FAQ Amazon EKS AWS Fargate aktif di AWS Managed Services

Gunakan AMS SSP untuk menyediakan Amazon EKS AWS Fargate di akun AMS Anda

Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon EKS pada AWS Fargate kemampuan langsung di akun terkelola AMS Anda. AWS Fargate adalah teknologi yang menyediakan kapasitas komputasi sesuai permintaan dan berukuran tepat untuk kontainer (untuk memahami kontainer, lihat Apa itu Kontainer? ). Dengan AWS Fargate, Anda tidak perlu lagi menyediakan, mengonfigurasi, atau menskalakan grup mesin virtual untuk menjalankan kontainer. Dengan begitu, Anda tidak perlu memilih jenis server, memutuskan kapan untuk skala simpul grup Anda, atau mengoptimalkan klaster packing.

Amazon Elastic Kubernetes Service (Amazon EKS) mengintegrasikan AWS Fargate Kubernetes dengan menggunakan kontroler yang AWS dibangun menggunakan model upstream yang dapat diperluas yang disediakan oleh Kubernetes. Pengontrol ini berjalan sebagai bagian dari bidang kontrol Kubernetes yang dikelola Amazon EKS dan bertanggung jawab untuk menjadwalkan pod Kubernetes asli ke Fargate. Pengendali Fargate termasuk penjadwal baru yang berjalan dengan penjadwal Kubernetes default selain beberapa pengendali masuk urusan mutasi dan validasi. Ketika Anda memulai pod yang memenuhi kriteria untuk berjalan di Fargate, pengendali Fargate yang berjalan di klaster akan mengenali, memperbarui, dan menjadwal pod ke Fargate.

Untuk mempelajari lebih lanjut, lihat Amazon EKS di AWS Fargate Sekarang Tersedia Secara Umum dan Panduan Praktik Terbaik Amazon EKS untuk Keamanan (termasuk “Rekomendasi” seperti “Tinjau dan cabut akses anonim yang tidak perlu” dan banyak lagi).

Tip

AMS memiliki tipe perubahan, Deployment | Komponen tumpukan lanjutan | Manajemen Identitas dan Akses (IAM) | Buat penyedia OpenID Connect (ct-30ecvfi3tq4k3), yang dapat Anda gunakan dengan Amazon EKS. Sebagai contoh, lihat Identity and Access Management (IAM) | Membuat Penyedia OpenID Connect.

FAQ Amazon EKS AWS Fargate aktif di AWS Managed Services

T: Bagaimana cara meminta akses ke Amazon EKS di Fargate di akun AMS saya?

Minta akses dengan mengirimkan Manajemen | AWS layanan | Layanan yang disediakan sendiri | Tambahkan (diperlukan ulasan) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda.

customer_eks_fargate_console_role.

Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Peran layanan ini memberi Amazon EKS di Fargate izin untuk memanggil AWS layanan lain atas nama Anda:
- customer_eks_pod_execution_role
- customer_eks_cluster_service_role

T: Apa batasan untuk menggunakan Amazon EKS di Fargate di akun AMS saya?

