Contribuisci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell’agente Amazon EKS Pod Identity
Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le tue applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze Amazon EC2 .
Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API EKS Auth aggiuntiva e un pod di agenti che viene eseguito su ogni nodo.
Suggerimento
Non è necessario installare l’agente EKS Pod Identity sui cluster in modalità automatica EKS. Questa funzionalità è integrata in modalità automatica EKS.
Considerazioni
-
Per impostazione predefinita, l’agente EKS Pod Identity è preinstallato sui cluster in modalità automatica EKS. Per ulteriori informazioni, consulta Automate cluster infrastructure with EKS Auto Mode.
-
Per impostazione predefinita, l’agente EKS Pod Identity ascolta su un indirizzo
IPv4e sull’indirizzoIPv6perché i pod richiedano le credenziali. L’agente utilizza l’indirizzo IP di loopback (localhost)169.254.170.23perIPv4e l’indirizzo IP localhost[fd00:ec2::23]perIPv6. -
Se disabiliti gli indirizzi
IPv6o impedisci in altro modo gli indirizzi IPIPv6localhost, l’agente non può avviarsi. Per avviare l’agente su nodi che non possono utilizzareIPv6, segui i passaggi indicati in Disabilitazione di IPv6 nell’agente EKS Pod Identity per disabilitare la configurazioneIPv6.
Creazione di Amazon EKS Pod Identity Agent
Prerequisiti dell'agente
-
Un cluster Amazon EKS esistente. Per implementarne uno, consulta Nozioni di base su Amazon EKS. La versione del cluster e la versione della piattaforma devono essere uguali o successive alle versioni elencate nelle versioni del cluster EKS Pod Identity.
-
Il ruolo del nodo dispone delle autorizzazioni per consentire all'agente di eseguire l'azione
AssumeRoleForPodIdentitynell'API EKS Auth. Puoi utilizzare la politica AWS gestita: Amazon EKSWorker NodePolicy o aggiungere una politica personalizzata simile alla seguente:{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }Questa azione può essere limitata dai tag per ridurre i ruoli che possono essere assunti dai pod che utilizzano l'agente.
-
I nodi possono raggiungere e scaricare immagini da Amazon ECR. L’immagine del container per il componente aggiuntivo si trova nei registri elencati in Visualizza registri delle immagini del container Amazon per i componenti aggiuntivi Amazon EKS.
Tieni presente che puoi modificare la posizione dell'immagine e fornire
imagePullSecretscomponenti aggiuntivi EKS nelle impostazioni di configurazione opzionali nella e nella--configuration-valuesAWS CLI. Console di gestione AWS -
I nodi possono raggiungere l'API Amazon EKS Auth. Per i cluster privati, è necessario l'ingresso dell'
eks-authendpoint. AWS PrivateLink
Agente di configurazione con console AWS
-
Aprire la Console Amazon EKS
. -
Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi scegli il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.
-
Selezionare la scheda Componenti aggiuntivi.
-
Scegli Ottieni altri componenti aggiuntivi.
-
Seleziona la casella nella parte superiore destra di quella del componente aggiuntivo relativo a EKS Pod Identity Agent e scegli Avanti.
-
Nella pagina Configura le impostazioni dei componenti aggiuntivi selezionati, seleziona una versione qualsiasi nell'elenco a discesa Versione.
-
(Facoltativo) Espandi Impostazioni di configurazione facoltative per inserire una configurazione aggiuntiva. Ad esempio, puoi fornire una posizione alternativa per l'immagine del container e
ImagePullSecrets. Lo Schema JSON con le chiavi accettate sono mostrate in Schema di configurazione del componente aggiuntivo.Inserisci le chiavi e i valori di configurazione in Valori di configurazione.
-
Scegli Next (Successivo).
-
Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'Di seguito viene riportato un output di esempio.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hOra puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegnazione di un ruolo IAM a un account di servizio Kubernetes.
Agente di configurazione con AWS CLI
-
Esegui il seguente comando AWS CLI. Sostituisci
my-clustercon il nome del cluster.aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1Nota
L’agente EKS Pod Identity non utilizza
service-account-role-arnper ruoli IAM per account di servizio. È necessario fornire a EKS Pod Identity Agent le autorizzazioni nel ruolo del nodo. -
Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'Di seguito viene riportato un output di esempio.
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hOra puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegnazione di un ruolo IAM a un account di servizio Kubernetes.
