Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Installation d'ASCP pour Amazon EKS
Cette section explique comment installer le fournisseur de AWS secrets et de configuration pour Amazon EKS. Avec ASCP, vous pouvez monter des secrets à partir de Secrets Manager et des paramètres AWS Systems Manager sous forme de fichiers dans Amazon EKS Pods.
Prérequis
-
Un cluster Amazon EKS
-
Version 1.24 ou ultérieure pour Pod Identity
-
Version 1.17 ou ultérieure pour IRSA
-
-
Le AWS CLI installé et configuré
-
kubectl installé et configuré pour votre cluster Amazon EKS
-
Helm (version 3.0 ou ultérieure)
Installation et configuration de l'ASCP
L'ASCP est disponible GitHub dans le référentiel secrets-store-csi-provider-aws
Pendant l'installation, vous pouvez configurer l'ASCP pour utiliser un point de terminaison FIPS. Pour obtenir la liste des points de terminaison , consultez AWS Secrets Manager points de terminaison.
Pour installer l'ASCP à l'aide de Helm
-
Pour vous assurer que le dépôt pointe vers les derniers graphiques, utilisez
helm repo update. -
Installez le chart. Voici un exemple de
helm installcommande :helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws-
Pour utiliser un point de terminaison FIPS, ajoutez l'indicateur suivant :
--set useFipsEndpoint=true -
Pour configurer la régulation, ajoutez l'indicateur suivant :
--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}' -
Si le pilote CSI Secrets Store est déjà installé sur votre cluster, ajoutez l'indicateur suivant :
--set secrets-store-csi-driver.install=false. Cela ignorera l'installation du pilote CSI Secrets Store en tant que dépendance.
-
Pour installer en utilisant le code YAML dans le dépôt
-
Utilisez les commandes suivantes.
helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
Vérifiez les installations
Pour vérifier les installations de votre cluster EKS, du pilote CSI Secrets Store et du plug-in ASCP, procédez comme suit :
-
Vérifiez le cluster EKS :
eksctl get cluster --nameclusterNameCette commande doit renvoyer des informations sur votre cluster.
-
Vérifiez l'installation du pilote CSI de Secrets Store :
kubectl get pods -n kube-system -l app=secrets-store-csi-driverVous devriez voir des pods fonctionner avec des noms tels que
csi-secrets-store-secrets-store-csi-driver-xxx. -
Vérifiez l'installation du plugin ASCP :
Vous devriez voir Pods dans l'
RunningÉtat.
Après avoir exécuté ces commandes, si tout est correctement configuré, vous devriez voir tous les composants fonctionner sans aucune erreur. Si vous rencontrez des problèmes, vous devrez peut-être les résoudre en consultant les journaux des pods spécifiques qui rencontrent des problèmes.
Résolution des problèmes
-
Pour consulter les journaux du fournisseur ASCP, exécutez :
kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws -
Vérifiez l'état de tous les pods de l'espace de
kube-systemnoms :kubectl -n kube-system get podskubectl -n kube-system logs pod/PODIDTous les pods liés au pilote CSI et à l'ASCP doivent être dans l'état « En cours d'exécution ».
-
Vérifiez la version du pilote CSI :
kubectl get csidriver secrets-store.csi.k8s.io -o yamlCette commande doit renvoyer des informations sur le pilote CSI installé.
Ressources supplémentaires
Pour plus d'informations sur l'utilisation d'ASCP avec Amazon EKS, consultez les ressources suivantes :