Membuat EC2 nodegroup yang dikelola atau dikelola sendiri tidak didukung di AMS. Jika Anda memiliki persyaratan untuk menggunakan node EC2 pekerja, hubungi AMS Cloud Service Delivery Manager (CSDM) atau Cloud Architect (CA).
AMS tidak menyertakan Trend Micro atau komponen keamanan jaringan yang telah dikonfigurasi sebelumnya untuk gambar kontainer. Anda diharapkan untuk mengelola layanan pemindaian gambar Anda sendiri untuk mendeteksi gambar kontainer berbahaya sebelum penerapan.
EKSCTL tidak didukung karena saling ketergantungan. CloudFormation
Selama pembuatan klaster, Anda memiliki izin untuk menonaktifkan pencatatan bidang kontrol cluster. Untuk informasi selengkapnya, lihat Amazon EKS mengontrol pencatatan pesawat. Kami menyarankan agar Anda mengaktifkan semua pencatatan API, Otentikasi, dan Audit penting pada pembuatan klaster.
Selama pembuatan klaster, akses titik akhir klaster untuk kluster Amazon EKS secara default menjadi publik; untuk informasi selengkapnya, lihat kontrol akses titik akhir klaster Amazon EKS. Kami menyarankan agar titik akhir Amazon EKS disetel ke pribadi. Jika titik akhir diperlukan untuk akses publik, maka itu adalah praktik terbaik untuk mengaturnya ke publik hanya untuk rentang CIDR tertentu.
AMS tidak memiliki metode untuk memaksa dan membatasi gambar yang digunakan untuk menyebarkan ke wadah di Amazon EKS Fargate. Anda dapat menerapkan gambar dari Amazon ECR, Docker Hub, atau repositori gambar pribadi lainnya. Oleh karena itu, ada risiko menyebarkan citra publik yang mungkin melakukan aktivitas berbahaya di akun.
Menerapkan kluster EKS melalui cloud development kit (CDK) atau CloudFormation Ingest tidak didukung di AMS.
Anda harus membuat grup keamanan yang diperlukan menggunakan ct-3pc215bnwb6p7 Deployment | Komponen tumpukan lanjutan | Grup keamanan | Buat dan referensi dalam file manifes untuk pembuatan ingress. Ini karena peran tersebut customer-eks-alb-ingress-controller-role tidak diizinkan untuk membuat grup keamanan.

T: Apa prasyarat atau dependensi untuk menggunakan Amazon EKS di Fargate di akun AMS saya?

Untuk menggunakan layanan ini, dependensi berikut harus dikonfigurasi:

Untuk autentikasi terhadap layanan, baik KUBECTL maupun aws-iam-authenticator harus diinstal; untuk informasi selengkapnya, lihat Mengelola otentikasi klaster.
Kubernetes mengandalkan konsep yang disebut “akun layanan.” Untuk memanfaatkan fungsionalitas akun layanan di dalam klaster kubernetes di EKS, Manajemen | Lainnya | Lainnya | Pembaruan RFC diperlukan dengan masukan berikut:
- [Diperlukan] Nama Cluster Amazon EKS
- [Diperlukan] Namespace Amazon EKS Cluster tempat akun layanan (SA) akan digunakan.
- [Diperlukan] Nama Amazon EKS Cluster SA.
- [Wajib] Nama Kebijakan IAM dan permissions/document untuk dikaitkan.
- [Diperlukan] Nama Peran IAM diminta.
- [Opsional] URL penyedia OpenID Connect. Untuk informasi selengkapnya, lihat
  - Mengaktifkan peran IAM untuk akun layanan di klaster Anda
  - Memperkenalkan peran IAM berbutir halus untuk akun layanan
Kami menyarankan agar aturan Config dikonfigurasi dan dipantau
- Titik akhir klaster publik
- Pencatatan API yang dinonaktifkan
Anda bertanggung jawab untuk memantau dan memulihkan aturan Config ini.

Jika Anda ingin menerapkan pengontrol ALB Ingress, kirimkan Management | Other | Other Update RFC untuk menyediakan peran IAM yang diperlukan untuk digunakan dengan pod ALB Ingress Controller. Input berikut diperlukan untuk membuat sumber daya IAM untuk dikaitkan dengan ALB Ingress Controller (sertakan ini dengan RFC Anda):

[Diperlukan] Nama Cluster Amazon EKS
[Opsional] URL penyedia OpenID Connect
[Opsional] Namespace Amazon EKS Cluster tempat layanan pengontrol masuk penyeimbang beban aplikasi (ALB) akan diterapkan. [default: kube-sistem]
[Opsional] Nama akun layanan Amazon EKS Cluster (SA). [default: aws-load-balancer-controller]

Jika Anda ingin mengaktifkan enkripsi rahasia amplop di cluster Anda (yang kami sarankan), berikan kunci KMS yang ingin IDs Anda gunakan, di bidang deskripsi RFC untuk menambahkan layanan (Manajemen | layanan | Layanan yang disediakan sendiri | Tambahkan ( AWS ct-1w8z66n899dct). Untuk mempelajari lebih lanjut tentang enkripsi amplop, lihat Amazon EKS menambahkan enkripsi amplop untuk rahasia dengan AWS KMS.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amazon ECS aktif AWS Fargate

Amazon EMR