Per creare un provider di identità IAM OIDC per il cluster - Amazon EKS
Creare un gestore OIDC (eksctl)Creare un gestore OIDC (Console AWS)

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Per creare un provider di identità IAM OIDC per il cluster

Il cluster ha un URL emittente OpenID Connect (OIDC) associato. Per utilizzare ruoli AWS Identity and Access Management (IAM) per gli account di servizio, deve esistere un gestore OIDC IAM per l’URL emittente OIDC del cluster.

  • Un cluster Amazon EKS esistente. Per implementarne uno, consulta Nozioni di base su Amazon EKS.

  • La versione 2.12.3 o successiva oppure la versione 1.27.160 o successiva dell’interfaccia a riga di comando AWS (AWS CLI) installata e configurata sul dispositivo o AWS CloudShell. Per verificare la versione attuale, usa aws --version | cut -d / -f2 | cut -d ' ' -f1. I programmi di gestione dei pacchetti, come yum, apt-get o Homebrew per macOS, spesso sono aggiornati a versioni precedenti dell’AWS CLI. Per installare la versione più recente, consulta Installing e Quick configuration with aws configure della Guida per l’utente dell’Interfaccia della linea di comando AWS. La versione della AWS CLI installata in AWS CloudShell potrebbe anche essere precedente di diverse versioni rispetto alla più recente. Per aggiornarla, consultare la pagina Installing AWS CLI to your home directory della Guida per l’utente di AWS CloudShell.

  • Lo strumento a riga di comando kubectl è installato sul dispositivo o su AWS CloudShell. La versione può essere la stessa o immediatamente precedente o successiva alla versione Kubernetes del cluster. Ad esempio, se la versione del cluster è 1.29, puoi usare kubectl versione 1.28, 1.29 o 1.30. Per installare o aggiornare kubectl, consulta Impostazione di kubectl e eksctl:

  • Un file kubectl config esistente che contiene la configurazione del cluster. Per creare un file kubectl config, consulta Connettere kubectl a un cluster EKS creando un file kubeconfig.

È possibile creare un gestore OIDC IAM per il cluster utilizzando eksctl o la Console di gestione AWS.

Creare un gestore OIDC (eksctl)

  1. La versione 0.214.0 o successive dello strumento a riga di comando eksctl deve essere installata sul dispositivo o su AWS CloudShell. Per l'installazione o l'aggiornamento di eksctl, consulta la sezione Installation nella documentazione di eksctl.

  2. Determinare l’ID dell’emittente OIDC per il cluster.

    Recuperare gli ID dell’emittente OIDC del cluster e archiviarlo in una variabile. Sostituire <my-cluster> con il proprio valore.

    cluster_name=<my-cluster>
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  3. Determinare se un gestore OIDC IAM con l’ID del cluster è già presente nell’account.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Se viene restituito un output, il cluster dispone già di un gestore OIDC IAM ed è possibile saltare al passaggio successivo. Se non viene restituito alcun output, devi creare un provider OIDC IAM per il cluster.

  4. Creare un provider di identità OIDC IAM per il cluster con il comando seguente.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    Nota

    Se è stato abilitato l’endpoint VPC EKS, non è possibile accedere all’endpoint del servizio OIDC EKS dall’interno di tale VPC. Di conseguenza, operazioni come la creazione di un gestore OIDC con eksctl nel VPC non funzioneranno e comporteranno un timeout. Segue un messaggio di errore di esempio:

    ** server cant find oidc.eks.<region-code>.amazonaws.com: NXDOMAIN

    Per completare questo passaggio, è possibile eseguire il comando all’esterno del VPC, ad esempio in AWS CloudShell o su un computer connesso a Internet. In alternativa, puoi creare un resolver condizionale di tipo split-horizon nel VPC, come il risolutore Route 53, per utilizzare un resolver diverso per l’URL emittente OIDC e non utilizzare il DNS VPC. Per un esempio di inoltro condizionale in CoreDNS, consultare questa richiesta di funzionalità Amazon EKS su GitHub.

Creare un gestore OIDC (Console AWS)

  1. Aprire la Console Amazon EKS.

  2. Nel riquadro a sinistra, seleziona Cluster, quindi seleziona il nome del cluster nella pagina Cluster.

  3. Nella sezione Dettagli della scheda Panoramica, annota il valore dell'URL del provider OpenID Connect.

  4. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  5. Nel pannello di navigazione, scegli Identity Providers (Provider di identità) in Access management (Gestione accesso). Se un Provider nell'elenco corrisponde all'URL del cluster, significa che si dispone già di un provider per il cluster. Se nell’elenco non è presente un gestore che corrisponde all’URL del cluster, è necessario crearne uno.

  6. Per creare un provider, selezionare Aggiungi provider.

  7. Per Tipo di provider, selezionare OpenID Connect.

  8. Per URL provider, inserire l’URL del gestore OIDC del cluster.

  9. Per Destinatari, inserisci sts.amazonaws.com

  10. (Facoltativo) Aggiungere eventuali tag, ad esempio un tag per identificare quale cluster è assegnato a questo gestore.

  11. Scegli Aggiungi provider.

Fase successiva: Assegnare ruoli IAM agli account di servizio Kubernetes