Instal ASCP untuk Amazon EKS - AWS Systems Manager
PrasyaratInstal dan konfigurasikan ASCPVerifikasi instalasiPemecahan MasalahSumber daya tambahan

• AWS Systems ManagerChange Manager tidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

 

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat dokumentasi CloudWatch Dasbor Amazon.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Instal ASCP untuk Amazon EKS

Bagian ini menjelaskan cara menginstal Penyedia AWS Rahasia dan Konfigurasi untuk Amazon EKS. Dengan ASCP, Anda dapat memasang parameter dari Parameter Store dan rahasia dari AWS Secrets Manager sebagai file di Amazon EKS Pod.

Prasyarat

  • Klaster Amazon EKS

    • Versi 1.24 atau yang lebih baru untuk Pod Identity

    • Versi 1.17 atau yang lebih baru untuk IRSA

  • Yang AWS CLI diinstal dan dikonfigurasi

  • kubectl diinstal dan dikonfigurasi untuk klaster Amazon EKS Anda

  • Helm (versi 3.0 atau yang lebih baru)

Instal dan konfigurasikan ASCP

ASCP tersedia GitHub di repositori secrets-store-csi-provider-aws. Repo juga berisi contoh file YAMM untuk membuat dan memasang rahasia dengan mengubah objectType nilai dari secretsmanager ke. ssmparameter

Selama instalasi, Anda dapat mengkonfigurasi ASCP untuk menggunakan titik akhir FIPS. Untuk daftar titik akhir Systems Manager, lihat titik akhir layanan Systems Manager di bagian. Referensi Umum Amazon Web Services

Untuk menginstal ASCP dengan menggunakan Helm

  1. Untuk memastikan repo menunjuk ke grafik terbaru, gunakan helm repo update.

  2. Tambahkan bagan Driver CSI Secrets Store. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Instal bagan. Untuk mengonfigurasi pelambatan, tambahkan tanda berikut: --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Tambahkan bagan ASCP.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Instal bagan. Untuk menggunakan endpoint FIPS, tambahkan tanda berikut: --set useFipsEndpoint=true

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Untuk menginstal dengan menggunakan YAMAL di repo

  • Gunakan perintah berikut.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Verifikasi instalasi

Untuk memverifikasi instalasi kluster EKS Anda, driver Secrets Store CSI, dan plugin ASCP, ikuti langkah-langkah berikut:

  1. Verifikasi kluster EKS:

    eksctl get cluster --name clusterName

    Perintah ini harus mengembalikan informasi tentang cluster Anda.

  2. Verifikasi instalasi driver Secrets Store CSI:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Anda akan melihat Pod berjalan dengan nama seperticsi-secrets-store-secrets-store-csi-driver-xxx.

  3. Verifikasi instalasi plugin ASCP:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Contoh output:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Contoh output:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Anda akan melihat Pod di Running negara bagian.

Setelah menjalankan perintah ini, jika semuanya diatur dengan benar, Anda akan melihat semua komponen berjalan tanpa kesalahan. Jika mengalami masalah apa pun, Anda mungkin perlu memecahkan masalah dengan memeriksa log Pod tertentu yang mengalami masalah.

Pemecahan Masalah

  1. Untuk memeriksa log penyedia ASCP, jalankan:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Periksa status semua pod di kube-system namespace.

    Ganti default placeholder text dengan ID pod Anda sendiri:

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Semua Pod yang terkait dengan driver CSI dan ASCP harus berada dalam status 'Berjalan'.

  3. Periksa versi driver CSI:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Perintah ini harus mengembalikan informasi tentang driver CSI yang diinstal.

Sumber daya tambahan

Untuk informasi selengkapnya tentang penggunaan ASCP dengan Amazon EKS, lihat sumber daya berikut: