque de déploiement d'une image publique susceptible d'entraîner une activité malveillante sur le compte.
Le déploiement de clusters EKS via le kit de développement cloud (CDK) ou CloudFormation Ingest n'est pas pris en charge dans AMS.
Vous devez créer le groupe de sécurité requis à l'aide de ct-3pc215bnwb6p7 Déploiement | Composants de pile avancés | Groupe de sécurité | Créer et référencer dans le fichier manifeste pour la création d'entrées. Cela est dû au fait que le rôle customer-eks-alb-ingress-controller-role n'est pas autorisé à créer des groupes de sécurité.

Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon EKS sur Fargate dans mon compte AMS ?

Pour utiliser le service, les dépendances suivantes doivent être configurées :

Pour s'authentifier auprès du service, KUBECTL aws-iam-authenticator doit être installé ; pour plus d'informations, consultez la section Gestion de l'authentification du cluster.
Kubernetes repose sur un concept appelé « comptes de service ». Afin d'utiliser la fonctionnalité des comptes de service au sein d'un cluster Kubernetes sur EKS, une RFC Management | Other | Other | Update est requise avec les entrées suivantes :
- [Obligatoire] Nom du cluster Amazon EKS
- [Obligatoire] Espace de noms du cluster Amazon EKS dans lequel le compte de service (SA) sera déployé.
- [Obligatoire] Nom Amazon EKS Cluster SA.
- [Obligatoire] Nom de la politique IAM et permissions/document à associer.
- [Obligatoire] Le nom du rôle IAM est demandé.
- [Facultatif] URL du fournisseur OpenID Connect. Pour de plus amples informations, veuillez consulter
  - Activation des rôles IAM pour les comptes de service de votre cluster
  - Présentation de rôles IAM précis pour les comptes de service
Nous recommandons de configurer et de surveiller les règles de configuration pour
- Points de terminaison de clusters publics
- Journalisation des API désactivée
Il est de votre responsabilité de surveiller et de corriger ces règles de Config.

Si vous souhaitez déployer un contrôleur ALB Ingress, soumettez une RFC Management | Other | Other Update pour configurer le rôle IAM nécessaire à utiliser avec le pod ALB Ingress Controller. Les entrées suivantes sont requises pour créer des ressources IAM à associer à ALB Ingress Controller (incluez-les dans votre RFC) :

[Obligatoire] Nom du cluster Amazon EKS
[Facultatif] URL du fournisseur OpenID Connect
[Facultatif] Espace de noms du cluster Amazon EKS dans lequel le service de contrôleur d'entrée ALB (Application Load Balancer) sera déployé. [par défaut : kube-system]
[Facultatif] Nom du compte de service Amazon EKS Cluster (SA). [par défaut : aws-load-balancer-controller]

Si vous souhaitez activer le chiffrement des enveloppes secrètes dans votre cluster (ce que nous recommandons), indiquez la clé KMS IDs que vous souhaitez utiliser, dans le champ de description de la RFC pour ajouter le service (Gestion | service | Service auto-provisionné | Ajouter ( AWS ct-1w8z66n899dct). Pour en savoir plus sur le chiffrement d'enveloppe, consultez Amazon EKS ajoute le chiffrement d'enveloppe pour les secrets avec AWS KMS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon ECS sur AWS Fargate

Amazon EMR