Per creare un provider di identità IAM OIDC per il cluster - Amazon EKS
PrerequisitiCreare un gestore OIDC (eksctl)Crea un provider OIDC (console)AWS

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per creare un provider di identità IAM OIDC per il cluster

Il cluster ha un URL emittente OpenID Connect (OIDC) associato. Per utilizzare i ruoli AWS Identity and Access Management (IAM) per gli account di servizio, deve esistere un provider IAM OIDC per l'URL dell'emittente OIDC del cluster.

Prerequisiti

  • Un cluster Amazon EKS esistente. Per implementarne uno, consulta Nozioni di base su Amazon EKS.

  • Versione 2.12.3 o successiva o versione 1.27.160 o successiva dell'interfaccia a riga di AWS comando (AWS CLI) installata e configurata sul dispositivo o. AWS CloudShell Per verificare la versione attuale, usa aws --version | cut -d / -f2 | cut -d ' ' -f1. I gestori di pacchetti come yum Homebrew per macOS sono spesso diverse versioni dell'ultima versione della CLI AWS . apt-get Per installare la versione più recente, consulta Installazione e configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando. La versione AWS CLI installata in AWS CloudShell potrebbe anche contenere diverse versioni precedenti alla versione più recente. Per aggiornarlo, consulta Installazione della AWS CLI nella tua home directory nella Guida per l' AWS CloudShell utente.

  • Lo strumento a riga di comando kubectl è installato sul dispositivo o AWS CloudShell. La versione può essere uguale oppure immediatamente precedente o successiva alla versione di Kubernetes del cluster. Ad esempio, se la versione del cluster è 1.29, puoi usare kubectl versione 1.28, 1.29 o 1.30. Per installare o aggiornare kubectl, consulta Impostazione di kubectl e eksctl:

  • Un file kubectl config esistente che contiene la configurazione del cluster. Per creare un file kubectl config, consulta Connettere kubectl a un cluster EKS creando un file kubeconfig.

È possibile creare un gestore OIDC IAM per il cluster utilizzando eksctl o la Console di gestione AWS.

Creare un gestore OIDC (eksctl)

  1. La versione 0.215.0 o quelle successive dello strumento a riga di comando eksctl deve essere installata sul dispositivo o nella AWS CloudShell. Per l’installazione o l’aggiornamento di eksctl, consulta la sezione Installation nella documentazione di eksctl.

  2. Determinare l’ID dell’emittente OIDC per il cluster.

    Recuperare gli ID dell’emittente OIDC del cluster e archiviarlo in una variabile. Sostituire <my-cluster> con il proprio valore.

    cluster_name=<my-cluster>
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  3. Determinare se un gestore OIDC IAM con l’ID del cluster è già presente nell’account.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Se viene restituito un output, il cluster dispone già di un gestore OIDC IAM ed è possibile saltare al passaggio successivo. Se non viene restituito alcun output, devi creare un provider OIDC IAM per il cluster.

  4. Creare un provider di identità OIDC IAM per il cluster con il comando seguente.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    Nota

    Se è stato abilitato l’endpoint VPC EKS, non è possibile accedere all’endpoint del servizio OIDC EKS dall’interno di tale VPC. Di conseguenza, operazioni come la creazione di un gestore OIDC con eksctl nel VPC non funzioneranno e comporteranno un timeout. Segue un messaggio di errore di esempio:

    ** server cant find oidc.eks.<region-code>.amazonaws.com: NXDOMAIN

    Per completare questo passaggio, puoi eseguire il comando all'esterno del VPC, ad esempio in AWS CloudShell o su un computer connesso a Internet. In alternativa, puoi creare un resolver condizionale di tipo split-horizon nel VPC, come il risolutore Route 53, per utilizzare un resolver diverso per l’URL emittente OIDC e non utilizzare il DNS VPC. Per un esempio di inoltro condizionale in CoredNS, consulta la richiesta di funzionalità Amazon EKS su. GitHub

Crea un provider OIDC (console)AWS

  1. Aprire la Console Amazon EKS.

  2. Nel riquadro a sinistra, seleziona Cluster, quindi seleziona il nome del cluster nella pagina Cluster.

  3. Nella sezione Dettagli della scheda Panoramica, annota il valore dell'URL del provider OpenID Connect.

  4. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  5. Nel pannello di navigazione, scegli Identity Providers (Provider di identità) in Access management (Gestione accesso). Se un Provider nell'elenco corrisponde all'URL del cluster, significa che si dispone già di un provider per il cluster. Se nell’elenco non è presente un gestore che corrisponde all’URL del cluster, è necessario crearne uno.

  6. Per creare un provider, selezionare Aggiungi provider.

  7. Per Tipo di provider, selezionare OpenID Connect.

  8. Per URL provider, inserire l’URL del gestore OIDC del cluster.

  9. Per Destinatari, inserisci sts.amazonaws.com

  10. (Facoltativo) Aggiungere eventuali tag, ad esempio un tag per identificare quale cluster è assegnato a questo gestore.

  11. Scegli Aggiungi provider.

Fase successiva: Assegnare ruoli IAM agli account di servizio Kubernetes